Ransomware: quando il backup dei dati non è più sufficiente

Sembra che i creatori di malware stiano seguendo una nuova tendenza: pubblicare i dati delle aziende che si sono rifiutate di pagare il riscatto richiesto.

Fino a ora, il backup dei dati è stato uno dei modi più efficaci per difendersi dalla cifratura di dati per colpa dei ransomware, anche se si tratta di un compito laborioso. Adesso, i cybercriminali sembrano aver colto di sorpresa coloro che si affidavano ai backup. I creatori di numerosi programmi ransomware hanno deciso di opporsi alle vittime che si rifiutano di pagare il riscatto pubblicando online i dati.

Pubblicazione dei dati riservati online: una minaccia che diventa realtà

Le minacce di divulgare informazioni riservate non sono una novità. Ad esempio, nel 2016 il gruppo responsabile del cryptoware che ha infettato i sistemi dell’azienda dei trasporti di San Francisco ha provato a usare questo trucco ma alle minacce non sono mai seguite azioni concrete.

Maze: il primo caso

A differenza dei suoi predecessori, alla fine del 2019 il gruppo di cybercriminali artefice del ransomware Maze ha mantenuto la sua promesse, e più di una volta. A novembre, quando Allied Universal si è rifiutata di pagare il riscatto, i criminali hanno fatto trapelare online 700 MB di dati interni, tra cui contratti, accordi di rescissione, certificati digitali e altro ancora. I cybercriminali hanno detto di aver pubblicato solo il 10% di ciò che avevano rubato e hanno minacciato di diffondere il resto dei dati riservati se la società obiettivo dell’attacco non avesse collaborato.

A dicembre, sempre gli artefici di Maze hanno creato un sito web e lo hanno utilizzato per pubblicare i nomi delle aziende vittime, le date di infezione, la quantità di dati rubati, gli indirizzi IP e i nomi dei server infetti. Hanno anche caricato alcuni documenti. Alla fine del mese erano stati pubblicati online 2 GB di file, che sembrano essere stati rubati alla città di Pensacola, in Florida. I ricattatori hanno detto di aver pubblicato le informazioni per dimostrare che non stavano bluffando.

A gennaio, i creatori di Maze hanno caricato 9,5 GB di dati appartenenti a Medical Diagnostic Laboratories e 14,1 GB di documenti del produttore di cavi Southwire, che in precedenza aveva fatto causa ai ricattatori per aver fatto trapelare informazioni riservate. La causa ha fatto chiudere il sito web di Maze, ma non durerà.

Poi è stata la volta di Sodinokibi, Nemty e BitPyLock

Sono seguiti altri criminali informatici. Il gruppo dietro il ransomware Sodinokibi, utilizzato a Capodanno per attaccare la società finanziaria internazionale Travelex, all’inizio di gennaio ha espresso l’intenzione di pubblicare i dati dei clienti dell’azienda. I criminali informatici affermano di disporre di oltre 5 GB di informazioni private, tra cui date di nascita, numeri di previdenza sociale e dati delle carte di credito.

Travelex, da parte sua, afferma di non aver visto alcuna prova di una fuga di dati online e che si rifiuta di pagare un riscatto. Nel frattempo, i cybercriminali dicono che l’azienda ha accettato di avviare le trattative con lo scopo di evitare la fuga di dati riservati.

L’11 gennaio, lo stesso gruppo ha caricato su un forum di hacker i link a circa 337 MB di dati, dicendo che i dati appartenevano alla società di recruiting Artech Information Systems, che si è rifiutata di pagare il riscatto. I cybercriminali sostengono che i dati riservati pubblicati rappresentino solo una piccola parte di quanto rubato e che hanno intenzione di vendere il resto a meno che le vittime non paghino il riscatto.

Gli autori del malware Nemty sono stati i successivi ad annunciare l’intenzione di pubblicare i dati riservati delle vittime che si rifiutano di pagare, dicendo di voler creare un blog dove pubblicare poco alla volta i documenti privati delle vittime che non accetteranno le loro richieste.

I creatori del ransomware BitPyLock si sono uniti alla tendenza, aggiungendo al messaggio di riscatto la minaccia di rendere disponibili al pubblico i dati riservati delle vittime. Anche se non è ancora successo, BitPyLock potrebbe dimostrare di riuscire a rubare dati riservati.

Non un semplice ransomware

Le funzionalità avanzate aggiunte ai programmi ransomware non sono una novità. Ad esempio, già nel 2016 una versione di Shade Trojan, dopo aver verificato di aver colpito un dispositivo per la contabilità, installava strumenti di amministrazione remota invece di cifrare i file. CryptXXX cifrava i file e rubava Bitcoin e credenziali delle vittime. Il gruppo artefice di RAA ha aggiunto il Trojan Pony ad alcuni esemplari del malware, anche in questo caso con l’obiettivo di rubare credenziali. La capacità di un ransomware di rubare dati non dovrebbe sorprendere nessuno, soprattutto ora che le aziende sono sempre più coscienti della necessità di eseguire il backup delle loro informazioni.

È preoccupante che i backup non servano più proteggersi da questi attacchi. Se si è infetti, non c’è modo di evitare perdite economiche, che non si limitano necessariamente al riscatto; i ricattatori non forniscono alcuna garanzia. L’unico modo per proteggersi è quello di non far entrare i malware nei vostri sistemi informatici.

Come difendersi dai ransomware

Resta da vedere se questa nuova tendenza nel mondo ransomware si rivelerà efficace o se verrà abbandonata. Questi attacchi hanno appena preso il via, quindi è necessario rimanere protetti da tali minacce informatiche. Qui andiamo oltre i danni di reputazione e la divulgazione non autorizzata di segreti commerciali, se si consente il furto dei dati personali di un cliente, si rischia di andare incontro a multe molto salate. Quindi, ecco qualche consiglio di cyberscurity:

  • Incrementate la conoscenza e la consapevolezza del vostro personale su questioni di sicurezza informatica. Quanto più il personale è esperto in materia, minore sarà la probabilità che il phishing e le altre tecniche di ingegneria sociale sortiscano effetto. Abbiamo una soluzione di sicurezza per la vostra azienda: una piattaforma di apprendimento, Kaspersky Automated Security Awareness Platform, che è stata progettata per i dipendenti con diversi livelli di carico di lavoro, interessi e livello di accesso alle informazioni riservate;
  • Aggiornate tempestivamente i sistemi operativi e il software, in particolare tutto ciò che contiene vulnerabilità che consentono l’accesso non autorizzato e il controllo del sistema;
  • Utilizzate una soluzione di protezione specifica, volta a combattere i ransomware. Ad esempio, potete scaricare gratuitamente il nostro Kaspersky Anti-Ransomware Tool.
Consigli