Ransomware: i successi di Dark Angel incoraggiano il ‘Big Game Hunting’

Il ransomware funziona perché è una tecnica altamente redditizia e continuerà a crescere, soprattutto con l’approccio mirato verso grandi aziende.

A suggerirlo è il rapporto di Zscaler ThreatLabz, secondo il quale una delle aziende Fortune 50 ha pagato un riscatto record di 75 milioni di dollari al gruppo ransomware Dark Angels.

Questa cifra dimostra quanto le grandi corporazioni siano disposte a pagare per riottenere l’accesso ai propri dati. E supera di gran lunga il precedente record di 40 milioni di dollari, pagato dall’assicuratore CNA dopo un attacco ransomware del gruppo Evil Corp.

I Dark Angels, un’operazione ransomware lanciata nel maggio 2022, seguono la strategia del “Big Game Hunting”. Questo approccio consiste nel prendere di mira poche aziende di altissimo valore piuttosto che molte aziende contemporaneamente per riscatti minori ma numerosi.

Secondo Zscaler ThreatLabz, i Dark Angels violano le reti aziendali, si muovono lateralmente fino a ottenere l’accesso amministrativo e rubano dati dai server compromessi. Quando ottengono l’accesso al controller di dominio Windows, distribuiscono il ransomware per crittografare tutti i dispositivi della rete .

Dark Angels utilizza crittografi Linux, evoluti dai precedenti crittografi Windows e VMware ESXi basati sul codice sorgente trapelato del ransomware Babuk. Questo crittografo Linux è stato impiegato da Ragnar Locker in un attacco su Johnson Controls, dove sono stati rubati 27 TB di dati aziendali e richiesti 51 milioni di dollari di riscatto.

Oltre al furto e alla crittografia dei dati, i Dark Angels gestiscono un sito di fuga di dati chiamato Dunghill Leaks, dove minacciano di divulgare le informazioni rubate se il riscatto non viene pagato.

Il caso più recente di un pagamento record di 75 milioni di dollari è stato confermato anche dalla società di intelligence sulle criptovalute Chainalysis, che ne ha parlato su X. Questo pagamento è stato fatto da un’azienda Fortune 50, che Zscaler non ha nominato, ma si sa che l’attacco è avvenuto all’inizio del 2024.

We can confirm that early this year we saw the largest ransomware payment ever at $75M. The “big game hunting” trend we discussed in our 2024 crime report – fewer attacks on larger targets with deeper pockets – is becoming more pronounced. https://t.co/Z0yvg3Zvp2 pic.twitter.com/4FsivojtA5

— Chainalysis (@chainalysis) July 30, 2024

Una delle possibili vittime è il gigante farmaceutico Cencora, che ha subito un attacco informatico nel febbraio 2024. Nonostante nessun gruppo ransomware abbia rivendicato l’attacco, il pagamento di un riscatto potrebbe spiegare il suo silenzio.

La strategia del Big Game Hunting, che secondo Chainalysis è sempre più utilizzata negli ultimi anni, si sta dimostrando particolarmente efficace. Anche perché molto più comodo per gli attaccanti focalizzarsi su poche (ma remunerative) aziende piuttosto che prendere di mira le vittime indiscriminatamente, delegando gran parte dell’attacco a reti di affiliati.

Sebbene machi la certezza che la vittima sia stata Cencora, di sicuro c’è che il successo di operazioni come quella dei Dark Angels evidenzia perché il ransomware rimane una minaccia persistente e in crescita per le grandi aziende. E la potenzialità di vedersi pagati ricchi riscatti continuerà a incentivare i criminali informatici a seguire questa strategia mirata.