Dark web – una ricerca Sophos rivela che gli autori di attacchi ransomware usano i dati rubati per aumentare la pressione sulle vittime che si rifiutano di pagare.
Ciò include la condivisione dei dettagli di contatto o il doxing dei membri della famiglia degli amministratori delegati e dei proprietari delle aziende prese di mira, nonché la minaccia di riferire alle autorità qualsiasi informazione su attività commerciali illegali scoperta nei dati rubati.
Nel nuovo rapporto, Sophos X-Ops condivide i post trovati sul dark web che mostrano come gli autori di attacchi ransomware si riferiscano ai loro obiettivi come “irresponsabili e negligenti” e, in alcuni casi, incoraggino le singole vittime le cui informazioni personali sono state rubate a intraprendere una causa contro il loro datore di lavoro.
Christopher Budd, direttore della ricerca sulle minacce di Sophos
Nel dicembre 2023, sulla scia della violazione del casinò MGM, Sophos ha iniziato a notare la propensione dei cybercriminali a sfruttare i media come strumento da utilizzare non solo per aumentare la pressione sulle vittime, ma anche per prendere il controllo della narrazione e spostare la colpa dell’attacco. Stiamo anche notando che sempre più spesso I criminali informatici individuano i leader aziendali che ritengono “responsabili” dell’attacco ransomware presso le aziende prese di mira. In un post che abbiamo trovato, gli autori dell’attacco pubblicato la foto di un imprenditore con le corna del diavolo, insieme al suo numero di previdenza sociale. In un altro post, gli aggressori hanno incoraggiato i dipendenti a chiedere un “risarcimento” alla loro azienda e, in altri casi, hanno minacciato di notificare a clienti, partner e concorrenti la violazione dei dati. Questi tentativi aumentando la pressione sulle aziende affinché paghino e potenzialmente aggravano il danno reputazionale di un attacco.
Sophos X-Ops ha anche trovato diversi post di autori di attacchi ransomware che descrivono i loro piani di ricerca di informazioni all’interno dei dati rubati da utilizzate come leva se le aziende non pagano. Ad esempio, in un post, l’attore del ransomware WereWolves sottolinea come qualsiasi dato rubato sia soggetto a “una valutazione legale penale, una valutazione commerciale e una valutazione in termini di informazioni privilegiate per i concorrenti”.
In un altro caso, il gruppo di ransomware Monti ha dichiarato di aver individuato in una delle aziende prese di mira dal proprio attacco, un dipendente alla ricerca di materiale relativo ad abusi sessuali su minori e ha minacciato di rivolgersi alla polizia con le informazioni se l’azienda non avesse pagato il riscatto.
Questi messaggi si allineano a una tendenza più ampia di criminali che cercano di estorcere alle aziende dati sempre più sensibili relativi a dipendenti, clienti o pazienti, tra cui cartelle cliniche, cartelle cliniche di bambini, “informazioni sui problemi sessuali dei pazienti” e “immagini di pazienti nudi”. In un caso di ransomware, il gruppo Qiulong ransomware ha pubblicato i dati personali della figlia di un amministratore delegato, oltre a un link al suo profilo Instagram.
Christopher Budd
Le gang di cybercriminali autrici di attacchi ransomware stanno diventando sempre più invasive e audaci su come e cosa colpire. Per aggravare la pressione sulle aziende, non si limitano a rubare i dati e a minacciare di diffonderli, ma li analizzano attivamente per massimizzare i danni e creare nuove opportunità di estorsione. Ciò significa che le organizzazioni non devono preoccuparsi soltanto dello spionaggio aziendale e della perdita di segreti commerciali o di attività illegali da parte dei dipendenti, ma anche dei danni collaterali di questi cyberattacchi.
