Nel mondo in rapida evoluzione delle minacce informatiche, emergono costantemente nuove tattiche. Uno di questi è la “double extortion”, un approccio subdolo che combina il ransomware tradizionale con la minaccia di divulgazione dei dati rubati.
Cos'è la doppia estorsione?
La doppia estorsione è un tipo di attacco informatico in cui gli aggressori non solo crittografano i dati della vittima con un ransomware, ma minacciano anche di rivelare o divulgare le informazioni sensibili rubate a meno che non venga pagato un riscatto. Questo doppio livello di pressione rende l’attacco ancora più devastante per le vittime, costringendole a prendere decisioni difficili tra il recupero dei dati e la protezione della privacy.
Come funziona:
Infiltrazione: gli aggressori ottengono l'accesso ai sistemi delle vittime attraverso metodi come phishing, le vulnerabilità o l'utilizzo di accessi compromessi.
Crittografia: una volta all'interno del sistema, gli aggressori utilizzano il ransomware per crittografare i dati, rendendoli inaccessibili alla vittima.
Estorsione: invece di limitarsi a crittografare i dati, gli aggressori minacciano di rendere pubbliche le informazioni rubate. Ciò può includere dati aziendali sensibili, informazioni personali sui clienti o documenti riservati.
Nota di riscatto: gli aggressori richiedono un riscatto in criptovalute in cambio della chiave di decrittazione e della promessa di non divulgare i dati rubati.
I bersagli di questi attacchi sono molteplici:
Settore Sanitario sotto Attacco: Nel corso del 2023, il settore sanitario è stato colpito da attacchi di double extortion. I dati sensibili dei pazienti, compresi i record medici e le informazioni personali, sono stati cifrati dagli aggressori. Questi ultimi hanno minacciato di rivelare pubblicamente tali dati, mettendo a rischio la privacy e la sicurezza dei pazienti. Le strutture sanitarie sono state costrette a cercare un difficile equilibrio tra il ripristino dei dati e la tutela della sicurezza dei pazienti.
Impatto sull'Industria Manifatturiera: Nel 2023, l'industria manifatturiera è stata vittima di attacchi double extortion che hanno compromesso le catene di approvvigionamento. Gli aggressori hanno cifrato dati operativi e hanno minacciato di rivelare piani di produzione e informazioni sulla gestione della catena di fornitura. Ciò ha causato interruzioni significative nella produzione e ha messo a rischio la competitività delle aziende coinvolte.
Settore Finanziario Sotto Pressione: Le istituzioni finanziarie sono state colpite da attacchi double extortion nel corso dell'anno. Gli aggressori hanno mirato a dati finanziari sensibili e informazioni sull'identità dei clienti. Le minacce di divulgazione pubblica hanno messo a repentaglio la fiducia nelle transazioni finanziarie, spingendo le vittime a considerare seriamente il pagamento dei riscatti.
Azioni preventive:
Backup Regolari: mantenere il backup regolare dei dati critici e assicurarsi che siano separati dalla rete principale. Questo consentirà il ripristino dei dati senza dover pagare il riscatto.
Pianificazione della Sicurezza: Implementare politiche di sicurezza rigorose, comprende l'autenticazione a più fattori (MFA) e l'aggiornamento costante delle patch per sistemi e software.
Consapevolezza degli Utenti: Fornire formazione ai dipendenti sull'identificazione dei phishing e delle tattiche di social engineering. Insegnare loro a riconoscere e segnalare messaggi sospetti.
Monitoraggio delle attività anomale: utilizzare sistemi di rilevamento delle intrusioni (IDS) e sistemi di analisi dei log per identificare attività anomale nella rete.
Segmentazione della Rete: Separare la rete in segmenti per limitare la diffusione di eventuali attacchi e minimizzare l'impatto.
Rimedi:
Isolamento del Sistema Compromesso: Isolare immediatamente i sistemi compromessi per impedire la diffusione dell'attacco.
Analisi Forense: Condurre un'analisi forense dettagliata per determinare la natura dell'attacco, il punto di ingresso e la portata del danno.
Coinvolgimento delle Autorità: Segnalare l'incidente alle autorità competenti e collaborare con loro per raccogliere prove e identificare gli aggressori.
Decrittazione e Ripristino: Se possibile, collaborare con esperti di sicurezza per tentare di decrittare i dati senza pagare il riscatto. Utilizzare il backup per il ripristino.
Comunicazione con le Parti Interessate: Comunicare con i dipendenti, i clienti e gli stakeholder per informarli sull'incidente, sulle misure adottate e sulle precauzioni da prendere.
Coinvolgimento di Esperti: Nel caso in cui sia necessario, coinvolgere specialisti esterni in sicurezza cibernetica per assistenza nell'affrontare l'attacco e mitigarne l'impatto.
Il 2023 ha dimostrato che la double extortion è una minaccia sempre più reale e dannosa nel mondo delle minacce cibernetiche. La crescente sofisticazione degli attacchi richiede un approccio olistico alla sicurezza informatica, che includa investimenti in tecnologie avanzate, formazione degli utenti e piani di risposta agli incidenti. La collaborazione tra le organizzazioni, le autorità e gli esperti di sicurezza informatica rimane cruciale per affrontare efficacemente le sfide poste dalla double extortion e proteggere i dati sensibili delle organizzazioni e degli individui.
La doppia estorsione rappresenta una pericolosa evoluzione delle minacce informatiche. Gli aggressori sfruttano la paura delle vittime che i loro dati sensibili vengano divulgati per costringerle a pagare. Per mitigare questo tipo di attacco, è fondamentale investire in solide misure di sicurezza informatica, formazione degli utenti e piani di risposta agli incidenti. La collaborazione tra organizzazioni e autorità può aiutare a prevenire e affrontare efficacemente le minacce di doppia estorsione.
