Ricattare le vittime di ransomware per scongiurare la pubblicazione dei dati rubati non è più sufficiente. Si ha notizia che il gruppo Clop sia passato oltre, contattando direttamente i clienti delle vittime per esortarli a
fare pressione affinché venga pagato il riscatto, pena la violazione della loro privacy.
Clop è uno dei gruppi ransomware più famigerati in circolazione. Ha attaccato molte aziende e università, fra cui
AG Software e l'Università di Maastricht, chiedendo cifre elevate per il decryptor e per garantire la riservatezza dei dati rubati. A quanto risulta, Clop è stato anche il primo gruppo ransomware a esercitare
pressione su manager e alti dirigenti affinché pagassero il riscatto. In questi casi la priorità negli attacchi è entrare in possesso dei dati presenti sui computer della classe dirigente, dove potrebbero esserci informazioni di particolare criticità.
Clop è anche uno dei due gruppi ritenuti responsabili degli attacchi che hanno
sfruttato la vulnerabilità zero-day nei server Accellion. Proprio queste azioni hanno fornito indicazioni sulla nuova campagna di pressing ai danni delle vittime.
Il coinvolgimento delle vittimeNell'ambito dell'hack di Accellion, Clop è entrato in possesso di dati sottratti al produttore di jet Bombardier. Come al solito il gruppo ha pubblicato online un estratto dei dati rubati per fare pressione. Evidentemente non è servito a incassare il riscatto, e una settimana dopo è stata coinvolta la stampa. L'azione non ha sortito l'effetto sperato perché Bombardier aveva già confermato la violazione dei dati.
È a questo punto che è scattata la seconda fase: i criminali informatici hanno iniziato a contattare via email i clienti di cui avevano sottratto informazioni nel corso dell'hack. La tattica era stata testata prima con il personale della Flagstar Bank e con alcune persone esposte nell'hack Accellion dell'Università del Colorado.
In tutti i casi è stata recapitata una email con oggetto:
"I tuoi dati personali sono stati rubati e saranno pubblicati". Nel testo dell'email si spiegava che il destinatario era stato contattato in quanto cliente della vittima dell'hack. I suoi dati personali, inclusi numeri di telefono, indirizzo e-mail e altre informazioni, sarebbero state rese pubbliche se la vittima non avesse pagato il riscatto.
I criminali informatici chiudono il messaggio esortando il destinatario a "
Chiamare o scrivere e chiedere di proteggere la tua privacy!!!!" In altre parole, i cyber criminali auspicano che se un numero sufficiente di clienti dovesse contattare l'azienda, questa finirebbe per pagare il riscatto.
Non è detto che la tattica funzionerà, ma il tentativo è ingegnoso, e non è il primo. Sembra che anche i criminali dietro al ransomware REvil stiano contattando i clienti delle vittime dell'hack DDoSing per esercitare ulteriore pressione.
Pagamenti dei riscatti
Probabilmente tutte queste tattiche sono tentativi per ottenere il pagamento dei riscatti. La forte campagna informativa di istituzioni e aziende specializzate in cyber security ha convinto molte vittime a non pagare il riscatto. I motivi di questa indicazione sono molti, primo fra tutti il fatto che le promesse dei cyber criminali sono spesso disattese:
pagare non garantisce che i dati non verranno pubblicati o rivenuti sul dark web, né la consegna del decryptor. Oltre al fatto che foraggiare la criminalità non è una buona idea.
Inoltre, i ransomware oggi sono un'eventualità più che probabile. Con un'analisi del rischio oculata e adottando soluzioni preventive come i backup e i piani dettagliati di disaster recovery, è possibile tornare in possesso dei dati e ripristinare la produttività lasciando i criminali informatici a bocca asciutta.