La società di gestione viaggi CWT paga $ 4,5 milioni per sbloccare i propri file
Esistono innumerevoli studi che utilizzano un ampio spettro di metodi diversi per calcolare i costi di un attacco ransomware per la vittima. Questi documenti di ricerca prendono in considerazione una serie di fattori, ma il quadro non può mai essere così chiaro come quando si vede che l'attacco si svolge in prima persona. La scorsa settimana, Jack Stubbs di Reuters si è avvicinato il più possibile a questo. Ha messo le mani su screenshot che mostrano la comunicazione tra operatori di ransomware e dipendenti di una società di gestione dei viaggi chiamata CWT, e ora può dirci che, in termini puramente monetari, almeno questo attacco è costato $ 4,5 milioni.
Table of Contents
Ragnar Locker colpisce male la CWT
Sorprendentemente o no, CWT non è particolarmente interessato a parlare dell'incidente. In una dichiarazione a Reuters, la società ha dichiarato che tutto era tornato alla normalità dopo un arresto temporaneo di tutti i suoi sistemi. L'inchiesta era agli inizi quando la società ha parlato con Reuters la scorsa settimana, ma a quanto pare, a quel tempo, non c'erano prove che le informazioni sui clienti fossero esposte. Il rapporto di Jack Stubbs, tuttavia, suggerisce che l'incidente è stato molto più grave.
Secondo esso, la società di gestione dei viaggi è stata colpita dal ransomware Ragnar Locker. Come sempre, dopo aver crittografato tonnellate di informazioni preziose, il ransomware ha lasciato una nota, che includeva un modo per contattare i criminali informatici responsabili dell'attacco. La comunicazione è stata effettuata tramite una piattaforma di messaggistica istantanea e gli screenshot mostrano che all'inizio i rappresentanti di CWT non erano completamente sicuri di ciò che era accaduto. I truffatori hanno detto loro di aver crittografato i file su oltre 30 mila dispositivi collegati alla rete CWT e di aver anche rubato copie di rendiconti finanziari, dati personali dei dipendenti e altri documenti sensibili.
In altre parole, CWT non solo doveva sbloccare i suoi file per riprendere il normale funzionamento, ma doveva anche preoccuparsi che tonnellate di dati sensibili venissero divulgati dagli operatori di ransomware.
I truffatori mostrano una certa comprensione
Per recuperare i suoi dati e prevenire una perdita, CWT doveva pagare $ 10 milioni in bitcoin. I truffatori hanno giustamente sottolineato che, sebbene chiedano una notevole quantità di denaro, il riscatto sarà probabilmente considerevolmente inferiore ai costi associati al danno reputazionale e alle cause che potrebbero seguire l'esposizione delle informazioni.
CWT non ha annunciato ufficialmente se mantiene o meno i backup dei suoi dati, ma gli screenshot pubblicati da Reuters mostrano che l'azienda era disposta a collaborare praticamente dall'inizio. Il rappresentante della CWT ha sottolineato, tuttavia, che 10 milioni di dollari sono una grande richiesta, soprattutto nel mezzo di una pandemia che sta causando danni senza precedenti al settore dei viaggi.
Sorprendentemente, gli operatori di ransomware hanno mostrato una certa comprensione e hanno concordato di negoziare un prezzo più accettabile. Alla fine si stabilirono per $ 4,5 milioni.
Le conseguenze di fare affari con i truffatori
CWT non ha ancora pubblicato una dichiarazione ufficiale relativa all'attacco, ma il rapporto di Reuters suggerisce che il pagamento è stato elaborato e che la società ha ottenuto la chiave di decrittazione. È ovvio che negoziare con i criminali e pagare il riscatto dovrebbe sempre essere l'ultima risorsa, e siamo abbastanza sicuri che CWT abbia esaurito tutte le altre opzioni prima di accettare di trasferire i bitcoin. Anche così, il fatto che la società sia stata colpita così male dimostra che non era molto ben preparato per un attacco di ransomware, e questo ha sicuramente un effetto sulla sua reputazione. C'è anche un altro potenziale problema.
Durante i negoziati, i truffatori hanno promesso che una volta ricevuto il riscatto, invieranno uno strumento di decrittazione e cancelleranno anche le informazioni che hanno rubato alla CWT. Sfortunatamente, una conversazione in chat anonima non è un documento legalmente vincolante, specialmente quando la persona all'altra estremità della tastiera si impegna in attività criminali informatiche per vivere. I truffatori hanno inviato lo strumento di decrittazione, ma nessuno può dire con certezza se hanno mantenuto la promessa e cancellato le informazioni rubate. CWT non ha altra scelta se non quella di crederci, il che, si potrebbe sostenere, non è sempre la strategia migliore.
