Il gruppo BlackCat (noto anche come ALPHV) ha escogitato una nuova tattica per convincere le vittime a pagare il riscatto. Oltre che sul sito Tor, i cybercriminali hanno pubblicato tutti dati rubati su un sito clone, ovvero simile a quello dell’azienda che ha subito l’attacco ransomware. Intanto i “colleghi” di LockBit hanno rilasciato gratuitamente il tool per decifrare i file dell’Hospital for Sick Children, chiedendo scusa per l’attacco.
BlackCat: nuova tattica estorsiva
Non è noto quando è stato messo a segno l’attacco contro un’azienda che si occupa di servizi finanziari, ma il 26 dicembre i dati sono stati pubblicati sul sito Tor gestito da BlackCat. La procedura più comune prevede l’invio della richiesta di riscatto, al termine dell’operazione di cifratura dei file. Successivamente viene comunicato l’indirizzo del sito per confermare il furto dei dati e attuare la cosiddetta doppia estorsione.
Stavolta i cybercriminali hanno pubblicato tutti i dati rubati su un sito simile (layout e URL) a quello della vittima, accessibile a tutti. Sono disponibili vari documenti riservati, tra cui comunicazioni interne, informazioni sui dipendenti e dati finanziari per un totale di circa 3,5 GB. La nuova tattica estorsiva è più efficace perché i dati dell’azienda e dei suoi partner hanno una maggiore visibilità.
Come riportato in passato, i bersagli degli attacchi ransomware possono essere anche gli ospedali. Uno dei più recenti ha interessato l’Hospital for Sick Children (SickKids) di Toronto. A fine dicembre, il gruppo LockBit ha chiesto scusa, rilasciando gratuitamente il decryptor. Un affiliato ha violato le regole della gang che vietano di colpire gli ospedali. SickKids ha assunto esperti per analizzare il tool.