Autori di ransomware che rilasciano dati delle vittime che non pagano il riscatto
Essere infettati da un ransomware può essere molto distruttivo per un’azienda o per organizzazioni governative, tuttavia gli sviluppatori di cyber-criminali stanno cercando di peggiorare ulteriormente gli utenti vittime. Una volta che un ransomware crittografa i file e i dati cruciali degli utenti archiviati all’interno dei loro sistemi, mantiene tutti i dati in ostaggio fino a quando le vittime pagano agli aggressori una somma di riscatto per sbloccarli. Ma ora stanno anche minacciando di rivelare i dati vitali online se il riscatto non viene effettuato in tempo.
Nel dicembre 2019, gli sviluppatori del ransomware Sodinokibi hanno minacciato di compiere tali passi in una riunione del gruppo di hacker russi sotterranei. Il post è stato condiviso con la comunità dal ricercatore di sicurezza Damian che ha scoperto che UNKN, la rappresentazione pubblica del ransomware, aveva pubblicato la minaccia. Una simile tattica è stata vista in precedenza con Maze, un’altra variante di ransomware, che ha pubblicato 700 MB di dati rubati da Allied Universal. All’epoca si riteneva che fosse solo il 10% dei dati rubati dagli hacker mentre conducevano simultaneamente operazioni di ransomware. I dati sono stati rilasciati in risposta al mancato pagamento da parte della vittima. Sodinokibi ora ha seguito l’esempio.
Tutti traggiamo vantaggio dalla crittografia quando mantiene privati i nostri file e le comunicazioni, ma la stessa tattica rende possibile il ransomware. il cripto-virus può colpire gli individui, ma gli attori dietro queste operazioni hanno sempre più preso di mira aziende con tasche più profonde rispetto all’utente medio di computer. Dopo aver infettato un PC, il ransomware crittografa i file importanti ed elimina gli originali. Per recuperare i file, la vittima deve pagare un riscatto (di solito in Bitcoin) in cambio della chiave di decrittazione.
In passato UNKN ha creato rischi correlati, in particolare a Travelex e CDH Investments, tuttavia la minaccia non è stata attuata. Ora ciò sembra essere cambiato con un annuncio di uno dei rappresentanti del ransomware che i dati appartenenti ad Artech sono stati divulgati al pubblico. L’annuncio conteneva collegamenti a circa 337 MB di dati appartenenti alla società che si definisce una società di personale IT.
Maze ha fissato una nuova altezza pericolosa per altri autori di infezioni con codifica di file da provare. Sono iniziati i rapporti all’inizio di gennaio che i responsabili del ransomware avevano trapelato 14 GB di dati appartenenti a Southwire, un produttore di cavi e apparente vittima di Maze. Presumibilmente sono stati rubati 120 GB di dati e quelli dietro a Maze hanno inizialmente fatto trapelare 2 GB di dati, lo stesso che era stato fatto in precedenza alla città di Pensacola, con gli hacker che chiedevano oltre 6 milioni di dollari in Bitcoin per decrittografare i file crittografati. Inoltre, quelli dietro a Maze hanno affermato in un post,
“Ma ora il nostro sito Web è tornato, ma non solo. A causa delle azioni di southwire, ora inizieremo a condividere le loro informazioni private con te, questo solo il 10% delle loro informazioni e pubblicheremo il prossimo 10% delle informazioni ogni settimana fino a quando non saranno d’accordo a negoziare. Usa queste informazioni in tutti i modi nefasti che desideri ”.