ransomware

Il mondo della cybersecurity, nel 2017, ha visto i ransomware come grandi protagonisti, e non solo con gli attacchi WannaCry, NotPetya e Bad Rabbit. Anche durante l’anno che si sta per concludere i ransomware hanno continuato a rappresentare una grave minaccia: basti ricordare l’attacco che ha paralizzato Atlanta a gennaio 2018, impedendo ai servizi vitali della città di funzionare, oppure ai numerosi attacchi che colpiscono il settore sanitario. Il settore sanitario è, di fatto, quello più martoriato: le richieste in media girano intorno ai 10mila dollari, ma in alcuni casi si è arrivati anche a richieste di riscatto di quasi 3 milioni di dollari.

Secondo i dati del 2018 Internet Organized Crime Threat Assessment di Europol, il mercato ransomware vale intorno i 5 miliardi di dollari. Si tratta di uno strumento di attacco base per i criminali informatici di tutto il mondo che ha anche permesso la nascita di industrie parallele come offerte di ransomware-as-a-service (RaaS), che permettono a coloro che hanno un know-how tecnico molto basso di entrare in azione diffondendo il ransomware costruito dai più esperti. Inoltre, sono nati anche i programmi di affiliazione ransomware per consentire ai creatori di ransomware di richiedere una quota ai loro affiliati che diffondono questo malware.

Il ransomware è, quindi, un settore in grande crescita e, come dimostra l’ultima scoperta targata Check Point Software Technologies, tiene in serbo numerose opportunità di sviluppo.

Il team di ricerca della società israeliana ha individuato, infatti, un’azienda di consulenza IT russa, denominata ‘Dr. Shifro’, che in caso di attacco ransomware, dichiarava di sbloccare legalmente i file criptati, ma di fatto pagava direttamente l’autore dell’attacco compiendo un’azione davvero proficua e speculando sulla vittima.

In caso di attacco, infatti, un’azienda può compiere una di queste tre azioni:

  • ripristinare tutti i file bloccati, grazie a un piano di back-up presente;
  • pagare il riscatto all’attore delle minacce e responsabile del blocco dei file;
  • pagare un consulente IT che potrebbe essere in grado di sbloccare i file senza pagare il riscatto.

Per coloro che non dispongono di un piano di back-up o non vogliono pagare l’importo del riscatto, la terza opzione può risultare quella ideale. È, però, in questo scenario che si è mossa la società consulenza Dr. Shifro. L’azienda ha attirato i sospetti di Check Point, perché proponeva in rete solo un servizio, ossia aiutare le vittime dei ransomware a sbloccare i loro file.

Inoltre, la società di consulenza prometteva azioni di cyber-magia in grado di sbloccare file prigionieri dal ransomware Dharma/Crisis per il quale non è disponibile alcuna chiave di decrittografia. Tutto ciò ha portato il team di ricerca a investigare e a scoprire che la società denominata Dr. Shifro aveva contattato il creatore del ransomware e stava stringendo un accordo che avrebbe permesso di sbloccare i file della vittima in cambio del pagamento di un riscatto pari a 1300 dollari. Questa stessa cifra sarebbe stata poi il costo che l’azienda avrebbe fatto pagare alla vittima con l’aggiunta di altri 1000 dollari.