Le aziende colpite da ransomware spesso affrontano una doppia minaccia: anche se evitano di pagare il riscatto e possono ripristinare le cose da zero, circa la metà delle volte gli aggressori minacciano anche di rilasciare dati sensibili rubati a meno che la vittima non paghi per una promessa di cancellazione dei dati. Lasciando da parte l’idea che le vittime possano avere una reale aspettativa che gli aggressori distruggano effettivamente i dati rubati, una nuova ricerca suggerisce che un discreto numero di vittime che pagano potrebbe vedere comunque alcuni o tutti i dati rubati pubblicati.
I risultati arrivano oggi in un rapporto di Coveware, una società specializzata nell’aiutare le aziende a riprendersi dagli attacchi di ransomware. Coveware afferma che quasi la metà di tutti i casi di ransomware ora include la minaccia di rilasciare dati rubati.
“In precedenza, quando una vittima di ransomware disponeva di backup adeguati, si limitava a ripristinarla e andava avanti; non c’era motivo nemmeno di impegnarsi con l’hacker”, osserva il rapporto. “Ora, quando un hacker ruba i dati, un’azienda con backup perfettamente ripristinabili è spesso costretta a impegnarsi almeno con l’hacker per determinare quali dati sono stati presi”.
Coveware ha affermato di aver visto ampie prove delle vittime che vedono alcuni o tutti i dati rubati pubblicati dopo aver pagato per eliminarli; in altri casi, i dati vengono pubblicati online prima ancora che alla vittima venga data la possibilità di negoziare un accordo per la cancellazione dei dati.
“A differenza della negoziazione per una chiave di decrittazione, la negoziazione per l’eliminazione dei dati rubati non ha una fine finita”, continua il rapporto. “Una volta che una vittima riceve una chiave di decrittazione, non può essere portata via e non si deteriora con il tempo. Con i dati rubati, un hacker può restituire un secondo pagamento in qualsiasi momento in futuro.
La società ha affermato di consigliare ai clienti di non pagare mai un riscatto per l’eliminazione dei dati, ma piuttosto di coinvolgere avvocati competenti in materia di privacy, svolgere un’indagine su quali dati sono stati rubati e informare i clienti interessati in base al consiglio del consulente legale e alle leggi sulla notifica della violazione dei dati dell’applicazione.
Fabian Wosar, chief technology officer presso l’azienda di sicurezza informatica Emsisoft, ha affermato che le vittime di ransomware spesso acconsentono alle richieste di estorsione della pubblicazione dei dati quando cercano di impedire al pubblico di apprendere della violazione.
“La conclusione è che il ransomware è una questione di speranza”, ha detto Wosar.
“L’azienda non vuole che i dati vengano scaricati o venduti. Quindi pagano sperando che l’attore della minaccia elimini i dati. Tecnicamente parlando, che cancellino o meno i dati non ha importanza dal punto di vista legale. I dati sono andati persi nel momento in cui sono stati rubati.”
Anche le vittime di ransomware che pagano una chiave digitale per sbloccare server e sistemi desktop crittografati dal malware fanno affidamento sulla speranza, ha affermato Wosar, perché non è raro che una chiave di decrittazione non riesca a sbloccare alcune o tutte le macchine infette.
Quando guardi un sacco di richieste di riscatto, puoi effettivamente vedere i gruppi che si rivolgono a questo in modo molto diretto e hanno messaggi che dicono cose del tipo: “Sì, sei fregato ora. Ma se ci paghi, tutto può tornare come prima che ti fregassimo.“