Arriva il ransomware che chiede il doppio riscatto: uno per decriptare i file, uno per non pubblicare quelli rubati

Parliamo della famiglia di ransomware AKO, non molto diffusa ne pericolosa quanto gli ormai rinomati Sodinokibi, Maze o Ryuk, ma che si è posta come capofila di una nuova tattica di ricatto: AKO ha iniziato infatti a richiedere alle vittime un doppio riscatto, non solo quello per ottenere il decryptor ma anche uno per non rendere pubblici i dati rubati e cancellarne le copie in mano agli attaccanti. 

Un ennesimo salto di livello per i ransomware, dopo quello apportato dal ransomware Maze a partire dal Novembre 2019, ovvero il rendere pubblici alcuni dei dati rubati dalla rete violata prima della criptazione dei file: modello che in pochi mesi si è esteso a moltissime altre famiglie di ransomware tra i quali Sodinokibi, Clop, Sekhmet, Nephilim e altri, tutti dotati di appositi siti web dove rendere pubblica parte dei dati rubati. 

Qualche dettaglio sul ransomware AKO

L'annuncio della doppia richiesta di riscatto è stato fornito dagli sviluppatori stessi del ransomware, nel sito web che hanno appositamente creato per pubblicare i dati rubati: in dettaglio indicano ad alcune loro vittime (tutte aziende) che viene loro richiesto un doppio riscatto appunto. 

Qualche giorno fa, per fare un esempio, gli attori di AKO hanno pubblicato i dati rubati ad un'azienda vittima dopo aver ricevuto 350.000 dollari per il pagamento del decryptor: i file sono stati comunque pubblicati perchè l'azienda ha si pagato il primo riscatto, ma si è rifiutata di pagare il secondo.

Pare che il secondo riscatto fosse ben più alto di quello richiesto per il decryptor: gli autori di AKO ransomware hanno scritto che il riscatto per la non pubblicazione dei file varia tra i 100.000 e i 2.000.000 di dollari, a seconda delle dimensioni aziendali. 

Interessante notare un fatto: AKO ransomware ha già colpito molte strutture ospedaliere. Molte di queste hanno intrapreso una strada particolare per "risolvere l'incidente", ovvero non hanno pagato il riscatto per ottenere il decryptor e riportare in chiaro i file, ma hanno pagato il riscatto perchè non venissero resi pubblici dati sanitari sensibili. 

E' bene ricordarlo: gli attacchi ransomware sono data breach

Il furto dei dati durante un attacco, PRIMA dell'avvio della criptazione, è divenuto ormai una tattica standard per la maggior parte di quei ransomware che hanno deciso di prendere di mira le aziende. In molti casi infatti i dati rubati contengono informazioni sensibili come dati personali dei dipendenti, dati di fornitori e clienti, dati sanitari, contratti e segreti aziendali. Inutile dire, forse, quanto la pubblicazione di tali dati possa comportare danni reputazionali ma anche finanziari. 

Questi sono i motivi per il quale un attacco ransomware va trattato in tutto e per tutto anche come un data breach, con necessaria informativa a chiunque ne possa essere stato riguardato e notifica alle agenzie governative adibite, come previsto dal GDPR.