La società di cybersecurity Zscaler ha rivelato quello che potrebbe essere il più grande pagamento ransomware di sempre, superando i 40 miliardi di dollari versati da CNA Financial Corporation nel 2021.
Quest’anno una compagnia Fortune 50, ovvero che rientra nella lista annuale compilata e pubblicata dalla rivista di economia globale che classifica le 50 maggiori imprese societarie americane misurate sulla base del loro fatturato, ha pagato al ransomware Dark Angels un riscatto record di 75 milioni di dollari. Lo rivela la società di cybersecurity Zscaler, pubblicando un tweet (ma non divulgando il nome della compagnia). Si tratta dell’importo del riscatto più rilevante nella storia dell’estorsione informatica. Una cifra astronomica che ha catturato l’attenzione del settore e, in qualche modo, potrebbe indurre altri gruppi criminali a ricorrere a tattiche del genere per trarre profitti da capogiro.
Prima di questa transazione, il riscatto più corposo corrispondeva a 40 milioni di dollari, versati da CNA Financial Corporation nel 2021 (così riporta Bloomberg), in seguito a un cyberattacco del collettivo Evil Corp, tra i gruppi di cyber criminali russi più attivi e noti a livello globale. I suoi componenti sono conosciuti, tra le altre cose, per condurre uno stile di vita decisamente sopra le righe e assai vistoso (come emerge da un reportage pubblicato da Vice nel 2019).
La tattica del “Big Game Hunting”
Stando al rapporto di Zscaler, i cyber criminali di Dark Angels hanno attuato una tecnica conosciuta come “Big Game Hunting”. Una “caccia grossa”, insomma, che prevede il targeting di imprese di grande levatura – non a caso, come anticipato, si parla di una compagnia Fortune 50 –, invece che colpire un numero ampio di bersagli con pagamenti di riscatto meno onerosi.
Il team di ricerca di Zscaler illustra che – al contrario di altri gruppi ransomware che operano in modo sommario, colpendo molteplici aziende simultaneamente – il collettivo Dark Angels attacca di prassi una singola, grande impresa alla volta. E ancora, non è da sottovalutare il tema della “pressione” sugli obiettivi colpiti: a questo proposito, il ransomware Dark Angels gestisce il data leak “Dunghill Leaks”, mediante cui minaccia di divulgare informazioni sensibili se non dovesse essere versato il riscatto richiesto. Ciò detto, è opportuno puntualizzare che il report Cybereason Global Ransomware Study, uno studio basato su interviste a 1263 esperti di sicurezza informatica in ogni angolo del mondo, parla chiaro: l’80% di chi paga il riscatto viene attaccato una seconda volta.
L’approccio operativo di Dark Angels
Lo schema operativo messo in pratica da Dark Angels è comune a quello attuato da altri collettivi ransomware che intendono, solo e soltanto, estorcere soldi. Individuato l’obiettivo, il primo step è quello della violazione della rete aziendale, spesso colpendo un endpoint poco protetto (oppure facendo leva su attacchi di ingegneria sociale più elaborati).
Acquisito l’accesso, i cybercriminali si spostano lateralmente sulla rete fino al momento in cui non riescono a pregiudicare e prendere il controllo di un account attraverso permessi di amministratore. Quindi procedono alla diffusione del ransomware sulla rete aziendale con l’intento di crittografare ogni dispositivo collegato. Proprio contro fenomeni del genere, Netgroup, l’azienda italiana specializzata in cybersecurity e leader nel settore, in occasione del recente G7 ha lanciato il brevetto “Horus” per il contrasto agli attacchi ransomware.