Il Federal Bureau of Investigation (FBI) ha avvertito di gruppi di ransomware che stanno effettuando attacchi a società nel momento di fusioni e acquisizioni aziendali. Gli operatori di ransomware utilizzano le informazioni finanziarie raccolte prima dell’attacco come leva sulle vittime.
Inizialmente, i criminali informatici cercano informazioni riservate che minacciano di divulgare o utilizzare come leva durante l’estorsione, invogliando così le vittime a conformarsi. Gli eventi legati a una fusione o acquisizione di società possono influenzare il valore delle azioni della vittima.
Ad esempio, l’anno scorso, il gruppo REvil (Sodinokibi) ha annunciato l’intenzione di aggiungere uno script di posta elettronica automatico al proprio malware per informare le borse come il NASDAQ delle violazioni.
Gli operatori DarkSide intendevano anche condividere informazioni privilegiate sulle società che commerciano sul NASDAQ o su altri mercati azionari con i trader che cercano di ridurre il prezzo delle azioni.
L’FBI ha anche segnalato diversi casi di gruppi ransomware che utilizzano informazioni interne o pubbliche su trattative di fusione o acquisizione in corso per attaccare società specifiche.
All’inizio del 2020, un utente malintenzionato che utilizzava lo pseudonimo di Unknown ha pubblicato un messaggio sul forum di hacker russo Exploit incoraggiando l’uso di minacce per inviare informazioni sulle vittime al NASDAQ per intimidirle.
Dopo questa pubblicazione, gli operatori di ransomware hanno iniziato a minacciare le vittime di trasferire dati riservati al NASDAQ se non avessero rispettato le loro richieste.
Tra marzo e luglio 2020, almeno tre società americane quotate in borsa nel processo di fusione e acquisizione sono state vittime di ransomware, ha riferito l’FBI.
