Quando il doppio ricatto non basta per convincere le vittime di ransomware a pagare, arriva l'attacco DDoS. È una nuova tattica perversa che ha iniziato a circolare a ottobre 2020 e che adesso sta prendendo piede, tanto da destare preoccupazione.

L'idea era stata inizialmente dei gruppi legati a SunCrypt e Ragnar Locker. Il motivo dell'iniziativa è lo stesso che aveva spinto Maze a ideare il doppio ricatto con la minaccia di pubblicazione dei dati rubati: convincere le vittime a pagare. Le campagne di sensibilizzazione sulla necessità di soluzioni di backup efficienti hanno spinto molte aziende a disporre di rimedi sempre più efficaci contro i ransomware. 

Le stesse campagne hanno anche insistito molto sulla necessità di non pagare i riscatti, per non foraggiare la criminalità e perché, comunque, non è garantita la restituzione dei dati. A questo si unisce l'accelerata trasformazione digitale dovuta al COVID-19, che ha portato molte aziende ad adottare software di sicurezza di ultima generazione. 

Tutti questi elementi hanno portato molte aziende a con contrattare più con i cyber criminali. A seguito dell'attacco, attivano le politiche di remediation, ripristinano i backup e riprendono a lavorare. Gli attaccanti corrono quindi il rischio di veder diminuire le entrate. 
Per rimediare hanno messo in campo un ulteriore "incentivo": l'attacco DDoS. Se le richieste non vengono esaudite, viene scatenato un attacco Distributed Denial of Service per rendere inaccessibili i servizi dell'azienda vittima.

In realtà non c'è stata alcuna invenzione. Semplicemente i criminali informatici hanno affiancato alla tecnica nota del ransomware quella altrettanto nota del DoS con riscatto, (RDoS o RDDoS, ossia Ransom DDoS). Come spesso accade, le idee che funzionano sono degne di essere copiate, quindi stiamo assistendo a un effetto emulativo come quello che ha fatto diffondere a macchia d'olio il doppio riscatto di Maze. 

Ai primi due gruppi criminali che hanno applicato quello che si potrebbe definire il triplo ricatto, ora se ne sono aggiunti altri, fra cui il temuto gruppo dietro ad Avaddon, un Ransomware-as-a-Service fra i primi tre più pericolosi in circolazione. La rete delle vittime viene tenuta sotto attacco DDoS fino a quando i responsabili IT non contattano i criminali e iniziano a negoziare.

Al momento è presto per stabilire l'efficacia di questo metodo. La certezza è che i criminali informatici sono sorprendentemente resilienti quando c'è da studiare nuove tattiche per esercitare pressione sulle aziende. E sono altrettanto veloci nel copiare le idee altrui, se funzionando. Non resta che attendere gli sviluppi.