La nuova tendenza tra i ransomware, la doppia estorsione, che unisce la potenza di questi malware con la possibile violazione e divulgazione dei dati delle vittime.
Il doppio riscatto, come funziona…
Dopo l’infezione e l’esfiltrazione di dati, alle vittime vengono recapitati alcuni screenshot delle informazioni rubate; queste servono solo a convincere le vittime a pagare il riscatto.
Se il pagamento non viene effettuato in tempo, gli aggressori danno seguito alla loro minaccia e mettono i file riservati a disposizione sul web per il download.
Su questo si fonda il doppio riscatto: se le organizzazioni non cedono alle richieste di riscatto, gli aggressori pubblicheranno i dati rubati e l’organizzazione dovrà denunciare la violazione al Garante della privacy che a sua volta potrebbe infliggere una grossa multa all’azienda.
Dopo Sodinokibi, sul “carro” del doppio riscatto sono saliti anche altri ransomware come Clop, Nemty, DopplelPaymer e nelle ultime settimane Conti, un ceppo relativamente nuovo di ransomware, gestito dallo stesso gruppo che ha condotto gli attacchi ransomware Ryuk in passato.
Tutto sommato, il lancio dell’ennesimo sito data leak dimostra che lo schema della doppia estorsione è qui per rimanere e far parte del modus operandi della maggior parte dei criminal hacker.
Non solo “i grandi” nel mirino
La tattica si è dimostrata così efficace da arrivare anche a colpire singoli utenti sui propri device mobile.
Qualche mese fa, un malware che tentava di sfruttare l’onda della pandemia è stato camuffato da App di tracciamento. In realtà questo criptava i contenuti degli utenti e minacciava di diffondere tutte le informazioni e i media che trovava sul dispositivo.
Una questione di Privacy
Questa nuova ed evoluta ondata di attacchi offusca la linea di demarcazione tra gli attacchi ransomware “tradizionali” e i data breach “ordinari”.
Le ditte ‘vittime’ devono presumere di essere soggette a una violazione dei dati e legalmente non possono evitare la divulgazione pubblica dell’incidente. Il ricorso ai backup non pone chiaramente fine all’attacco. Peggio ancora, c’è la consapevolezza che il pagamento del riscatto non garantisce che l’aggressore non venderà le informazioni a terzi.
L’incertezza potrebbe portare a un effetto opposto a quello che vogliono gli aggressori – il pagamento – poiché le aziende anche dopo aver effettuato il pagamento, devono rivelare alle autorità i dettagli dell’attacco, sperando di non incorrere in sanzioni, subire un danno critico alla loro reputazione, sobbarcarsi i costi di ripristino e recupero e, ovviamente, le possibili ricadute legali.
L’unica cosa certa al momento è che il ransomware, con la doppia estorsione, è diventato ancora più pericoloso.