Un’azienda che fa parte della Fortune 50 ha pagato un riscatto da 75 milioni di dollari ai Dark Angels, un’operazione criminale di ransomware. Questo pagamento, il più alto mai registrato, ha attirato l’attenzione del mondo cyber e rappresenta un evento significativo nella recente storia della guerra informatica. Con questa notizia, i ricercatori di Zscaler ThreatLabz hanno messo in evidenza l’importanza delle tecniche adottate dai criminali informatici, che potrebbero spingere altre bande hacker a emulare il modello del Grande Gioco.
Il pagamento record e le sue implicazioni
Dettagli sull’operazione
Nel primo trimestre del 2024, è emerso che una compagnia della Fortune 50 ha effettuato un pagamento da record di 75 milioni di dollari a favore del gruppo ransomware Dark Angels. Questo dettaglio proviene dal rapporto sulle ransomware di Zscaler e rappresenta la cifra più alta mai pubblicamente conosciuta in relazione a riscatto, superando il precedente record di 40 milioni di dollari pagati dall’assicuratore CNA dopo un attacco di Evil Corp. La conferma di questo storico pagamento è stata fornita anche dalla società di intelligence crypto Chainalysis, che lo ha comunicato tramite un tweet.
L’azienda coinvolta
Sebbene Zscaler non abbia rivelato il nome specifico dell’azienda coinvolta, ha indicato che il pagamento è stato effettuato da un membro della Fortune 50 e che l’attacco è avvenuto all’inizio del 2024. Tra le aziende della Fortune 50, Cencora, una multinazionale farmaceutica classificata al decimo posto, è stata colpita da un attacco informatico a febbraio 2024. Non è stata mai divulgata la responsabilità da parte di alcun gruppo ransomware, il che ha alimentato supposizioni sul possibile pagamento del riscatto.
La richiesta di conferma
BleepingComputer ha tentato di contattare Cencora per avere chiarimenti sul pagamento di questo riscatto, in particolare se la cifra versata fosse stata destinata ai Dark Angels, ma finora non ha ricevuto risposta. Il vero impatto di un pagamento di tale entità può servire da esempio o da deterrente per altre aziende, rendendo la questione della resilienza delle politiche informatiche sempre più critica.
Chi sono i Dark Angels?
Origine e modalità operative
Il gruppo Dark Angels è emerso nel maggio 2022, iniziando a prendere di mira diverse aziende in tutto il mondo. Come molte bande di ransomware gestite da esseri umani, gli operatori di Dark Angels penetrano le reti aziendali, muovendosi lateralmente fino a ottenere l’accesso amministrativo. Durante questo processo, rubano anche dati sensibili dai server compromessi, utilizzandoli come leva durante le negoziazioni per il riscatto.
Tecniche di attacco
Una volta che i Dark Angels ottengono accesso al controller di dominio Windows, distribuiscono il ransomware per crittografare tutti i dispositivi connessi alla rete. Inizialmente, utilizzavano crittografi basati su Windows e VMware ESXi, ispirandosi al codice sorgente di Babuk, un altro ransomware noto. Tuttavia, con il passare del tempo, hanno adottato un encryptor Linux, lo stesso utilizzato da Ragnar Locker, colpiti da un’operazione di contrasto nel 2023.
Un attacco significante è stato quello alla Johnson Controls, durante il quale i Dark Angels hanno affermato di aver rubato 27 TB di dati aziendali e chiesto un riscatto di 51 milioni di dollari. La loro strategia si basa sull’implementazione di situazioni di paura nei portafogli delle aziende, attraverso la minaccia di divulgare dati sensibili se le richieste non vengono soddisfatte.
La strategia di grande caccia
I Dark Angels adottano una strategia nota come “Big Game Hunting”, che implica l’obiettivo di colpire solo un numero ristretto di aziende di alto valore al fine di ottenere enormi riscatti anziché colpire molte aziende per somme minori. Zscaler ThreatLabz sottolinea come il gruppo miri a attaccare un’unica grande compagnia alla volta, diversamente dalla prassi comune di molte bande, le quali tendono a colpire indiscriminatamente e a dare esternalità a parte dell’attacco a reti di affiliati.
Tendenze nella guerra informatica
Secondo Chainalysis, la strategia della Big Game Hunting è diventata prevalente tra numerosi gruppi di ransomware negli ultimi anni, suggerendo un’evoluzione nelle tecniche criminali che potrebbero continuare a evolversi nel tempo. Ciò porta a una crescente necessità di sensibilizzazione e preparazione da parte delle aziende e delle istituzioni per affrontare le minacce emergenti.