Fino a ora il backup dei dati è stato uno dei modi più efficaci per difendersi dalla cifratura di dati per colpa dei ransomware. Adesso, i cybercriminali sembrano aver colto di sorpresa coloro che si affidavano ai backup. I creatori di numerosi programmi ransomware hanno infatti deciso di opporsi alle vittime che si rifiutano di pagare il riscatto pubblicando online i loro dati.

A concentrarsi su questo nuovo fenomeno è stata recentemente Kaspersky con un interessante approfondimento, sebbene la minaccia di divulgare informazioni riservate non sia una novità. Già nel 2016 infatti il gruppo responsabile del cryptoware che ha infettato i sistemi dell’azienda dei trasporti di San Francisco ha provato a usare questo trucco, ma alle minacce non sono mai seguite azioni concrete.

Maze: il primo caso

A differenza dei suoi predecessori, alla fine del 2019 il gruppo di cybercriminali artefice del ransomware Maze ha mantenuto la sua promessa. A novembre, quando Allied Universal si è rifiutata di pagare il riscatto, i criminali hanno fatto trapelare online 700 MB di dati interni, tra cui contratti, accordi di rescissione, certificati digitali e altro ancora. I cybercriminali hanno detto di aver pubblicato solo il 10% di ciò che avevano rubato e hanno minacciato di diffondere il resto dei dati riservati se la società obiettivo dell’attacco non avesse collaborato.

A dicembre, sempre gli artefici di Maze hanno creato un sito web e lo hanno utilizzato per pubblicare i nomi delle aziende vittime, le date di infezione, la quantità di dati rubati, gli indirizzi IP e i nomi dei server infetti. A gennaio, i creatori di Maze hanno caricato 9,5 GB di dati appartenenti a Medical Diagnostic Laboratories e 14,1 GB di documenti del produttore di cavi Southwire, che in precedenza aveva fatto causa ai ricattatori per aver fatto trapelare informazioni riservate.

Sodinokibi, Nemty e BitPyLock

Sono seguiti altri criminali informatici. Il gruppo dietro il ransomware Sodinokibi, utilizzato a Capodanno per attaccare la società finanziaria internazionale Travelex, all’inizio di gennaio ha espresso l’intenzione di pubblicare i dati dei clienti dell’azienda. I criminali informatici affermano di disporre di oltre 5 GB di informazioni private, tra cui date di nascita, numeri di previdenza sociale e dati delle carte di credito.

cybersicurezza

Travelex, da parte sua, afferma di non aver visto alcuna prova di una fuga di dati online e che si rifiuta di pagare un riscatto. Nel frattempo, i cybercriminali dicono che l’azienda ha accettato di avviare le trattative con lo scopo di evitare la fuga di dati riservati. L’11 gennaio lo stesso gruppo ha caricato su un forum di hacker i link a circa 337 MB di dati, dicendo che i dati appartenevano alla società di recruiting Artech Information Systems, che si è rifiutata di pagare il riscatto. I cybercriminali sostengono che i dati riservati pubblicati rappresentino solo una piccola parte di quanto rubato e che hanno intenzione di vendere il resto a meno che le vittime non paghino il riscatto.

Gli autori del malware Nemty sono stati i successivi ad annunciare l’intenzione di pubblicare i dati riservati delle vittime che si rifiutano di pagare, dicendo di voler creare un blog dove pubblicare poco alla volta i documenti privati delle vittime che non accetteranno le loro richieste. Anche i creatori del ransomware BitPyLock si sono uniti a questa tendenza, aggiungendo al messaggio di riscatto la minaccia di rendere disponibili al pubblico i dati riservati delle vittime. Anche se non è ancora successo, BitPyLock potrebbe dimostrare di riuscire a rubare dati riservati.

Non un semplice ransomware

Le funzionalità avanzate aggiunte ai programmi ransomware non sono una novità. Ad esempio, già nel 2016 una versione di Shade Trojan, dopo aver verificato di aver colpito un dispositivo per la contabilità, installava strumenti di amministrazione remota invece di cifrare i file. CryptXXX cifrava i file e rubava Bitcoin e credenziali delle vittime. Il gruppo artefice di RAA ha aggiunto il Trojan Pony ad alcuni esemplari del malware, anche in questo caso con l’obiettivo di rubare credenziali. La capacità di un ransomware di rubare dati non dovrebbe sorprendere nessuno, soprattutto ora che le aziende sono sempre più coscienti della necessità di eseguire il backup delle loro informazioni.

È preoccupante che i backup non servano più proteggersi da questi attacchi. Se si è infetti, non c’è modo di evitare perdite economiche, che non si limitano necessariamente al riscatto; i ricattatori non forniscono alcuna garanzia. L’unico modo per proteggersi è quello di non far entrare i malware nei vostri sistemi informatici.

Come difendersi dai ransomware? Kaspersky suggerisce di:

  • Incrementate la conoscenza e la consapevolezza del vostro personale su questioni di sicurezza informatica. Quanto più il personale è esperto in materia, minore sarà la probabilità che il phishing e le altre tecniche di ingegneria sociale sortiscano effetto
  • Aggiornate tempestivamente i sistemi operativi e il software, in particolare tutto ciò che contiene vulnerabilità che consentono l’accesso non autorizzato e il controllo del sistema
  • Utilizzate una soluzione di protezione specifica, volta a combattere i ransomware