Circa un anno fa, la società di sicurezza informatica Venafi ha pubblicato un sondaggio svolto tra i decisori IT sul tema degli attacchi ransomware.

I risultati sono tutt’altro che incoraggianti ed indicano che più dell’80% degli attacchi contro le aziende include metodi estorsivi che non si limitano alla sola crittografia, ma aggiungono ulteriori strategie di ricatto.

Sempre secondo questo studio, il 38% minaccia direttamente la società attaccata, mentre il 35% la pubblicazione in chiaro dei dati.

singola quadrupla-estorsione ransomware

Insomma, il classico ransomware che cripta i dati e chiede un riscatto in cambio della chiave per decifrarli è decisamente poco comune al giorno d’oggi.

Difatti, si parla sempre più spesso di ransomware a doppia, tripla o quadrupla estorsione.

Analizziamone in dettaglio i meccanismi.

  1. Ransomware a singola estorsione
  2. Ransomware a doppia estorsione
  3. Ransomware a tripla estorsione
  4. Ransomware a quadrupla estorsione
  5. La nuova frontiera: ransomware a quintupla estorsione
  6. E’ possibile un sesto livello di estorsione?
  7. Conclusioni

Ransomware a singola estorsione

Nel caso di un attacco ransomware a singola estorsione, un cybercriminale riesce ad ottenere l’accesso ad un dispositivo e utilizzare la crittografia per rendere illeggibili i dati che contiene.

I malviventi promettono una chiave di decifrazione in cambio di una somma di denaro, di solito in criptovaluta.

Solitamente, a finire nel mirino, sono le aziende e gli enti pubblici, poiché, il più delle volte, cedono ai ricatti per non arrestare il comparto produttivo o amministrativo dell’impresa.

Tuttavia, anche i privati non sono immuni. Gli aggressori, infatti, sanno bene che i nostri dispositivi contengono molto di ciò che ci è caro (foto, video, messaggi) e che molti di noi sarebbero disposti a sborsare cifre anche abbastanza importanti per riaverli.

Il primo ransomware a singola estorsione della storia

Il primo ransomware della storia si trasmetteva attraverso un floppy disk e la sua prima vittima fu, nel 1989, Eddy Willems, un dipendente di una compagnia di assicurazioni Belga.

Il disco era stato contemporaneamente inviato a tutti i partecipanti ad una conferenza sull’AIDS e, proprio per questo, il malware prese il nome di “AIDS ransomware”.

Il riscatto ammontava a soli 189 dollari, che dovevano essere spediti per posta.

Esempi recenti

A più di 30 anni dal primo attacco, il ransomware a singola estorsione è tutt’altro che estinto.

Tra gli esempi più recenti che utilizzano questa strategia, ricordiamo:

  • Popcorn, che aggiunge la possibilità di diffondere il malware invece che pagare
  • Jigsaw, che aumenta l’importo col passare del tempo
  • Grief, che cerca di far passare il riscatto come il male minore

Come limitare le conseguenze

La tecnica di recupero migliore in assoluto è il backup.

Ovviamente, questo deve essere eseguito con la giusta frequenza e conservato dove l’hacker non possa raggiungerlo e criptarlo. Essere in possesso di una doppia (o tripla) copia dei dati è un modo sicuro, affidabile e piuttosto economico per recuperare eventuali perdite causate da un ransomware.

Anche qualora non fosse possibile decriptare i file, ci si potrebbe rivolgere a degli esperti per:

  • rimuovere l’infezione dai dispositivi
  • ripristinare i sistemi allo stato pre-intrusione e con dei tempi di inattività accettabili

Il tutto, senza che sia necessario nemmeno cedere al ricatto.

In aggiunta, se il codice del malware non è particolarmente avanzato o sofisticato, potrebbero essere disponibili dei decriptor gratuiti sul web.

Qualora si decidesse di farne uso, bisognerà soltanto verificare che siano software affidabili.

La raccomandazione, in qualsiasi caso, rimane quella di affidarsi a tecnici esperti in sicurezza informatica.

Ransomware a doppia estorsione

La pratica della doppia estorsione ransomware aggiunge un ulteriore motivo di ricatto.

Oltre ad impedire al legittimo proprietario la lettura dei file, i criminali tengono in ostaggio i dati esfiltrati, minacciando di renderli pubblici se il riscatto non verrà pagato entro certi termini.

Questo è un fattore di pressione psicologica molto potente. Infatti, molte aziende gestiscono e conservano dati sensibili di clienti, dipendenti e fornitori e andrebbero incontro a perdite significative in termini produttivi, economici e reputazionali se si venisse a conoscenza di una fuga di dati.

Il tutto, oltre alla possibile imputazione per aver conservato le informazioni riservate senza una protezione adeguata, come richiesto dal GDPR.

I primi esempi di ransomware a doppia estorsione

I primi a mettere in pratica questo modello sono stati gli hacker del gruppo Maze nel 2019.

Poiché gran parte delle vittime ha ceduto a questo ulteriore ricatto, in pochi mesi molti altri gruppi di rilievo nel panorama ransomware hanno deciso di adottare questa stessa strategia.

In breve tempo, dopo essere diventata la più popolare nel settore, ha assunto i caratteri di vera e propria consuetudine.

E’, infatti, all’ordine del giorno che un hacker provi di aver effettivamente preso possesso dei dati condividendone qualche estratto su social, portali o forum dedicati.

Il resto viene poi pubblicato (e spesso anche rivenduto sul dark web) quando le vittime rifiutano di pagare.

Tuttavia, c’è da sottolineare che non c’è alcuna garanzia che il riscatto contribuisca effettivamente alla restituzione o a scongiurare pubblicazione dei dati.

Tra gli esempi più noti e recenti di ransomware a doppia estorsione possiamo citare:

Come difendersi

Per difendersi dalla doppia estorsione, l’unica strada è la prevenzione basata su:

  • analisi dei rischi
  • attuazione di specifiche misure che prevengano l’intrusione

C’è da dire, però, che dal 2019 si sono fatti molti passi in avanti e, ad oggi, con l’ausilio della Threat Intelligence è possibile a volte intercettare i database nel dark web e chiuderli. Questo non risolve totalmente il problema, ma rende sicuramente meno gravoso il ricatto.

Ransomware a tripla estorsione

Nel caso della tripla estorsione. i dati non sono semplicemente pubblicati, ma vengono utilizzati per estendere il ricatto agli utenti dell’azienda o dell’ente preso di mira dal ransomware.

In sostanza, viene compromesso un database e la minaccia viene rivolta anche ai singoli utenti di cui sono stati trafugati i dati.

Una prospettiva agghiacciante, che potrebbe diventare pratica comune.

Un’altra variante, meno drammatica, ma comunque pericolosa, è l’aggiunta di un attacco DDoS contro il sito o altri servizi della società colpita, fino a che questa non intraprende una negoziazione.

Il primo caso documentato di ransomware a tripla estorsione

Il primo caso di ransomware a tripla estorsione è quello contro la società finlandese Vastaamo, che si occupa di supporto psicologico e terapeutico.

A finire nelle mani degli hacker sono state le cartelle cliniche di migliaia di pazienti.

Nei giorni successivi al data breach, avvenuto nel settembre del 2020, molti di loro hanno ricevuto email con una richiesta di riscatto di circa 200 euro per evitare la divulgazione del contenuto delle loro sedute.

Tra le cybergang che più hanno deciso di investire in questa strategia, troviamo:

Ransomware a quadrupla estorsione

Per aumentare ancora di più i rischi e la pressione sulle vittime, i cybercriminali hanno escogitato nuove tecniche estorsive.

Così, a nel Marzo 2021, una nuova minaccia si è affacciata nel panorama ransomware: la quadrupla estorsione.

I criminali inviano una notifica (tramite e-mail o chiamata) a clienti, contatti, fornitori della società, nonché ai giornalisti, informandoli dell’avvenuto attacco e del rischio di diffusione dei dati, qualora la società colpita rifiutasse di collaborare.

In questo modo, a esercitare pressione non saranno soltanto i criminali, ma

  • tutti gli utenti i cui dati sono stati esfiltrati
  • l’opinione pubblica

I malviventi, offrono anche ai singoli la possibilità di pagare un riscatto minore per:

  • ricomprare i propri dati
  • salvaguardarli anche nel caso in cui l’azienda decidesse di non trattare.

DarkSide ha già annunciato di voler usare questa tattica per colpire le società quotate in borsa ed influenzare il valore delle loro azioni. Il rischio è che le aziende nel mirino finiscano sul lastrico cedendo al ricatto, permettendo comunque ai criminali di guadagnare con la semplice speculazione.

La nuova frontiera: ransomware a quintupla estorsione

L´ultimo livello possibile in una strategia di ricatto ransomware consiste nel contattare non solo i consumatori e gli altri attori della Supply Chain, ma i business concorrenti.

L´idea è quella di vendere segreti industriali o altre informazioni private dell’azienda a chi è più interessato ad averle.

Così facendo, i criminali riescono a guadagnare anche se la vittima rifiuta di pagare nonostante sia minacciata ed ostacolata in ben cinque modi diversi.

E’ possibile un ransomware a sestupla estorsione?

Nonostante le già marcate sofisticazione nelle strategie di ricatto, gli esperti sono unanimi nel credere che la situazione continuerà a peggiorare.

Come? Non è possibile dirlo a priori, ma sicuramente le cybergang impegnate nell’implementazione e nella commercializzazione di ransomware non lasceranno nulla di intentato.

Le aziende d’altro canto, devono necessariamente superare l’idea che sia sufficiente un backup e una assicurazione per cavarsela contro uno di questi attacchi.

Conlusioni

Agli albori degli attacchi ransomware, il principio era semplice: i dati erano resi illeggibili e per decifrarli veniva chiesto un pagamento.

Successivamente, questa strategia non si rivelò più così efficace, costringendo i cybercriminali ad aggiungere ulteriori fattori di ricatto, come:

  • la cancellazione
  • l’aumento dell’importo in base al tempo delle trattative
  • esfiltrazione e pubblicazione dei dati per punire chi non pagava

In seguito, sono stati impiegati attacchi DDoS per velocizzare le trattative e piegare la vittima al loro volere.

Negli ultimi anni, infine, i pirati informatici stanno diventando sempre più aggressivi.

Contattano direttamente

  • vittime
  • partner commerciali
  • chiunque possa aiutarli a mettere alla pubblica gogna la società attaccata.

Addirittura sono arrivati a contattare le aziende concorrenti per rivendere i segreti industriali rubati!

Impossibile predire che cosa ci riserverà il futuro, ma i trend sembrano indicare che sentiremo parlare di questi incidenti ancora a lungo.

Questo scenario, ancora una volta, sottolinea come i manager di tutto il mondo debbano considerare la sicurezza informatica come una priorità nella gestione del business e investire nell’unica arma vincente: la prevenzione.