Inizialmente, i criminali utilizzavano esclusivamente malware correlato al ransomware per limitare l’accesso ai dati degli utenti, crittografando i file su dispositivi individuali o organizzativi.

In cambio della chiave di decrittazione, le vittime dovevano pagare un riscatto in Bitcoin. L’esecuzione di backup regolari e il loro mantenimento offline sono metodi efficaci per salvaguardare i dati critici dalle minacce ransomware.

Se un sistema dovesse essere bloccato da un ransomware, gli utenti potrebbero ripristinare i propri dati dal backup offline per riprendere il funzionamento.

Dal momento che alcune vittime sono riuscite a formare adeguatamente il proprio personale o si sono rifiutate di pagare il riscatto in quanto avevano preso precauzioni e disponevano di backup, i criminali hanno iniziato a sviluppare ulteriori modi per esercitare ulteriore pressione sulle loro vittime.

Un tipo di minaccia molto diversa dal passato, tant’è che è stato coniato un nuovo termine ovvero: attacchi a doppia estorsione (“Double Extortion”).

Doppia estorsione

Le tattiche di doppia estorsione in genere includono una notifica alla vittima, indicando che i dati sono stati rubati e che le copie sono in il possesso dell’attaccante.

Da quel momento in poi, la vittima ha un periodo di tempo (che va da pochi giorni a diverse settimane) per pagare il riscatto.  Se la vittima si rifiuta di pagare, i dati rubati saranno resi pubblici dopo la scadenza del timer.

Se, invece, la vittima paga il riscatto, i dati locali saranno decifrati (verrà consegnata una chiave di decifratura) e i dati esfiltrati saranno distrutti. Per incoraggiare un pagamento tempestivo, è diventato comune per l’attaccante pubblicare un sottoinsieme di dati esfiltrati.

Si tratta in genere di una piccola quantità di dati altamente sensibili come dimostrazione che i dati in questione sono veramente in possesso dell’attaccante. In breve, l’organizzazione subisce due forme simultanee di estorsione: estorsione mediante il blocco dei file crittografati ed estorsione mediante la minaccia di pubblicazione di dati sensibili; dando così il nome all’attacco.

Gli aggressori sono passati a questa nuova strategia a causa di diversi fattori. In particolare, molte chiavi di decifratura di ransomware, come MegaLocker e Tesla, sono disponibili gratuitamente. Ciò significa che il riutilizzo di uno di questi attacchi non garantisce il pagamento da parte delle vittime.

Inoltre, molte organizzazioni hanno rafforzato gli strumenti e le metodologie di backup e ripristino per consentire il ripristino rapido di dispositivi e file crittografati.

Sebbene ciò potrebbe creare dei tempi di inattività significativi per l’organizzazione; se il costo del tempo di inattività è inferiore al costo del riscatto, l’organizzazione è disposta ad accettare il tempo di inattività pur di non pagare il riscatto.

Questa nuova tecnica è stata registrata in Italia e a pagarne le conseguenze è stata un’azienda per eventi di musica e teatro, colpita dal ransomware Maze. In questa modalità i criminali rendono disponibile come prova il 2% dei dati esfiltrati, circa 3 GB di dati.

Tripla estorsione

A peggiorare le cose, gli aggressori hanno escogitato una nuova tipologia di estorsione in aggiunta alle due precedenti – una tripla minaccia (Triple Extortion) – utilizzata dal gruppo di ransomware Avaddon.

Non solo i dati vengono crittografati ed esfiltrati, ma se non si risponde al pagamento del riscatto o alla minaccia di un data leak, gli aggressori potrebbero lanciare un attacco DDoS contro alcuni servizi della vittima, mettendoli nelle condizioni di dover intraprendere una negoziazione per il riscatto.

Comunemente utilizzati come metodo di estorsione singolo, gli attacchi DDoS sono ora nell’elenco dei servizi offerti dagli operatori RaaS.

Ciò aumenta ulteriormente la pressione sulla vittima in un paio di modi: in primo luogo, sottolinea la serietà dell’avversario. E in secondo luogo, mantenere la disponibilità aggiunge anche un altro fattore di stress a un team di sicurezza già alle prese con le prime due estorsioni.

Leggi gli altri report cyber sul  blog di Telsy.

Telsy, centro di competenza in Crittografia, Cybersecurity e Cyber Resilience del Gruppo TIM, è da cinquant’anni al servizio della difesa del Paese.