La diffusione di ransomware per mano di organizzazioni criminali è accresciuta tanto da divenire un business da miliardi di dollari. Un progresso, in senso negativo, non determinato tanto dallo sviluppo della tecnologia utilizzata quanto dalla capacità dei cybercriminali di sfruttare i sistemi danneggiati a discapito delle vittime. Una minaccia globale da contrastare.
Quali sono le nuove tecniche di estorsione dei ransomware?
Per indagare insieme le tecniche di estorsione oggi più diffuse, occorre fare un passo indietro. Agli albori, gli attacchi ransomware colpivano “in serie” un elevato numero di vittime. Più danneggiavano aziende di grandi dimensioni, tanto più rinforzata ne usciva l’attività dei criminali. E con essa, i guadagni ai danni di realtà considerate redditizie. Se da un lato gli attacchi sfruttano ancora oggi servizi di accesso remoto non adeguatamente protetti (VPN/RDP) o phishing, a mutare profondamente nel tempo sono le tattiche di estorsione.
Le bande non puntano più sulla quantità di potenziali vittime, ma sulla facoltà di individuare obiettivi sensibili grazie alla pratica definita Big Game Hunting (“caccia grossa”). E non solo. Lo stesso bottino di informazioni trafugate costituisce l’arma più pericolosa a loro disposizione.
A fine 2019 fu il gruppo Maze a introdurre la “doppia estorsione”, minacciando di sfruttare dati e pubblicare tutti i file sottratti alla vittima. File fondamentali contenenti contratti, cartelle personali dei dipendenti, documenti sui clienti. Come prova del reale pericolo, un campione dei file finì online. Una procedura questa, divenuta poi modello per quasi tutte le successive richieste di riscatto.
Strategie di ricatto
Grazie all’ormai consueto furto di dati sensibili, gli attaccanti elaborano operazioni ransomware proprio sulla base di tutti gli elementi rubati all’utente. Basti pensare alle informazioni reperibili dalle polizze assicurative: nelle fasi di contrattazione, i cybercriminali giocano in vantaggio essendo già a conoscenza dei limiti di rimborso e delle casistiche previste dall’assicurazione.
Un’altra strategia messa in campo da gruppi ransomware? Utilizzare le informazioni personali sottratte per contattare i dipendenti stessi dell’azienda vittima. L’obiettivo è spingere i vertici aziendali ad accettare il ricatto. Così facendo si attribuisce tutta la responsabilità alla dirigenza, rea di non aver difeso adeguatamente la privacy dei propri lavoratori. Come se non bastasse, gli attaccanti possono proporre ai dipendenti di adire le vie legali contro la società, nel caso di assenso da parte di quest’ultima alla pubblicazione di loro file o documenti privati.
In altri casi, sono i clienti della società colpita o i legittimi intestatari dei dati protetti a essere contattati dai cybercriminali. A questo punto la richiesta di denaro viene avanzata direttamente, dietro la garanzia di non diffondere dati. Oppure, viene condiviso soltanto un campione di dati sperando così di esercitare una certa pressione sulla dirigenza della società e riuscire ad accaparrarsi il denaro più velocemente.
Una volta avviata la trattativa in seguito a un’intrusione, altre tecniche prevedono attacchi a negazione di servizio, DoS o DDoS, verso siti o portali web dell’utente colpito. A soffrine sono in particolar modo le imprese digitali, soggette a gravi perdite finanziarie ma anche a seri danni d’immagine (on e offline).
Scenari futuri
Attorno agli attuali pericoli ransomware, l’attività dei media si fa pressante e l’impegno delle forze dell’ordine costante. Di contro, l’azione criminale non potrà che puntare a stabilire un equilibrio fra ricatto perpetuato e obiettivo da raggiungere. A questo punto, alcuni malfattori potenzieranno quelle attività che richiedono anche solo la minaccia di acquisizione e pubblicazione delle informazioni, e non il loro impiego.
