Gli analisti della sicurezza informatica e delle minacce di Fox-IT (parte di NCC Group) hanno fatto luce sui meccanismi delle negoziazioni del ransomware per aiutare le organizzazioni a migliorare l’esito di un attacco. I dati provengono da una ricerca su oltre 700 negoziazioni tra aggressore-vittima avvenute tra il 2019 e il 2020 e da un documento che esplora tre questioni principali:

  • In che modo gli aggressori utilizzano i modelli economici per massimizzare i loro profitti
  • Quello che ciò indica sulla posizione della vittima durante la fase di negoziazione
  • Strategie che le vittime di ransomware possono sfruttare

“Questa ricerca empirica suggerisce che l’ecosistema del ransomware è ormai diventato un business sofisticato”, hanno scritto i ricercatori. “Ogni gruppo ransomware ha creato le proprie strategie di negoziazione e di prezzo volte a massimizzare i profitti”.

Gruppi ransomware al comando delle trattative

Il set di dati si è concentrato principalmente su due diversi ceppi di ransomware. Il primo è stato raccolto nel 2019 quando gli avversari erano relativamente inesperti e le richieste di riscatto erano inferiori. Consiste in 681 negoziazioni tra le vittime e il gruppo ransomware. Il secondo set di dati, composto da 30 negoziazioni, è stato raccolto tra la fine del 2020 e l’inizio del 2021, quando gli attacchi sono diventati una grave minaccia per le aziende di tutto il mondo.

L’analisi ha rivelato che la maturità delle operazioni ransomware è migliorata. I gruppi malevoli calcolano il costo di un attacco e implementano strategie di prezzo del riscatto basate su più variabili che riguardano le organizzazioni vittime, incluso il numero di dispositivi/server infetti, dipendenti, entrate stimate e potenziale impatto dell’esposizione ai media.

In tal modo, gli aggressori possono prevedere con precisione quanto è probabile che le vittime paghino prima ancora di avviare negoziati. Una volta che lo fanno, le organizzazioni vittime vengono immediatamente messe in secondo piano. “Normalmente, in una trattativa, ogni giocatore tiene le proprie carte nelle proprie mani. Il gruppo ransomware conosce il costo della propria attività e quanto deve guadagnare per raggiungere il pareggio. Nel frattempo, la vittima fa una stima del costo della riparazione”, si legge nella ricerca. Questo crea una situazione in cui una vittima deve attraversare una sorta di “gioco di negoziazione sleale” che la guida verso un intervallo di riscatto prestabilito ma ragionevole. “È un gioco truccato. Se l’avversario gioca bene, vincerà sempre. Questa conclusione alla fine contribuisce a un ecosistema di ransomware dilagante”.

Un’osservazione interessante all’interno della ricerca è che le aziende più piccole pagano meno in termini assoluti, ma in percentuale maggiore considerando le loro entrate. Al contrario, la più alta quantità di riscatto (14 milioni di dollari) è stata pagata da una società Fortune 500. “È quindi comprensibile che un attore motivato finanziariamente possa scegliere obiettivi preziosi e trarre profitto da pochi grandi riscatti invece di attaccare le piccole aziende. Questa situazione porta alcuni gruppi di ransomware a decidere di prendere di mira solo imprese grandi e redditizie”.

attacco ransomware

4 passaggi di preparazione da eseguire prima di un attacco ransomware

La ricerca ha definito le migliori pratiche e gli approcci che possono aiutare a far pendere l’equilibrio della negoziazione (almeno in parte) a favore della vittima, a partire dalla preparazione prima che inizino le trattative. Le aziende devono:

  • Insegnare ai propri dipendenti a non aprire le note di riscatto e a fare clic sul link al suo interno. Questo spesso avvia un conto alla rovescia fino a quando è richiesto il pagamento. Impedire questo processo fa guadagnare tempo per accertare quali parti dell’infrastruttura sono state colpite, quali conseguenze ha avuto l’attacco e i probabili costi coinvolti
  • Stabilire gli obiettivi di negoziazione, prendendo in considerazione i backup e gli scenari di pagamento migliori e peggiori
  • Stabilire chiare linee di comunicazione interna ed esterna che coinvolgano i team di gestione delle crisi, il consiglio di amministrazione, il consulente legale e il dipartimento delle comunicazioni
  • Informarsi sull’attaccante per apprendere le sue tattiche e vedere se è disponibile una chiave di decrittazione

5 approcci alla negoziazione del ransomware

Armate di questa preparazione, le organizzazioni saranno in una posizione migliore per avviare trattative sul ransomware, nel caso decidessero di seguire questa strada. Da questo punto in poi si consiglia alle aziende di prendere in considerazione cinque approcci alla negoziazione per ridurre il danno.

  • Essere rispettosi nelle conversazioni e usare un linguaggio professionale, lasciando le emozioni al di fuori delle trattative.
  • Le vittime dovrebbero essere disposte a chiedere più tempo agli aggressori, il che può consentire loro di esplorare tutte le possibilità di recupero. Una strategia valida è spiegare che avete bisogno di tempo extra per raccogliere i fondi di criptovaluta richiesti.
  • Invece di temporeggiare, le organizzazioni possono offrire di pagare una piccola somma in anticipo invece di una maggiore quantità più avanti, visto che molti aggressori spesso accettano questa proposta pur di realizzare un rapido profitto e passare a un altro obiettivo.
  • Una delle strategie più efficaci è convincere l’aggressore che non siete in grado di pagare l’importo inizialmente richiesto, e questo può rivelarsi efficace anche per organizzazioni molto grandi che gli avversari sanno avere enormi quantità di denaro a loro disposizione. La ricerca ha infatti sottolineato che c’è una differenza tra avere una certa quantità di entrate e avere milioni di dollari in criptovaluta disponibili sul momento
  • Evitate di dire all’avversario che avete una polizza assicurativa informatica in atto. La presenza di un’assicurazione informatica può infatti ridurre le probabilità che gli aggressori siano flessibili con le negoziazioni poiché la maggior parte delle polizze copre i costi

La ricerca ha anche citato alcuni semplici consigli pratici per integrare i processi di negoziazione di cui sopra. Questi includono la richiesta di decriptare un file di prova, la prova della cancellazione dei file se si finisce per pagare e una spiegazione di come l’aggressore ha violato l’organizzazione. Un’azienda dovrebbe infine prepararsi a una situazione in cui i file trapeleranno sul web o saranno venduti anche se viene effettuato il pagamento.