Gli operatori di ransomware possono ora rubare i tuoi dati prima di crittografarli
Il ransomware ha dimostrato più volte di essere una delle armi più potenti nell'arsenale dei criminali informatici. Inizialmente, gli hacker dovrebbero creare la propria famiglia di malware di crittografia dei file, che non è esattamente una passeggiata nel parco, ma al momento, noleggiare o scaricare ceppi gratuiti è facile. La maggior parte degli utenti non è ancora pienamente consapevole dei pericoli che si nascondono dietro ogni angolo di Internet, il che significa che i tassi di infezione sono generalmente piuttosto buoni, e la stessa mancanza di consapevolezza significa che molti non mantengono backup regolari dei loro file che, a sua volta, ha un effetto positivo sul saldo dei portafogli di criptovaluta dei truffatori.
È un modello di business collaudato che ha funzionato per molti. Questo non significa che la minaccia non si stia evolvendo, comunque. Lungi da ciò, in effetti.
In passato, il ransomware veniva utilizzato principalmente nelle campagne spray-and-pray principalmente rivolte agli utenti domestici. Negli ultimi mesi, tuttavia, i criminali informatici si sono resi conto che i profitti derivanti dal colpire grandi organizzazioni potrebbero essere più grandi e l'attenzione si è spostata in qualche modo. Gli esperti di sicurezza informatica hanno ora individuato un'altra tendenza, più preoccupante.
Table of Contents
Zeppelin ransomware ruba i dati delle organizzazioni prima di crittografarli
All'inizio di dicembre, i ricercatori di Morphisec hanno assistito ad un attacco a un loro cliente che lavorava nel settore immobiliare. Dopo un'indagine più approfondita, si sono resi conto che gli hacker stavano cercando di infettare l'azienda con il ransomware Zeppelin, l'ultima versione della famiglia di ransomware come servizio di VegaLocker. Gli aggressori stavano sfruttando un'applicazione desktop remota con il nome di ConnectWise Control (fka ScreenConnect) e, in generale, non c'era nulla di troppo insolito nella catena di infezione.
I ricercatori hanno notato, tuttavia, che una volta trovato su uno dei server di database Windows della vittima, il ransomware ha provato a creare una copia dei dati e quindi a inviarli al server Command & Control (C&C) di truffatori. Successivamente, ha tentato di propagarsi ulteriormente lungo la rete e ha infine distribuito il modulo di crittografia dei file.
In altre parole, il ransomware Zeppelin ha cercato di rubare i dati dell'azienda prima di bloccarli e conservarli per il riscatto. Secondo Catalin Cimpanu di ZDNet, questo è ben lungi dall'essere l'unico ceppo di ransomware a impiegare tali tattiche. Ha detto che anche gli attaccanti che usano i campioni di ransomware Maze, REvil e Snatch si sono impegnati in attività simili. Ma perché hanno improvvisamente deciso che questa è una buona idea?
Un meccanismo di ripristino più affidabile
Se ci pensate, per gli hacker, rubare i file prima di crittografarli e richiedere un riscatto ha molto senso. Corrono effettivamente il rischio di sollevare sospetti mentre provano a esfiltrare molti dati, ma la probabilità di essere scoperti di solito non è così alta. E quando dai un'occhiata ai vantaggi del passaggio aggiuntivo, inizierai anche a chiederti perché non ci hanno pensato prima.
In un normale attacco ransomware, quando la vittima decide di pagare il riscatto, inviano bitcoin al portafoglio dei criminali e, in cambio, si aspettano un programma che decodifichi i file bloccati. In alcuni casi, i truffatori prendono semplicemente i soldi e scappano, ma ci sono molti operatori di ransomware che hanno la vera intenzione di restituire alle vittime i loro dati una volta ricevuto il pagamento. Hanno bisogno di scrivere i propri decifratori, tuttavia, e sfortunatamente, a volte commettono errori.
Abbiamo ascoltato molte storie di persone che hanno perso dati nonostante abbiano pagato il riscatto a causa di uno strumento di decrittazione difettoso. Gli utenti sono quelli che perdono denaro e dati, ma l'impatto è anche negativo per i truffatori, che non sembrano molto affidabili e quindi hanno meno probabilità di essere pagati dalle future vittime.
Se gli hacker hanno una copia dei dati non crittografati, tuttavia, possono semplicemente rispedirli alle vittime dopo il pagamento e assicurarsi che le cose tornino alla normalità relativamente indolore.
Intendiamoci, se la vittima ha un backup, tutto ciò sarebbe inutile. A meno che, naturalmente, gli hacker non minaccino la perdita dei dati se il riscatto non viene pagato.
Più leva sul ricatto
Come abbiamo già detto, spesso gli obiettivi sono le grandi organizzazioni. Gli hacker non possono rubare foto delle vacanze o selfie imbarazzanti da loro, ma possono esfiltrare segreti commerciali e altre informazioni estremamente preziose. E quando la società attaccata dice che non pagherà perché ha backup, i truffatori possono facilmente minacciarlo di perdere tutti i dati sensibili.
Secondo il rapporto di ZDNet, gli operatori di ransomware hanno già utilizzato i database rubati come secondo punto di estorsione e i truffatori che eseguono il ransomware Maze hanno persino creato un sito Web in cui elencano tutte le società che si sono rifiutate di pagare il riscatto e successivamente i loro dati sono stati esposti da il gruppo.
Va detto che non tutte le squadre di hacker sono in grado di sferrare un attacco così distruttivo. Se vogliono rubare e crittografare informazioni da molti utenti o società diversi, avranno bisogno di una grande infrastruttura C&C che potrebbe essere costosa da configurare e mantenere. Coloro che riescono a trovare la configurazione corretta, tuttavia, avranno un netto vantaggio.
