Il team Yarix segnala che un sito web minaccia di esporre pubblicamente documenti di aziende vittime di ransomware che non hanno ceduto al ricatto. Si tratta del primo caso di un nuovo trend di cui si parla da qualche settimana.
Come anticipato in alcuni articoli nelle scorse settimane, si sta sviluppando una nuova tendenza, rappresentata dalla minaccia da parte di team di cybercriminali di rendere disponibili pubblicamente dati esfiltrati durante la compromissione.
In particolare una di queste gang, Maze, ha messo a disposizione su un sito web raggiungibile liberamente su Internet le evidenze delle compromissioni e relative esfiltrazioni di dati eseguite nell’arco delle ultime settimane ai danni di otto vittime di attacco. Tra le aziende attualmente elencate è presente anche un’azienda italiana.
In un inglese stentato il sito spiega che verranno pubblicati i dati delle vittime che non hanno cooperato, ossia non hanno pagato il riscatto richiesto dagli attaccanti:
“Represented here companies dont wish to cooperate with us, and trying to hide our successful attack on their resources. Wait for their databases and private papers here. Follow the news!”
Le informazioni pubblicate riportano la data di prima infezione, alcuni file Excel o pdf utilizzati come prova dell’avvenuta compromissione, il volume complessivo di dati esfiltrati e gli indirizzi IP pubblici delle macchine compromesse.
Seguendo l’esempio di Maze, anche il team di cybercriminali che esegue la compromissione APT utilizzando il ransomware Sodinokibi ha manifestato su un forum l’intenzione di pubblicare file trafugati per aumentare la pressione sulla vittima, con l’obiettivo di costringerla a cedere al pagamento del riscatto per ottenere il recupero di dati, evitando così la pubblicazione delle informazioni rubate dall’attaccante.
Quest’evoluzione aggiunge ulteriore complessità nella gestione di incidenti di questo tipo: fino ad ora, se fosse stato possibile il recupero completo dei dati personali dai sistemi di backup e non ci fossero evidenze certe di esfiltrazioni, non era necessaria la notifica al garante richiesta dal GDPR; questa nuova tendenza invece classifica tali tipologie di attacchi ransomware come data breach, richiedendo pertanto sempre la notifica al garante.