I criminali informatici stanno diventando più aggressivi nel tentativo di massimizzare i disagi e forzare il pagamento delle richieste di riscatto, ed è in gioco una nuova tattica di estorsione.
All'inizio di novembre, la famigerata banda di ransomware ALPHV, nota anche come BlackCat, ha tentato una tattica di estorsione unica nel suo genere: utilizzare come arma le nuove regole di divulgazione delle violazioni dei dati del governo degli Stati Uniti contro una delle vittime della banda. ALPHV ha presentato un reclamo alla Securities and Exchange Commission (SEC) degli Stati Uniti, sostenendo che il fornitore di prestiti digitali MeridianLink non ha rivelato ciò che il gruppo criminale informatico ha definito "una violazione significativa che compromette i dati e la sicurezza dei clienti". la band si è presa il merito.
"Vogliamo portare alla vostra attenzione una questione preoccupante riguardante la conformità di MeridianLink alle norme sulla divulgazione degli incidenti di sicurezza informatica recentemente adottate", ha scritto ALPHV. "È giunto alla nostra attenzione che MeridianLink non ha presentato la divulgazione richiesta ai sensi della voce 1.05 del modulo 8-K entro i quattro giorni lavorativi previsti, come richiesto dalle nuove regole della SEC."
L'ultimo tentativo di estorsione di ALPHV è il primo esempio di quella che dovrebbe essere una tendenza nei prossimi mesi, ora che le regole sono entrate in vigore. Sebbene nuova, questa non è l’unica tattica aggressiva utilizzata dai ransomware e dalle bande di estorsione.
Gli hacker, generalmente noti per la distribuzione di ransomware, si sono sempre più rivolti a tattiche di "doppia estorsione", in base alle quali, oltre a crittografare i dati della vittima, le bande minacciano di rilasciare i file rubati a meno che non venga pagato un compenso. Alcuni vanno oltre con “triplo attacchi di estorsione”, che, come suggerisce il nome, gli hacker utilizzano un triplice approccio per estorcere le vittime estendendo minacce e richieste di riscatto a clienti, fornitori e associati della vittima originale. Queste tattiche sono state utilizzate dagli hacker dietro gli attacchi massicci e potenti contro MOVEit, che rappresentano uno sviluppo chiave nella tendenza verso i tentativi di estorsione senza crittografia.
Anche se le definizioni ambigue potrebbero non sembrare il più grande problema di sicurezza informatica che le organizzazioni devono affrontare oggi, la distinzione tra ransomware ed estorsione è importante, soprattutto perché la difesa contro questi due tipi di attacchi informatici può variare notevolmente. La distinzione aiuta anche i politici a sapere dove si trova la tendenza del ransomware e se le politiche anti-ransomware stanno funzionando.
Qual è la differenza tra ransomware ed estorsione?
La task force sul ransomware descrivere ransomware come una “forma in evoluzione di crimine informatico, attraverso la quale i criminali compromettono da remoto i sistemi informatici e richiedono un riscatto in cambio del ripristino e/o della non esposizione dei dati”.
In realtà, gli attacchi ransomware possono avere una vasta gamma di impatti. Gli esperti di ransomware Allan Liska, Threat Intelligence Analyst presso Recorded Future, e Brett Callow, Threat Analyst presso Emsisoft, hanno condiviso in un'analisi che questa ampia definizione di ransomware può applicarsi ad entrambe le "truffe", scarichiamo il contenuto della loro istanza Elasticsearch insicura con $ 50 attacchi” ad “attacchi dirompenti basati sulla crittografia che minacciano la vita degli ospedali”.
"Chiaramente, però, sono animali molto diversi", hanno detto Liska e Callow. "Uno è un pirata opportunista che ti ruba la consegna su Amazon, mentre l'altro è una squadra di criminali violenti che irrompono in casa tua e terrorizzano la tua famiglia prima di impossessarsi di tutti i tuoi beni."
I ricercatori affermano che esistono somiglianze tra gli attacchi “crittografati ed estorti” e gli “attacchi di sola estorsione”, come la loro dipendenza da intermediari che vendono l’accesso alle reti violate. Ma ci sono anche importanti distinzioni tra i due, in particolare tra i clienti, i fornitori e i clienti della vittima, i cui dati sensibili possono essere coinvolti in attacchi di sola estorsione.
“Lo vediamo accadere ripetutamente, laddove un attore di minacce classifica il dati rubati per trovare l'organizzazione più grande o più conosciuta che riesce a trovare e afferma di aver attaccato con successo quell'organizzazione. "Questa non è una tattica nuova", hanno detto Liska e Callow, citando un esempio di come una banda di ransomware ha affermato di aver violato un importante colosso tecnologico, quando in realtà aveva rubato dati da uno dei suoi fornitori di tecnologia meno conosciuti.
"Una cosa è impedire a un utente malintenzionato di crittografare i file sulla tua rete, ma come proteggi l'intera catena di fornitura dei dati?" dissero Liska e Callow. “In effetti, molte organizzazioni non pensano alla propria catena di fornitura dei dati… ma ogni punto di tale catena di fornitura è vulnerabile a furti di dati e attacchi di estorsione”.
È necessaria una migliore definizione di ransomware
Anche se le autorità scoraggiano da tempo le organizzazioni vittime di attacchi hacker dal pagare richieste di riscatto, non è sempre una decisione facile per le aziende colpite dagli hacker.
Negli attacchi di crittografia ed estorsione, le aziende hanno la possibilità di pagare il riscatto per ottenere una chiave in grado di decrittografare i tuoi file. Ma quando paghi gli hacker che utilizzano tattiche di estorsione aggressive per eliminare i tuoi file rubati, non vi è alcuna garanzia che gli hacker lo facciano effettivamente.
Ciò è stato dimostrato nel recente attacco ransomware contro Caesars Entertainment, che ha pagato gli hacker nel tentativo di impedire la divulgazione di dati rubati. Per sua stessa ammissione, Caesars ha dichiarato alle autorità di regolamentazione che "abbiamo adottato misure per garantire che l'attore non autorizzato cancelli i dati rubati, anche se non possiamo garantire questo risultato".
"In effetti, si dovrebbe presumere che non lo faranno", hanno detto Liska e Callow, riferendosi alle affermazioni secondo cui gli hacker cancellano i dati rubati.
“Una migliore definizione di ransomware, che tenga conto della distinzione tra diversi tipi di attacchi, consentirà alle organizzazioni di pianificare e rispondere meglio a qualsiasi tipo di attacco ransomware, sia che si verifichi all’interno della propria rete o di quella di terzi» Liska e Callow commento.
