Quando si pensa alle minacce estorsive nel mondo nel mondo IT, la mente va subito alle minacce da ransomware. 

Siamo d’accordo, il termine ransom in inglese significa esattamente riscatto, ed è la clausola imposta dai malware di tipo ransomware per ottenere (difficilmente) lo “sblocco” dei dati presi in ostaggio crittograficamente dallo strumento di attacco. Anche i numeri fanno pendere l’ago della bilancia verso questa identificazione, in quanto questa è la forma più frequente di attacco a cui siamo esposti noi comuni mortali. 

Ma di cyber riscatti ne esistono varie forme e non tutti gli agenti di minaccia si specializzano nell’utilizzo di ransomware quali strumenti per realizzare un guadagno dalla loro attività criminale. 

Certamente attori come Conti, Hive, Lockbit, RagnarLocker e tanti altri sono noti come gruppi di minaccia che agiscono mediante malware di tipo ransomware per portare avanti le loro finalità estorsive; ma alcuni attori adottano strategie estorsive anche differenti, strategie che sono forse meno note in quanto colpiscono realtà differenti dai singoli cittadini o le piccole aziende, ovvero si concentrano su “pesci molto più grossi” che spesso evitano anche di divulgare notizie sull’incidente (che pagherebbero in termini di immagine, con conseguente riduzioni di profitti: una beffa oltre al danno di un riscatto spesso pagato silenziosamente). 

Quando l’attenzione si rivolge ai “pesci grossi”, il danno maggiore che può derivarne per questi non è l’inaccessibilità delle loro informazioni (magari poste in salvo in qualche backup correttamente posto offline), ma esattamente il contrario: il danno ne deriva nella divulgazione pubblica di queste informazioni. Ed è proprio questo che alcuni gruppi estorsivi hanno cominciato a comprendere, e così, anche se motivati solo economicamente come LAPSUS$, si sono specializzati in forme di furto di informazioni non strategico: la minaccia di pubblicazione di queste informazioni diviene l’arma di ricatto per ottenere il riscatto, dunque solo soldi, dalle loro vittime. Queste forme di attacco a volte sono basate su tattiche neppure troppo sofisticate, a volte illogiche, spavalde e roboanti, come nel caso dell’attacco di LAPSUS$ ad NVIDIA, atto che ha portato il gruppo alla ribalda mondiale. Ma tanto è: sono efficaci. 

Un’altra strategia per ottenere un riscatto è quella di utilizzare semplicemente la minaccia di un attacco DDoS contro l’infrastruttura pubblica di una qualche vittima, che naturalmente avrebbe a soffrire (anche economicamente) da questa situazione. Si tratta dei cosiddetti Ransom DoS (RDoS), come quelli che hanno visto protagonista gruppi che si fanno chiamare "Fancy Bear", "Armada Collective”, “Cozy Bear” o “"Fancy Lazarus". 

Tipicamente la strategia di questi gruppi è comunicare con le loro vittime attraverso la posta elettronica, intimando il pagamento di un riscatto (rigorosamente in BitCoin) pena l’esecuzione a breve di un attacco DDoS. Spesso possono accompagnare la comunicazione con un’azione dimostrativa (un attacco a più bassa intensità, o molto breve). Il resto della storia è abbastanza ovvia: qualora il riscatto non dovesse pervenire, i gruppi di minaccia provvederebbero a scatenare un attacco (ne sono stati minacciati con intensità fino a 2Tbps, ma certamente non è infrequente vederne in natura alcuni da 300Gbps come fosse una normalità) che nessuna infrastruttura da sola può sopportare. 

Naturalmente la tariffa di riscatto aumenta dopo ogni mancato pagamento (e conseguente attacco dimostrativo), piegando la vittima al ricatto via via che il tutto diventa insostenibile. Certamente è difficile per le potenziali vittime non entrare nel mirino di questi gruppi, in quanto la loro individuazione parte dalle fondamenta di Internet, ossia l’identificazione di contatti BGP e le informazioni sulle aziende presenti nel database whois. 

Uniche speranze di sostenere la difesa di attacchi di tal misura possono derivare da soluzioni dedicate offerte (commercialmente) da provider quali Akamai, Clouflare e altri attori di tale dimensione.

Tweet