Un’importante notizia nel panorama della sicurezza informatica emerge all’inizio del 2024, quando un’azienda classificata tra le Fortune 50 ha effettuato un pagamento di riscatto di 75 milioni di dollari, segnando un nuovo triste record nel mondo del cyber crimine. Questa cifra, mai vista prima, ha catturato l’attenzione del settore e potrebbe incentivare altre bande di hacker a utilizzare tattiche simili per ottenere enormi profitti.
Un riscatto senza precedenti
Dettagli del pagamento e della compagnia coinvolta
Secondo il rapporto sulla ransomware del 2024 di Zscaler ThreatLabz, il pagamento di 75 milioni di dollari al gruppo Dark Angels è il più alto mai registrato pubblicamente. Prima di questa transazione, il riscatto più significativo risaliva a 40 milioni di dollari, versati dall’assicurazione CNA in seguito a un attacco da parte del gruppo Evil Corp. La misteriosa compagnia, purtroppo, non ha ancora reso pubblico il suo coinvolgimento in questo spinoso affare, ma le informazioni fornite da Zscaler indicano che si tratta di una delle 50 aziende più importanti nel panorama commerciale statunitense.
Gli eventi hanno avuto luogo nei primi mesi del 2024, e tra le aziende che hanno subito attacchi informatici in quel periodo, una delle candidate più probabili è Cencora, un gigante farmaceutico classificato al decimo posto tra le Fortune 50. Tuttavia, fino ad ora, non ci sono state rivendicazioni ufficiali da parte dei gruppi di ransomware riguardo all’attacco subito da Cencora, il che potrebbe suggerire che un riscatto sia effettivamente stato pagato.
La compagnia di intelligence crittografica Chainalysis ha confermato il pagamento, pubblicando un tweet al riguardo, aumentando così la preoccupazione in seno alle aziende a rischio di simili attacchi futuri.
Chi sono i Dark Angels
La nascita del gruppo di ransomware
Dark Angels è un’operazione di ransomware emersa nel maggio 2022 e si è rapidamente diffusa, prendendo di mira aziende in tutto il mondo. Questo gruppo ha seguito un modus operandi simile a quello di molte bande di ransomware, infiltrandosi nei network aziendali e ottenendo accesso amministrativo tramite ruoli ben pianificati. Durante il processo, Dark Angels non solo sperimenta con la crittografia di file, ma raccoglie anche dati sensibili dai server compromessi, utilizzandoli come leva nelle trattative per il riscatto.
Dopo aver compromesso il controller di dominio di Windows, i criminali lanciano la ransomware per crittografare tutti i dispositivi collegati nella rete. Questo approccio sistematico ha permesso a Dark Angels di diventare uno dei gruppi di ransomware più temuti nella scena cybercriminale.
Inizialmente, utilizzavano un encryptor basato su Windows e VMware ESXi, appositamente progettato utilizzando il codice sorgente trapelato di Babuk ransomware. Tuttavia, con il passare del tempo, hanno adottato un encryptor basato su Linux già impiegato da Ragnar Locker, un gruppo effettivamente collassato a seguito di operazioni di enforcement delle forze dell’ordine nel 2023.
Strategia e tattiche di attacco
L’approccio del “Big Game Hunting”
Secondo il rapporto di Zscaler, Dark Angels ha adottato una strategia nota come “Big Game Hunting”. Questa tattica prevede il targeting di grandi aziende ad alto valore, piuttosto che un numero elevato di bersagli con pagamenti di riscatto più contenuti. I ricercatori di Zscaler hanno spiegato che il gruppo attacca tipicamente una singola grande azienda per volta, contrariamente ad altri gruppi di ransomware che agiscono in modo indiscriminato, colpendo molteplici aziende simultaneamente.
Questa strategia altamente focalizzata e mirata non solo ha portato a significativi guadagni, ma ha anche reso il gruppo un avversario particolarmente pericoloso nel panorama della sicurezza digitale. Per aumentare la loro pressione sui bersagli, Dark Angels gestisce un sito di leak di dati chiamato “Dunghill Leaks”, attraverso il quale minacciano di rivelare informazioni sensibili se non dovesse essere versato il riscatto richiesto.
Secondo Chainalysis, la tattica del Big Game Hunting sta guadagnando popolarità tra le bande di ransomware, rappresentando una tendenza crescente nel cyber crimine degli ultimi anni. Con l’aumento delle richieste di riscatto e dei relativi pagamenti, il futuro della cybersicurezza non sembra mai così cruciale.