Il gruppo di attaccanti che ha sviluppato il ransomware LockBit ha lanciato da pochissimi giorni il proprio sito di leak, aggiungendosi quindi all'elenco delle famiglie ransomware che hanno optato per la strada della doppia estorsione: riscatto per riportare in chiaro i file criptati e secondo riscatto per non diffondere i dati rubati prima della criptazione.
Questo sistema di doppio ricatto è l'ennesima rivoluzione nel mondo dei ransomware e origina dalla decisione, operata dalla gran parte dei gestori delle più critiche famiglie di ransomware a partire dal 2019, di non limitarsi alla criptazione dei dati, ma di procedere prima al furto degli stessi da usare poi come ulteriore strumento di pressione sulle vittime sotto minaccia di pubblicazione.
Il sito di leak di LockBit circola da qualche giorno ed è stato postato su alcuni forum di hacking russi: ecco come appare
Ad ora il sito elenca due vittime: una compagnia di spedizioni e un produttore di componenti per l'automazione.
Maze e LockBit divorziano?
I gestori del ransomware LockBit in realtà avevano già pubblicato un proprio sito di leak qualche mese fa, ma questo è stato messo offline quando LockBit ha deciso di unirsi al "Cartello dei ransomware": il cartello infatti ha deciso di sfruttare il sito di leak di Maze per pubblicare i dati rubati. Il fatto che gli sviluppatori di LockBit abbiano deciso di tornare ad utilizzare un proprio sito di data leak potrebbe essere indizio del fatto che il cartello dei ransomware non è più così coeso: non vi sono online, comunque, riscontri di alcun divorzio, quindi è verosimile pensare anche che, molto semplicemente, dalle parti di LockBit preferiscano disporre di un sito sotto il loro esclusivo controllo.
L'attacco ransomware è, ormai, anche un databreach
La vicenda conferma una tendenza già in atto e della quale è necessario ormai prendere consapevolezza: un attacco ransomware non rappresenta più soltanto un tentativo di estorsione, ma, nei fatti è anche un data breach, dato che gli attaccanti hanno reso sistematico il furto dati prima di avviare la routine di criptazione. Da questo punto di vista quindi, almeno per quanto riguarda l'Unione Europea, ogni attacco ransomware va segnalato all'Authority di protezione nazionale dei dati, poiché è da ritenersi altamente probabile il furto di dati sensibili. Il miglior approccio per le aziende quindi è quello della trasparenza, non tanto e non solo per l'obbligo legale, ma anche per consentire a dipendenti e clienti di prendere adeguate contromisure di protezione.
Ad ora sono ben 17 le grandi famiglie di ransomware che hanno optato per l'apertura di siti di leak: specializzati in attacchi mirati contro le aziende, sono le famiglie pioniere nelle nuove tecniche di ricatto. Non solo siti di leak comunque: molto spesso i dati sensibili e personali rubati dalle aziende attaccate finiscono anche in vendita nel dark web.
Nessun commento:
Posta un commento