È il caso di Ryuk, un «ransomware» progettato per interrompere di netto l’operatività aziendale. Sophos ha notato che nel giro di tre ore e mezza dall’apertura di un allegato di email di «phishing» da parte di un impiegato aziendale, i cybercriminali riescono a prendere possesso della rete aziendale e in poco più di 24 ore sono già pronti a lanciare Ryuk con i danni che possiamo immaginare. Ed è proprio la velocità di esecuzione dell’attacco e il panico che esso genera a indurre le aziende a pagare.
Però mentre prima pagare il riscatto non era comunque garanzia di poter riavere l’accesso ai computer, spesso accadeva: le aziende pagavano e potevano ripristinare i loro sistemi. È quello che è successo nell’agosto scorso all’azienda di tracker e dispositivi tecnologici Garmin, la più gettonata tra runner e ciclisti, che, dopo un attacco «ransomware» e, pare, un esborso di dieci milioni di dollari, è tornata pienamente operativa.
Ma pagare, cosa sempre sconsigliata, potrebbe non bastare più. Adesso i criminali per essere pagati velocemente minacciano di divulgare i dati criptati e trafugati con l’obiettivo di rovinare la reputazione alle aziende coinvolte. La chiamano doppia estorsione: si paga per riavere i dati e tacere sull’accaduto.
Negli ultimi mesi si è però rafforzato il trend di uno schema d’attacco ancora più complesso. Nel caso in cui la risposta dell’azienda attaccata si faccia attendere per uno stallo nelle trattative o un ritardo nei pagamenti, i delinquenti lanciano un massiccio attacco per ingolfare i siti aziendali (DDoS).
Questo spiega in parte perché la ricerca di Sophos ha dimostrato che gli It manager dopo un attacco «ransomware» si sentono inadeguati e incapaci di reagire. Ma dopo c’è un effetto di rimbalzo. Più di un terzo (35%) delle vittime di attacchi «ransomware» ha dichiarato che identificare e assumere esperti di sicurezza diventa una sfida prioritaria, al contrario dei manager delle aziende non colpite.
L’indagine, condotta su 5.000 manager dimostra inoltre che chi ha subito attacchi «ransomware» tende a investire più tempo e risorse nella gestione degli incidenti di sicurezza rispetto a chi non ha subito tale tipologia di attacco: il 27% contro il 22%.
La priorità rimane quella di non subire attacchi di successo. E secondo Chester Wisniewski di Sophos «si può fare soltanto riuscendo a comprendere e identificare meglio i comportamenti degli aggressori».
Per farlo, un possibile riferimento è il sito Doubleextortion.com creato da Luca Mella, ingegnere esperto di cybersecurity, che ha realizzato uno strumento ad hoc per visualizzare il trend di questo fenomeno e capire come agiscono i criminali individuando gli ambiti produttivi più colpiti dalla doppia estorsione. Usando fonti aperte e informazioni provenienti dai forum underground, la mappa sul sito mostra come attualmente i settori presi maggiormente di mira siano quelli agroalimentare, tecnologico, delle telecomunicazioni e, in misura minore, quello legale.