Quando si verifica una violazione dannosa dei dati, è importante che l’organizzazione mirata risponda con trasparenza e controlli il messaggio di risposta all’incidente che viene comunicato alle potenziali vittime. Ma ora gli hacker hanno escogitato un nuovo modo per interrompere quel messaggio e soffiare sul fuoco della pubblicità negativa.
All’inizio di questo mese, la banda di ransomware Ragnar Locker ha rilevato uno o più account utente di Facebook e li ha utilizzati per acquistare pubblicità online sui social media progettate per mettere in imbarazzo una delle sue recenti vittime di doppia estorsione, la società italiana di liquori Campari Group.
La tattica è nuova e rappresenta un chiaro sforzo per esercitare ulteriori pressioni sulle vittime affinché paghino. Sottolinea inoltre una crescente preoccupazione per le organizzazioni prese di mira dagli aggressori: i social media come mezzo forniscono agli avversari un accesso illimitato ai consumatori e un mezzo per contrastare direttamente la messaggistica dell’organizzazione riguardo un incidente.
Gli hacker utilizzano spesso i propri siti Web consolidati per annunciare le loro ultime vittime, ma “questi siti non vengono letti dal consumatore medio. L’utilizzo di social media accessibili alla popolazione più ampia può provocare un danno più reputazionale per l’attività [della vittima]”, ha spiegato Kimberly Goody, senior manager dell’analisi presso Mandiant Threat Intelligence, parte di FireEye.
Ad esempio, dopo che Campari ha rilasciato una dichiarazione pubblica in cui diceva: “Non possiamo escludere completamente che siano stati presi alcuni dati personali e aziendali”, gli aggressori hanno pubblicato il loro annuncio su Facebook, che avrebbe detto:
“Questo è ridicolo e sembra una grossa bugia. Possiamo confermare che i dati riservati sono stati rubati e stiamo parlando di un enorme volume di dati”.
Se la tattica si rivelerà utile, in futuro gli aggressori potrebbero sfruttare ulteriori piattaforme di social media, costringendo le aziende a utilizzare strategie per dispositivi su come rispondere e riprendere il controllo del messaggio che desiderano comunicare.
Secondo quanto riferito, gli aggressori hanno chiesto 15 milioni di dollari dopo aver crittografato i file di Campari e minacciato di pubblicare fino a due terabyte di documentazione rubata, inclusi estratti conto, accordi contrattuali ed e-mail.
L’esposizione è solo uno dei vantaggi, però.
“Nel tempo, i gruppi di minacce hanno messo a punto vari modi per spingere la busta quando fanno pressione sulle vittime affinché paghino un riscatto. Psicologicamente, questa tattica fa proprio questo”, ha aggiunto Kacey Clark, ricercatrice sulle minacce presso Digital Shadows.
“Portare queste informazioni su una piattaforma più pubblica, come Facebook, aumenta notevolmente la probabilità di danni al marchio… E pubblicità negativa”.
Le bande di ransomware sono spesso note per copiare i metodi degli altri, quindi è certamente concepibile che altri hacker possano provare a sfruttare i social media e le pubblicità sociali per dare più visibilità alle loro azioni diaboliche. E poiché i social media eliminano il divario tra gli hacker e i clienti delle loro vittime, ha detto Clark, la tattica servirà probabilmente a mezzi produttivi per estorcere ulteriormente le organizzazioni compromesse.
La tattica potrebbe anche evolversi per includere più acquisizioni di account, sulla falsariga dell’incidente di hacking di Twitter della scorsa estate durante il quale importanti account verificati sono stati compromessi per promuovere una truffa di criptovaluta.
Inoltre, “potremmo anche immaginare uno scenario in cui gli aggressori essenzialmente deturpano il sito Web di un’azienda presumendo di essere stati in grado di ottenere le credenziali appropriate, rendendo l’attacco molto pubblico”, ha affermato Goody.
Esistono anche casi documentati di aggressori che comunicano personalmente con i media, i clienti e talvolta singole vittime per diffondere il loro messaggio. Proprio il mese scorso, il centro di psicoterapia finlandese Vastaamo ha rivelato un attacco ransomware a doppia estorsione in cui i colpevoli hanno contattato i pazienti per ricattarli con i loro file medici rubati.
Tuttavia, non è chiaro se l’ultima strategia del gruppo Ragnar Locker, segnalata per la prima volta da Krebs On Security, alla fine produrrà risultati notevoli.
“È importante che, sebbene questa tattica di annunci di Facebook sia nuova, non possiamo davvero dire che sia efficace, poiché le pubblicità non hanno ancora causato a Campari il pagamento dei propri dati“, ha affermato Chad Anderson, ricercatore senior di DomainTools.
La tattica pone psicologicamente pressione sui dirigenti che non vogliono che messaggi distorti danneggino il marchio, ha confermato, ma RagnarLocker ha anche rivelato “la loro stessa disperazione per ottenere un po’ di attenzione una volta ignorata.”
Anderson ha detto che Campari ha un altro vantaggio nelle pubbliche relazioni: non sono i cattivi in questo scenario. L’assalto di attacchi ransomware di alto profilo ha portato alla consapevolezza dei consumatori, in cui le persone capiscono quale è la vittima e quale è il truffatore.
“Il consumatore si schiererà con loro – la vittima – fintanto che non stiamo osservando una violazione eclatante che è stata banale da eseguire, o che contiene cumuli di dati personali”, ha detto Anderson, citando Equifax come esempio di quest’ultimo.
Per vincere alla fine la battaglia di messaggistica con gli aggressori ransomware, anche quelli che adottano tattiche più audaci, gli esperti consigliano alle aziende vittimizzate di rimanere trasparenti e di non pagare.
“Prendere la dura posizione di non negoziare è il modo corretto per controllare il messaggio“, ha detto Anderson. Inoltre, “prendersi il tempo per rafforzare le loro reti riportandole online e rilasciando una dichiarazione di pubbliche relazioni che spieghi i loro miglioramenti [guadagnerebbe] il rispetto della comunità della sicurezza e dei consumatori in generale”.
L’incidente potrebbe effettivamente essere un problema di pubbliche relazioni più grande per l’azienda di social media rispetto alla vittima reale del ransomware. Secondo Krebs, il gruppo Ragnar Locker ha compromesso l’account Facebook del servizio di deejay con sede a Chicago Hodson Event Entertainment per acquistare $ 500 delle minacciose pubblicità di Facebook.
Facebook ha dichiarato che i sistemi automatizzati dell’azienda hanno effettivamente rilevato e annullato un tentativo di compromettere l’account in questione. Tuttavia, la campagna pubblicitaria non autorizzata avrebbe raggiunto 7.150 utenti di Facebook e generato 770 clic.
“Facebook dovrebbe certamente disporre di controlli migliori per impedire alle persone di compromettere questi account utente”, ha affermato Anderson. “L’autenticazione a due fattori dovrebbe essere obbligatoria per il portale pubblicitario di qualsiasi marchio principale e dovrebbero esserci opzioni in cui gli annunci non possono essere pubblicati senza una sorta di approvazione umana. Le autorità di certificazione non ti rilasceranno un certificato EV senza chiamarti e sono economici rispetto al budget che queste aziende spendono per gli annunci”.
Nella sua ultima dichiarazione societaria, datata 9 novembre, Campari Group ha affermato che “nel contesto del proprio piano di ripristino dei sistemi IT, servizi selezionati sono stati progressivamente ripresi dopo la loro sanificazione riuscita e l’installazione di misure di sicurezza aggiuntive“. Tuttavia, “numerosi sistemi IT rimangono temporaneamente e deliberatamente sospesi o operano con funzionalità limitate su più siti, in attesa di essere sanificati o ricostruiti per ripristinare tutti i sistemi in modo completamente sicuro”.
Campari Group ha affermato che, poiché il recupero ha richiesto “più tempo di quanto inizialmente previsto“, si prevede che l’attacco avrà “qualche effetto temporaneo sulla performance finanziaria del Gruppo“.