Le gang di ransomware stanno spingendo le loro tattiche ben oltre i consueti blocchi informatici e le richieste di riscatto in criptovaluta. Sempre più spesso, infatti, i criminali informatici fanno leva su minacce personali dirette contro i dipendenti, i loro familiari e perfino i figli, nel tentativo di costringere le aziende a pagare.

A rivelarlo è una nuova indagine condotta su un campione di 1.500 professionisti del settore IT e della sicurezza da Censuswide per conto di Semperis, società specializzata nella protezione di ambienti Active Directory. I dati mostrano che, sebbene le modalità più comuni di estorsione restino il blocco dei sistemi (52%) e la cancellazione dei dati (63%), è in netto aumento l’uso di pressioni più aggressive e personali.

Tra i risultati più inquietanti del sondaggio, emerge che quattro aziende su dieci hanno ricevuto minacce di natura fisica rivolte ai propri dipendenti. In molti casi, queste minacce si manifestano attraverso messaggi anonimi che evocano scenari di violenza generica nei confronti di famiglie e bambini, con lo scopo evidente di instillare il panico.

ransomware

Minacce sempre più personali

Jeff Wichman, responsabile della risposta agli incidenti in Semperis ed ex negoziatore con gruppi di ransomware, ha raccontato di aver assistito a casi in cui gli aggressori telefonavano direttamente ai dirigenti delle aziende colpite. In alcuni casi, dimostravano di conoscere dettagli della loro vita privata come cronologia di navigazione, indirizzi di casa e persino scuole frequentate dai figli.

Secondo Wichman, le minacce più efficaci sono proprio quelle vaghe e generalizzate, perché creano un senso di allarme costante. “Se dico a qualcuno che i suoi figli saranno aggrediti a scuola, quella persona potrà rafforzare la sicurezza in quel luogo specifico. Ma se minaccio genericamente la sua famiglia, ogni momento della giornata diventa potenzialmente pericoloso”.

thumbnail-total-ransom-paid-1024

Accanto alle intimidazioni personali, si registra anche un’altra evoluzione del ransomware: la minaccia di segnalazioni alle autorità di controllo. Quasi il 47% degli intervistati ha riferito che gli attaccanti hanno minacciato di presentare denunce alle agenzie regolatorie, come nel noto caso in cui il gruppo ALPHV aveva accusato pubblicamente l’azienda fintech MeridianLink di non aver notificato una violazione alla SEC americana.

Queste strategie puntano a mettere ulteriormente sotto pressione le aziende, sfruttando anche le possibili conseguenze legali e reputazionali della mancata trasparenza.

Attacchi in calo, ma con impatto maggiore

Nonostante la crescente intensità di queste minacce, l’indagine mostra una leggera flessione nel numero totale di attacchi ransomware. Il 78% delle aziende intervistate ha infatti subito almeno un attacco nell’ultimo anno, contro l’83% dell’anno precedente, ma in oltre la metà dei casi (56%) l’infezione è andata a buon fine, con gravi conseguenze operative.

thumbnail-key-takeaways-rrr25-10

Peggiora anche il tempo di recupero, con solo il 23% delle imprese che è riuscita a tornare operativa in meno di 24 ore, contro il 39% dell’anno precedente. Al contrario, il numero di aziende che ha impiegato tra una settimana e un mese per il ripristino è salito al 18%, dall’11% dell’anno precedente. Secondo Wichman, ciò è dovuto al maggiore livello di distruzione lasciato dagli attacchi, che spesso obbliga a ricostruire interamente i sistemi, talvolta da zero.

Tra le aziende che hanno ceduto al ricatto, circa il 15% non ha mai ricevuto una chiave di decrittazione funzionante e, in un ulteriore 3% dei casi, i dati sottratti sono stati comunque pubblicati online o venduti sul dark web. Wichman mette in guardia chiunque pensi che pagare significhi automaticamente risolvere il problema: “Ho visto criminali promettere la cancellazione dei dati per poi conservarli e rivenderli in seguito. Se quei dati sono preziosi, perché rinunciare a un ulteriore guadagno?”