{"id":19904,"date":"2020-02-13T10:15:18","date_gmt":"2020-02-13T08:15:18","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=19904"},"modified":"2020-02-13T10:36:19","modified_gmt":"2020-02-13T08:36:19","slug":"ransomware-data-disclosure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ransomware-data-disclosure\/19904\/","title":{"rendered":"Ransomware: quando il backup dei dati non \u00e8 pi\u00f9 sufficiente"},"content":{"rendered":"

Fino a ora, il backup dei dati<\/strong><\/a> \u00e8 stato uno dei modi pi\u00f9 efficaci per difendersi dalla cifratura di dati per colpa dei ransomware<\/strong>, anche se si tratta di un compito laborioso. Adesso, i cybercriminali sembrano aver colto di sorpresa coloro che si affidavano ai backup. I creatori di numerosi programmi ransomware hanno deciso di opporsi alle vittime che si rifiutano di pagare il riscatto pubblicando online i dati<\/strong>.<\/p>\n

Pubblicazione dei dati riservati online: una minaccia che diventa realt\u00e0<\/strong><\/h2>\n

Le minacce di divulgare informazioni riservate<\/strong> non sono una novit\u00e0. Ad esempio, nel 2016 il gruppo responsabile del cryptoware<\/a><\/strong> che ha infettato i sistemi dell\u2019azienda dei trasporti di San Francisco ha provato a usare questo trucco ma alle minacce non sono mai seguite azioni concrete.<\/p>\n

Maze: il primo caso<\/h3>\n

A differenza dei suoi predecessori, alla fine del 2019 il gruppo di cybercriminali artefice del ransomware Maze<\/strong> ha mantenuto la sua promesse, e pi\u00f9 di una volta. A novembre, quando Allied Universal si \u00e8 rifiutata di pagare il riscatto, i criminali hanno fatto trapelare online 700 MB di dati interni<\/a><\/strong>, tra cui contratti, accordi di rescissione, certificati digitali e altro ancora. I cybercriminali hanno detto di aver pubblicato solo il 10% di ci\u00f2 che avevano rubato e hanno minacciato di diffondere il resto dei dati riservati se la societ\u00e0 obiettivo dell\u2019attacco non avesse collaborato.<\/p>\n

A dicembre, sempre gli artefici di Maze hanno creato un sito web<\/a> e lo hanno utilizzato per pubblicare i nomi delle aziende vittime, le date di infezione, la quantit\u00e0 di dati rubati, gli indirizzi IP e i nomi dei server infetti. Hanno anche caricato alcuni documenti. Alla fine del mese erano stati pubblicati online 2 GB di file, che sembrano essere stati rubati alla citt\u00e0 di Pensacola, in Florida.<\/a> I ricattatori hanno detto di aver pubblicato le informazioni per dimostrare che non stavano bluffando.<\/p>\n

A gennaio, i creatori di Maze hanno caricato<\/a> 9,5 GB di dati appartenenti a Medical Diagnostic Laboratories e 14,1 GB di documenti del produttore di cavi Southwire, che in precedenza aveva fatto causa ai ricattatori per aver fatto trapelare informazioni riservate. La causa ha fatto chiudere il sito web di Maze, ma non durer\u00e0.<\/p>\n

Poi \u00e8 stata la volta di Sodinokibi, Nemty e BitPyLock<\/h3>\n

Sono seguiti altri criminali informatici. Il gruppo dietro il ransomware Sodinokibi<\/strong>, utilizzato a Capodanno per attaccare la societ\u00e0 finanziaria internazionale Travelex, all\u2019inizio di gennaio ha espresso l\u2019intenzione di pubblicare i dati dei clienti dell\u2019azienda<\/a>. I criminali informatici affermano di disporre di oltre 5 GB di informazioni private, tra cui date di nascita, numeri di previdenza sociale e dati delle carte di credito.<\/p>\n

Travelex, da parte sua, afferma di non aver visto alcuna prova di una fuga di dati online<\/a><\/strong> e che si rifiuta di pagare un riscatto. Nel frattempo, i cybercriminali dicono che l\u2019azienda ha accettato di avviare le trattative con lo scopo di evitare la fuga di dati riservati.<\/p>\n

L\u201911 gennaio, lo stesso gruppo ha caricato<\/a> su un forum di hacker i link a circa 337 MB di dati, dicendo che i dati appartenevano alla societ\u00e0 di recruiting Artech Information Systems, che si \u00e8 rifiutata di pagare il riscatto. I cybercriminali sostengono che i dati riservati pubblicati<\/strong> rappresentino solo una piccola parte di quanto rubato e che hanno intenzione di vendere il resto a meno che le vittime non paghino il riscatto.<\/p>\n

Gli autori del malware Nemty sono stati i successivi ad annunciare<\/a> l\u2019intenzione di pubblicare i dati riservati delle vittime che si rifiutano di pagare, dicendo di voler creare un blog dove pubblicare poco alla volta i documenti privati delle vittime che non accetteranno le loro richieste.<\/p>\n

I creatori del ransomware BitPyLock si sono uniti alla tendenza<\/a>, aggiungendo al messaggio di riscatto la minaccia di rendere disponibili al pubblico i dati riservati delle vittime. Anche se non \u00e8 ancora successo, BitPyLock potrebbe dimostrare di riuscire a rubare dati riservati.<\/p>\n

Non un semplice ransomware<\/h2>\n

Le funzionalit\u00e0 avanzate aggiunte ai programmi ransomware non sono una novit\u00e0. Ad esempio, gi\u00e0 nel 2016 una versione di Shade Trojan, dopo aver verificato di aver colpito un dispositivo per la contabilit\u00e0, installava strumenti di amministrazione remota<\/a> invece di cifrare i file. CryptXXX cifrava i file e rubava Bitcoin e credenziali delle vittime<\/a>. Il gruppo artefice di RAA ha aggiunto il Trojan Pony ad alcuni esemplari del malware<\/a>, anche in questo caso con l\u2019obiettivo di rubare credenziali. La capacit\u00e0 di un ransomware<\/strong> di rubare dati non dovrebbe sorprendere nessuno, soprattutto ora che le aziende sono sempre pi\u00f9 coscienti della necessit\u00e0 di eseguire il backup delle loro informazioni.<\/p>\n

\u00c8 preoccupante che i backup non servano pi\u00f9 proteggersi da questi attacchi.<\/strong> Se si \u00e8 infetti, non c\u2019\u00e8 modo di evitare perdite economiche, che non si limitano necessariamente al riscatto; i ricattatori non forniscono alcuna garanzia. L\u2019unico modo per proteggersi \u00e8 quello di non far entrare i malware<\/a><\/strong> nei vostri sistemi informatici.<\/p>\n

Come difendersi dai ransomware<\/h2>\n

Resta da vedere se questa nuova tendenza nel mondo ransomware<\/strong> si riveler\u00e0 efficace o se verr\u00e0 abbandonata. Questi attacchi hanno appena preso il via, quindi \u00e8 necessario rimanere protetti da tali minacce informatiche. Qui andiamo oltre i danni di reputazione e la divulgazione non autorizzata di segreti commerciali<\/strong>, se si consente il furto dei dati personali di un cliente, si rischia di andare incontro a multe molto salate<\/a><\/strong>. Quindi, ecco qualche consiglio di cyberscurity<\/strong>:<\/p>\n