L’estorsione ransomware debutta sul clear web: il caso The Allison

TL;DR Alphv/Blackcat ransomware gang sta sperimentano un nuovo sistema di leva estorsiva, pubblicando sul clear web -in questo caso, in un dominio di secondo livello appositamente registrato- tutti i dati esfiltrati dai sistemi della vittima.

La ransomware gang Alphv/BlackCat, diventata nota anche in Italia in questi giorni per l’attacco all’Università di Pisa, sta sperimentando un preoccupante metodo di estorsione che va oltre la tradizionale pubblicazione sul dark web dei dati esfiltrati.

Vittima è la The Allison Inn&Spa, resort di lusso nella Willamette Valley, in Oregon, che si è trovata il dominio theallison[.].xyz registrato dagli attaccanti, con la pubblicazione mirata e puntuale di tutti i dati esfiltrati, ordinati per cliente e per dipendente.

Una novità che non passerà inosservata e che, purtroppo, rischia di essere un pericoloso e preoccupante precedente anche per le altre ransomware gang.

Una veloce analisi del dominio registrato ci porta verso un registrant di Hong Kong, tale “Mindy Bowl“, e l’IP a cui risolve (45.141.152.18) risulta essere un provider lituano, MonoVM, che offre anche servizi di hosting e VPS. La registrazione di un dominio .xyz può avvenire per pochi dollari/euro attraverso uno qualsiasi dei tanti registrar, in questo caso sembra essere PDR Ltd.

Created with GIMP

È facile immaginare che le autorità si saranno già attivate per l’oscuramento del sito web, anche se ormai il danno è stato fatto e i dati relativi alle prenotazioni di 2789 clienti e i dati personali di 1534 dipendenti sono ormai alla mercé di chiunque.

Parliamo di copie di documenti d’identità, firme, dati personali e sanitari, numeri di previdenza sociale e molto altro. Informazioni preziose per condurre attacchi di spear phishing, truffe e ingegneria sociale ai danni dei malcapitati e i loro contatti.

Created with GIMP

La facilità con cui queste informazioni sono state rese disponibili, nel tentativo di rappresentare una efficace leva per le prossime vittime della ransomware gang e indurle a pagare il riscatto, è indubbiamente preoccupante.

Sul clear web queste informazioni sono indicizzate anche dai motori di ricerca, diventando quindi anche facilmente reperibili da chi ha poca dimestichezza o non conosca il dark web. Con danni enormi sia per l’azienda colpita che per coloro che vi si son trovati, loro malgrado, coinvolti.

Si tratta pertanto di un ulteriore aumento di livello dell’offensiva delle ransomware gang, a cui deve corrispondere una maggiore attenzione e tutela dei dati e dei sistemi informatici da parte delle potenziali vittime: sulla Rete, nessuno è mai totalmente al sicuro.

Questo articolo è stato visto 179 volte (Oggi 1 visite)

Hai trovato utile questo articolo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.