75 milioni di dollari pagati per un singolo riscatto: la piaga ransomware segna un nuovo triste record

75 milioni di dollari pagati per un singolo riscatto: la piaga ransomware segna un nuovo triste record

La società che ha pagato il riscatto non è nota, ma fa parte della Fortune 50 list: si tratta della somma più alta mai corrisposta per un ransomware, e rappresenta un precedente scomodo

di pubblicata il , alle 10:51 nel canale Sicurezza
 

Il panorama ransomware vede un nuovo, triste, record: una società dell'elenco Fortune 50 ha pagato un riscatto di 75 milioni di dollari al gruppo Dark Angels: è quanto emerge dal Ransomware Report 2004 di Zscale ThreatLabz nel quale non viene rivelata chiaramente chi sia la società, ma vengono forniti alcuni indizi che possono consentire di costruire un'ipotesi.

Come detto, si tratta di una società Fortune 50 che ha subito un attacco all'inizio del 2024: l'unica società che è noto sia stata colpita da un attacco ransomware nel periodo indicato è Cencora, società farmaceutica che ha subito un incidente di sicurezza nel mese di febbraio di quest'anno. Nessun gruppo ransomware ha mai rivendicato la responsabilità dell'attacco, fattore che potrebbe suggerire il pagamento del riscatto. 

La somma di 75 milioni di dollari è la più alta mai registrata per un evento di questo genere. In precedenza l'asticella era stata fissata a 40 milioni di dollari, pagati dal colosso assicurativo CNA a seguito di un attacco el gruppo ransomware Evil Corp. Anche Chainalysis, una società specializzata in intelligence crittografica, ha dato conferma su X del pagamento. Il nuovo record fissa, purtroppo, un precedente a cui molti altri attori di minaccia potrebbero ispirarsi nelle loro future campagne criminali e di estorsione.

Dark Angels è un gruppo ransomware che ha iniziato le proprie attività nel mese di maggio del 2022, sfruttando inizialmente i crittografi basati sul codice sorgente del ransomware Babuk. In seguito il gruppo ha adottato un crittografo Linux, lo stesso usato dal ransomware Ragnar Locker fino a quando non è stato smantellato nel corso del 2023. Con questo crittografo Dark Angels ha sferrato un attacco a Johnson Controls, con il furto di 27TB di dati aziendali e la richiesta di 51 milioni di dollari di riscatto.

Lo schema operativo di Dark Angels è comune a quello adottato da altri gruppi ransomware che mirano esclusivamente ad estorcere denaro. Individuato l'obiettivo, il primo passo è quello della violazione della rete aziendale, spesso prendendo di mira un endpoint scarsamente protetto o tramite tecniche più sofisticate di ingegneria sociale. Una volta ottenuto l'accesso, il gruppo si sposta lateralmente sulla rete fino a quando non riesce a compromettere e prendere il controllo di un account con permessi di amministratore. In questa fase vengono inoltre sottratte informazioni dai sistemi compromessi, che vengono utilizzati come leva aggiuntiva alla presentazione della richiesta di riscatto. Dopo aver preso il controllo di un account amministrativo, si procede alla distribuzione del ransomware sulla rete aziendale, allo scopo di crittografare tutti i dispositivi collegati. A questo punto scatta lo schema a doppia estorsione: Dark Angels pubblica sul proprio sito "Dunghill Leaks" la minaccia di divulgazione rivolta alla vittima, chiedendo un riscatto e, appunto, minacciando di condividere i dati nel caso in cui la vittima dovesse decidere di non pagare.

Zscaler ThreatLabz osserva che Dark Angels procede in maniera meticolosa concentrandosi su una singola azienda alla volta, al contrario di quanto operato da altri gruppi ransomware che spesso operano parallelamente contro più vittime. Inoltre il gruppo opera secondo una strategia chiamata "Big Game Hunting", dove prende di mira poche aziende ad alto valore, puntando a pagamenti sostanziosi, invece di attaccare piccole realtà e riscuotere numerosi riscatti di relativamente bassa entità. Questa strategia sembra essere una tendenza via via crescente nel corso degli ultimi anni, adottata dai gruppi ransomware di alto profilo, come riscontrato anche da Chainalysis.

47 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano31 Luglio 2024, 11:14 #1
interessa, questi milioni di dollari sono stati chiesti tramite bonifico?

edit: in questo link riportato nell'articolo si parla di cryptocurrency, deduco sia stato fatto un calcolo corrispettivo in dollari
https://www.chainalysis.com/blog/ransomware-2024/
Niola7631 Luglio 2024, 11:21 #2
Dove siamo andati a finire! Che società di merda.

Non sono un sistemista informatico ma se avessi un'azienda terrei soltanto alcuni pc SINGOLI collegati a Internet, e gli altri in rete locale, usando un supporto esterno per passare, in caso di necessità, i dati dai pc-Internet alla rete locale e viceversa.

Dicono che non si riesce a risalire agli attaccanti perchè fanno passare i loro attacchi da vari nodi informatici, e ia vera fonte si perde nell'oceano informatico della Rete mondiale. Ma se avvisassero le forze dell'ordine, quando si paga non si potrebbe vedere che giro fanno i soldi? (a parte quano usando le criptovalute).
TorettoMilano31 Luglio 2024, 11:25 #3
Originariamente inviato da: Niola76
Dove siamo andati a finire! Che società di merda.

Non sono un sistemista informatico ma se avessi un'azienda terrei soltanto alcuni pc SINGOLI collegati a Internet, e gli altri in rete locale, usando un supporto esterno per passare, in caso di necessità, i dati dai pc-Internet alla rete locale e viceversa.

Dicono che non si riesce a risalire agli attaccanti perchè fanno passare i loro attacchi da vari nodi informatici, e ia vera fonte si perde nell'oceano informatico della Rete mondiale. Ma se avvisassero le forze dell'ordine, quando si paga non si potrebbe vedere che giro fanno i soldi? (a parte quano usando le criptovalute).


e secondo te si fanno fare i bonifici o si incontrano con la borsa piena di soldi?
pengfei31 Luglio 2024, 11:30 #4
Originariamente inviato da: TorettoMilano
interessa, questi milioni di dollari sono stati chiesti tramite bonifico?

edit: in questo link riportato nell'articolo si parla di cryptocurrency, deduco sia stato fatto un calcolo corrispettivo in dollari
https://www.chainalysis.com/blog/ransomware-2024/


Sì nel tweet incluso nell'articolo ci sono i simboletti bitcoin per indicare il trasferimento
TorettoMilano31 Luglio 2024, 11:35 #5
Originariamente inviato da: pengfei
Sì nel tweet incluso nell'articolo ci sono i simboletti bitcoin per indicare il trasferimento


bitcoin... grazie per la conferma
Zappz31 Luglio 2024, 11:49 #6
Che schifo queste criptovalute, stateci il più lontano possibile!!!
nonsidice31 Luglio 2024, 12:04 #7
Ora che ci penso, in effetti anche negli anni '70 quando andavano "di moda" i rapimenti, chiedevano il riscatto in bitcoinne
MikTaeTrioR31 Luglio 2024, 12:16 #8
Originariamente inviato da: Zappz
Che schifo queste criptovalute, stateci il più lontano possibile!!!


quoto

sono portatrici di ransomware, state all'occhio!
R@nda31 Luglio 2024, 12:46 #9
Ottuso, senza speranza...
megthebest31 Luglio 2024, 12:50 #10
Purtroppo l'uso di Crypto per tali crimini resterà impunito, come l'utilizzo per altro che finanzia guerre, estremismo, droga ecc..
Su questo, purtroppo c'è una grossa lacuna che per il bene di tutti va colmata con regole chiare e responsabilità anche della blockchain o intermediari vari..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^