75 milioni di dollari pagati per un singolo riscatto: la piaga ransomware segna un nuovo triste record

La società che ha pagato il riscatto non è nota, ma fa parte della Fortune 50 list: si tratta della somma più alta mai corrisposta per un ransomware, e rappresenta un precedente scomodo
di Andrea Bai pubblicata il 31 Luglio 2024, alle 10:51 nel canale SicurezzaIl panorama ransomware vede un nuovo, triste, record: una società dell'elenco Fortune 50 ha pagato un riscatto di 75 milioni di dollari al gruppo Dark Angels: è quanto emerge dal Ransomware Report 2004 di Zscale ThreatLabz nel quale non viene rivelata chiaramente chi sia la società, ma vengono forniti alcuni indizi che possono consentire di costruire un'ipotesi.
💸ThreatLabz has uncovered a record breaking $75 million payment made by a Fortune 50 company to the #DarkAngels ransomware group. The payment is the single largest ransomware-related transaction ever reported. For more details, check out our annual ransomware report:… pic.twitter.com/mlZyvNPfO0
— Zscaler ThreatLabz (@Threatlabz) July 30, 2024
Come detto, si tratta di una società Fortune 50 che ha subito un attacco all'inizio del 2024: l'unica società che è noto sia stata colpita da un attacco ransomware nel periodo indicato è Cencora, società farmaceutica che ha subito un incidente di sicurezza nel mese di febbraio di quest'anno. Nessun gruppo ransomware ha mai rivendicato la responsabilità dell'attacco, fattore che potrebbe suggerire il pagamento del riscatto.
La somma di 75 milioni di dollari è la più alta mai registrata per un evento di questo genere. In precedenza l'asticella era stata fissata a 40 milioni di dollari, pagati dal colosso assicurativo CNA a seguito di un attacco el gruppo ransomware Evil Corp. Anche Chainalysis, una società specializzata in intelligence crittografica, ha dato conferma su X del pagamento. Il nuovo record fissa, purtroppo, un precedente a cui molti altri attori di minaccia potrebbero ispirarsi nelle loro future campagne criminali e di estorsione.
We can confirm that early this year we saw the largest ransomware payment ever at $75M. The "big game hunting" trend we discussed in our 2024 crime report – fewer attacks on larger targets with deeper pockets – is becoming more pronounced. https://t.co/Z0yvg3Zvp2 pic.twitter.com/4FsivojtA5
— Chainalysis (@chainalysis) July 30, 2024
Dark Angels è un gruppo ransomware che ha iniziato le proprie attività nel mese di maggio del 2022, sfruttando inizialmente i crittografi basati sul codice sorgente del ransomware Babuk. In seguito il gruppo ha adottato un crittografo Linux, lo stesso usato dal ransomware Ragnar Locker fino a quando non è stato smantellato nel corso del 2023. Con questo crittografo Dark Angels ha sferrato un attacco a Johnson Controls, con il furto di 27TB di dati aziendali e la richiesta di 51 milioni di dollari di riscatto.
Lo schema operativo di Dark Angels è comune a quello adottato da altri gruppi ransomware che mirano esclusivamente ad estorcere denaro. Individuato l'obiettivo, il primo passo è quello della violazione della rete aziendale, spesso prendendo di mira un endpoint scarsamente protetto o tramite tecniche più sofisticate di ingegneria sociale. Una volta ottenuto l'accesso, il gruppo si sposta lateralmente sulla rete fino a quando non riesce a compromettere e prendere il controllo di un account con permessi di amministratore. In questa fase vengono inoltre sottratte informazioni dai sistemi compromessi, che vengono utilizzati come leva aggiuntiva alla presentazione della richiesta di riscatto. Dopo aver preso il controllo di un account amministrativo, si procede alla distribuzione del ransomware sulla rete aziendale, allo scopo di crittografare tutti i dispositivi collegati. A questo punto scatta lo schema a doppia estorsione: Dark Angels pubblica sul proprio sito "Dunghill Leaks" la minaccia di divulgazione rivolta alla vittima, chiedendo un riscatto e, appunto, minacciando di condividere i dati nel caso in cui la vittima dovesse decidere di non pagare.
Zscaler ThreatLabz osserva che Dark Angels procede in maniera meticolosa concentrandosi su una singola azienda alla volta, al contrario di quanto operato da altri gruppi ransomware che spesso operano parallelamente contro più vittime. Inoltre il gruppo opera secondo una strategia chiamata "Big Game Hunting", dove prende di mira poche aziende ad alto valore, puntando a pagamenti sostanziosi, invece di attaccare piccole realtà e riscuotere numerosi riscatti di relativamente bassa entità. Questa strategia sembra essere una tendenza via via crescente nel corso degli ultimi anni, adottata dai gruppi ransomware di alto profilo, come riscontrato anche da Chainalysis.
47 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoedit: in questo link riportato nell'articolo si parla di cryptocurrency, deduco sia stato fatto un calcolo corrispettivo in dollari
https://www.chainalysis.com/blog/ransomware-2024/
Non sono un sistemista informatico ma se avessi un'azienda terrei soltanto alcuni pc SINGOLI collegati a Internet, e gli altri in rete locale, usando un supporto esterno per passare, in caso di necessità, i dati dai pc-Internet alla rete locale e viceversa.
Dicono che non si riesce a risalire agli attaccanti perchè fanno passare i loro attacchi da vari nodi informatici, e ia vera fonte si perde nell'oceano informatico della Rete mondiale. Ma se avvisassero le forze dell'ordine, quando si paga non si potrebbe vedere che giro fanno i soldi? (a parte quano usando le criptovalute).
Non sono un sistemista informatico ma se avessi un'azienda terrei soltanto alcuni pc SINGOLI collegati a Internet, e gli altri in rete locale, usando un supporto esterno per passare, in caso di necessità, i dati dai pc-Internet alla rete locale e viceversa.
Dicono che non si riesce a risalire agli attaccanti perchè fanno passare i loro attacchi da vari nodi informatici, e ia vera fonte si perde nell'oceano informatico della Rete mondiale. Ma se avvisassero le forze dell'ordine, quando si paga non si potrebbe vedere che giro fanno i soldi? (a parte quano usando le criptovalute).
e secondo te si fanno fare i bonifici o si incontrano con la borsa piena di soldi?
edit: in questo link riportato nell'articolo si parla di cryptocurrency, deduco sia stato fatto un calcolo corrispettivo in dollari
https://www.chainalysis.com/blog/ransomware-2024/
Sì nel tweet incluso nell'articolo ci sono i simboletti bitcoin per indicare il trasferimento
bitcoin... grazie per la conferma
quoto
sono portatrici di ransomware, state all'occhio!
Su questo, purtroppo c'è una grossa lacuna che per il bene di tutti va colmata con regole chiare e responsabilità anche della blockchain o intermediari vari..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".