Ricattare le vittime di ransomware per scongiurare la pubblicazione dei dati rubati non è più sufficiente. Si ha notizia che il gruppo Clop sia passato oltre, contattando direttamente i clienti delle vittime per esortarli a fare pressione affinché venga pagato il riscatto, pena la violazione della loro privacy.

Clop è uno dei gruppi ransomware più famigerati in circolazione. Ha attaccato molte aziende e università, fra cui AG Software e l'Università di Maastricht, chiedendo cifre elevate per il decryptor e per garantire la riservatezza dei dati rubati. A quanto risulta, Clop è stato anche il primo gruppo ransomware a esercitare pressione su manager e alti dirigenti affinché pagassero il riscatto. In questi casi la priorità negli attacchi è entrare in possesso dei dati presenti sui computer della classe dirigente, dove potrebbero esserci informazioni di particolare criticità.

Clop è anche uno dei due gruppi ritenuti responsabili degli attacchi che hanno sfruttato la vulnerabilità zero-day nei server Accellion. Proprio queste azioni hanno fornito indicazioni sulla nuova campagna di pressing ai danni delle vittime.Il coinvolgimento delle vittimeNell'ambito dell'hack di Accellion, Clop è entrato in possesso di dati sottratti al produttore di jet Bombardier. Come al solito il gruppo ha pubblicato online un estratto dei dati rubati per fare pressione. Evidentemente non è servito a incassare il riscatto, e una settimana dopo è stata coinvolta la stampa. L'azione non ha sortito l'effetto sperato perché Bombardier aveva già confermato la violazione dei dati.
È a questo punto che è scattata la seconda fase: i criminali informatici hanno iniziato a contattare via email i clienti di cui avevano sottratto informazioni nel corso dell'hack. La tattica era stata testata prima con il personale della Flagstar Bank e con alcune persone esposte nell'hack Accellion dell'Università del Colorado.

In tutti i casi è stata recapitata una email con oggetto: "I tuoi dati personali sono stati rubati e saranno pubblicati". Nel testo dell'email si spiegava che il destinatario era stato contattato in quanto cliente della vittima dell'hack. I suoi dati personali, inclusi numeri di telefono, indirizzo e-mail e altre informazioni, sarebbero state rese pubbliche se la vittima non avesse pagato il riscatto.

I criminali informatici chiudono il messaggio esortando il destinatario a "Chiamare o scrivere e chiedere di proteggere la tua privacy!!!!" In altre parole, i cyber criminali auspicano che se un numero sufficiente di clienti dovesse contattare l'azienda, questa finirebbe per pagare il riscatto.

Non è detto che la tattica funzionerà, ma il tentativo è ingegnoso, e non è il primo. Sembra che anche i criminali dietro al ransomware REvil stiano contattando i clienti delle vittime dell'hack DDoSing per esercitare ulteriore pressione.

Pagamenti dei riscatti

Probabilmente tutte queste tattiche sono tentativi per ottenere il pagamento dei riscatti. La forte campagna informativa di istituzioni e aziende specializzate in cyber security ha convinto molte vittime a non pagare il riscatto. I motivi di questa indicazione sono molti, primo fra tutti il fatto che le promesse dei cyber criminali sono spesso disattese: pagare non garantisce che i dati non verranno pubblicati o rivenuti sul dark web, né la consegna del decryptor. Oltre al fatto che foraggiare la criminalità non è una buona idea.

Inoltre, i ransomware oggi sono un'eventualità più che probabile. Con un'analisi del rischio oculata e adottando soluzioni preventive come i backup e i piani dettagliati di disaster recovery, è possibile tornare in possesso dei dati e ripristinare la produttività lasciando i criminali informatici a bocca asciutta.