I gruppi ransomware usano i dati rubati per aumentare la pressione sulle vittime

Il ransomware continua a spaventare le aziende di tutto il mondo, le quali devono vedersela non solo con la perdita di dati, ma anche col pericolo che vengano pubblicati sul web. I cybercriminali sanno che le imprese temono l’esposizione delle informazioni sensibili e sfruttano questo vantaggio per aumentare la pressione sugli obiettivi che si rifiutano di pagare.

Pixabay

A dirlo è la ricerca “Turning the Screws: The Pressure Tactics of Ransomware Gangs” di Sophos X-Ops, la quale evidenzia che i cyberattaccanti stanno usando nuove tecniche per costringere le vittime a pagare il riscatto, facendo pressione su di esse in ogni modo.

“Le gang di cybercriminali autrici di attacchi ransomware stanno diventando sempre più invasive e audaci su come e cosa colpire. Per aggravare la pressione sulle aziende, non si limitano a rubare i dati e a minacciare di diffonderli, ma li analizzano attivamente per massimizzare i danni e creare nuove opportunità di estorsione. Ciò significa che le organizzazioni non devono preoccuparsi soltanto dello spionaggio aziendale e della perdita di segreti commerciali o di attività illegali da parte dei dipendenti, ma anche dei danni collaterali di questi cyberattacchi“, ha dichiarato Christopher Budd, direttore della ricerca sulle minacce di Sophos.

I gruppi ransomware minacciano le vittime

In molti casi i gruppi ransomware condividono i dettagli di contatto degli amministratori delegati ed eseguono attacchi di doxing contro i membri della loro famiglia; inoltre, minacciano di riferire alle autorità qualsiasi informazione su attività commerciali illegali trovata nei dati, a danno della reputazione aziendale.

I cybercriminali spesso criticano apertamente le vittime e le deridono, additandole come entità poco etiche e negligenti; anche in questo caso si tratta di un danno di reputazione significativo e, agli occhi dei cittadini, i gruppi ransomware possono addirittura apparire come dei vigilantes dalla parte del giusto.

Il team di Sophos ha inoltre scoperto che i gruppi ransomware stanno sottraendo e pubblicando sempre più spesso dati estremamente sensibili, come informazioni sanitarie, immagini di nudo e, nel caso del gruppo Qiulong, anche i documenti della figlia del CEO dell’azienda colpita.

Dopo aver informato l’azienda di essere in possesso di questi e altri dati, alcuni gruppi incoraggiano i dipendenti a chiedere un risarcimento all’organizzazione per il danno subito e minacciano di contattare anche clienti, partner e concorrenti per informarli della violazione; tutto questo per aumentare la pressione sulle aziende e spingerle a pagare.

In un caso specifico, la gang Monti ha addirittura dichiarato di essere in possesso di prove riguardo un dipendente che avrebbe cerato materiale pedopornografico. Il gruppo ha pubblicato uno screenshot con la cronologia del browser del dipendente e una finestra PowerShell in cui si vedeva lo username del presunto colpevole. In un messaggio rivolto all’azienda, Monti ha affermato che se non avesse pagato avrebbero fornito queste informazioni alle autorità e le avrebbero rivelate al pubblico.

Pixabay

“Dal punto di vista degli attaccanti, fare riferimento a persone specifiche serve a tre scopi. In primo luogo, fornisce un “parafulmine” per qualsiasi accusa, pressione e/o controversia successiva. In secondo luogo, contribuisce alla minaccia di danni alla reputazione. In terzo luogo, gli attacchi personali possono minacciare e intimidire la leadership dell’organizzazione presa di mira” si legge nel report.

Il team di Sophos X-Ops prevede un aumento dell’uso di queste tattiche per fare pressione sugli obiettivi, oltre all’impiego di nuove strategie per aumentare il danno reputazionale in caso di mancato pagamento.

Oltre a stipulare un contratto di assicurazione che comprenda anche le minacce ransomware, le imprese devono lavorare per migliorare la propria postura di cybersecurity; ciò include l’uso di soluzioni Zero Trust Network Access, la segmentazione della rete, la riduzione della superficie di attacco, l’uso di metodi di autenticazione robusti e l’installazione tempestiva di patch.