Il capofila, ne abbiamo parlato ampiamente, è stato il ransomware Maze. Fin dal primo "colpo grosso" contro Allied Universal, una delle principali aziende di servizi di sicurezza statunitense, Maze si è distinto per la pratica di rendere pubblica una parte dei dati sottratti dai sistemi infetti, come forma di pressione ulteriore al fine di convincere la vittima a pagare il riscatto. Di questa pratica gli attori di Maze, ransomware usato ormai a cascata contro obiettivi mirati come enti pubblici e aziende, scuole e ospedali negli U.S.A, ne hanno fatto una specializzazione, al punto da aver perfino aperto un "sito di news" dove pubblicare i dati: questo anche perché ben presto la stampa di settore (e non solo) ha deciso di non dare più spazio a questa tipologia di ricatto e di non far girare alcun database di dati rubati e pubblicati a fini estorsivi.
La tecnica funziona, purtroppo, e si cominciano a registrare casi di emulazione da parte di nomi altisonanti nel panorama delle cyber minacce: primo tra tutti Sodinokibi, ma appena due giorni fa anche gli attori dietro al ransomware Nemty hanno effettuato le prime operazioni di pubblicazione dati.
Gli attori di Sodinokibi hanno pubblicato, per la prima volta, dati sottratti ad una vittima la scorsa settimana. L'intenzione di seguire il modello di Maze era stata già annunciata apertamente lo scorso mese, in un post su uno dei forum più frequentati da cyber attaccanti. Gli sviluppatori di Sodinokibi nel post, annunciando l'infezione a CyrusOne (una grande società di investimento immobiliare texana) minacciavano apertamente la pubblicazione di alcune informazioni commerciali riservate. Particolarità: "rammaricati" dalla volontà dell'azienda vittima, espressa a mezzo stampa, di non pagare il riscatto, nel post i cyber attaccanti spiegano che l'azienda incontrerà costi minori pagando il riscatto rispetto alle sanzioni nelle quali incorrerrebbe per violazione del GDPR.
Fonte: Bleepingcomputer.com |
E hanno effettivamente mantenuto la promessa: qualche giorno dopo, il rappresentante pubblico di Sodinokibi ha annunciato la pubblicazione di 337 MB di file rubati, appartenenti a più vittime, pubblicati su alcuni forum di hacking russi. Con la minaccia di continuare a pubblicare altri dati, di riservatezza crescente, mano a mano che le vittime ritardano il pagamento del riscatto.
Tre giorni fa, infine, gli autori del ransomware Nemty (ne avevamo parlato qui) hanno annunciato la volontà di aprire un proprio blog tramite il quale rilasciare e rendere pubblici i dati delle vittime, confermando tutti gli adattamenti tecnici necessari per prevedere un meccanismo di furto dati PRIMA della criptazione degli stessi. Anche in questo caso si fa aperto riferimento al fatto che una azienda incorrerebbe in costi minori pagando il riscatto ai cyber attaccanti che avviando tutte le procedure di notifica di violazione dei dati e subendo i costi della perdita di segreti aziendali, fiducia nel brand e eventuali sanzioni, oltre al rischio di azioni legali da parte degli interessati. Il sito è stato aperto ieri e, oltre alla pubblicazione dei dati rubati, ospita le news riguardanti le nuove vittime.
Come detto, gli autori di Nemty hanno già provveduto alle modifiche tecniche necessarie: la builder a disposizione degli affiliati consente infatti di creare eseguibili destinati all'infezione di una intera rete piuttosto che di singoli pc e hanno implementato il meccanismo di furto dati pre-criptazione, rendendo evidente l'apertura ad attacchi mirati contro aziende o enti oltre al (già) fiorente fronte degli attacchi contro gli home user.
La builder di Nemty per la creazione degli .exe per attacchi alle reti |
Gli eseguibili "per aziende" oltre a prevedere il furto dei dati prima della criptazione dei file, cripteranno tutti i dispositivi in rete con la stessa chiave: le vittime non potranno più decriptare le singole macchine.
Nessun commento:
Posta un commento