La Repubblica

Riposa in pace, ma non troppo: così le gang del ransomware prendono in giro le loro vittime

Dopo il danno, pure la beffa
Come se non bastasse, ora le gang del ransomware sbeffeggiano le vittime: se non pagano il riscatto, se non cedono alla minaccia di fare brutta figura coi media e coi loro clienti, se sono attrezzate a rispondere agli attacchi DDoS, i criminali pubblicano i dati del bersaglio e più spesso dei loro clienti su un sito nuovo e creato allo scopo, col nome ufficiale e un differente suffisso. Un ulteriore modo di fare pressione sulle vittime.

Payload.bin, per esempio, un gruppo ransomware relativamente nuovo, ha creato un sito di shaming ad hoc per invogliare le vittime a pagare facendole vergognare per l’intrusione subita. Non lo ha fatto su una darknet (dal gergo militare, una rete nascosta) come la nota Tor, ma sul Web che conosciamo tutti, accessibile a tutti e indicizzato dai normali motori di ricerca, creando una pagina con le mail dei clienti dell’azienda colpita. Una sorta di evoluzione della strategia ricattatoria basata sul danno reputazionale in aggiunta alla pubblicazione sul loro sito di leak nel DarkWeb.

La novità però non è tanto questa, ma quella di registrare un dominio uguale a quello della vittima sostituendo il suffisso .com (per citare l’esempio più diffuso) con .rip, avendo il proposito di sbeffeggiare la vittima o le vittime e lì pubblicarne i dati.

L’uso dei domini .rip per ridicolizzare le vittime
Non lo si dice in maniera esplicita, ma i domini .rip sono stati pensati per onorare una persona amata che è deceduta, visto che la sigla Rip sta per il latino Requiescant in Pacem, ciè Riposa in pace in italiano o Rest in peace in inglese. Il dominio (un top level domain) .rip appartiene a una nuova classe di domini appena creata per favorire la riconoscibilità dei contenuti al pari dei nuovi .love, .sexy e .lgbt. Ma in inglese la parola rip significa anche lacerare, strappare e, nelle forme composte, criticare, smontare, distruggere, fare a pezzi.

Che cosa vuol dire usarlo in questo modo? È un po’ minaccia e un po’ sberleffo. Minaccia che capiscono tutti se associata alla morte, ma che in questo caso diventa simbolica e metaforica: se non paghi il riscatto ransomware, anche il tuo business è morto. Perché? Perché non ci sarà più nessuno che vorrà servirsi dei tuoi servigi, essendoti dimostrato vulnerabile a questi attacchi. Insomma i criminali sfruttano a loro vantaggio la supply chain, cioè la filiera produttiva di un singola azienda per aumentare la pressione e i danni reputazionali delle proprie vittime.

Non sanno però che nelle aziende italiane inizia a farsi strada la consapevolezza che non c’è da vergognarsi se si viene bucati dai cybercriminali, perché ormai è chiaro, con circa 95 attacchi ransomware solo in agosto da parte di Lockbit, Conti, BlackMatter e simili, che la fiducia dei clienti o degli utenti non è più legata alla presunta impermeabilità dei servizi loro offerti, quanto alla capacità percepita di rispondere all’attacco con strategie adeguate, grazie a un solido programma di gestione del rischio cyber e di risposta agli incidenti unito alla capacità di comunicare in maniera onesta a trasparente verso i clienti eventualmente colpiti dall’attacco. Cosa che la Regione Lazio colpita dal ransomware non ha fatto, e che altre aziende colpite in estate (come Erg, Zegna e Accenture) hanno fatto a metà, comunicando forse con i clienti e poco o nulla con i giornalisti. Punti da chiarire

I criminali trattano, ma con riserva
Insieme a questa tendenza allo sberleffo, purtroppo c’è da aggiungerne un’altra. I gruppi ransomware che stanno attaccando il nostro Paese con Lockbit 2.0, Lockfile, Conti e altri, si sono attrezzati per intavolare trattative riservate con deposito preventivo. Sono gli stessi consulenti che mediano con le vittime che selezionano i possibili compratori e li avvertono che se vogliono vedere le prove delle intrusioni devono versare una cauzione in denaro. Così se scoprono di essere interessati al materiale lo pagheranno detraendo il deposito, che altrimenti andrà perduto. Perché lo fanno? Per evitare di perdere tempo con giornalisti e ricercatori che pian piano stanno imparando come giungere ai post dei gruppi criminali nel DarkWeb e vedere cosa hanno da offrire.

Si tratta di un processo non lineare: dentro le gang (che amano definirsi crew, per una sorta di sintonia con la cultura dei writer e dei corsari) c’è qualche lite: qualcuno vuole il sito coi dati rubati camuffati a invito, altri pubblico, ma accessibile via Tor per sollecitare le vittime a decidere se trattare oppure no.

Secondo Darkfeed, che ha finora raccolto più di 2mila violazioni dei dati, il 37% delle vittime del ransomware ha pagato mediamente un riscatto di circa 180mila dollari. Nella homepage si dice che le entrate dei cartelli ransomware “da quando siamo online sono arrivate a 150 milioni di dollari e continuano ad aumentare”.

Purtroppo per noi, nei gruppi ransomware ci sono persone che sanno lavorare in maniera organizzata, esperte di comunicazione, a conoscenza delle dinamiche mediatiche e sociali e con un fine economico esplicito, di natura criminale. I numeri degli attacchi sono così alti che anche in questo caso, come nei casi della criminalità tradizionale, è ora di cominciare a indagare la zona grigia dei professionisti che favoriscono questi circuiti mafiosi cibernetici.