La divisione Asia Assistance di AXA ha subito un grave attacco ransomware con un data leak di tre terabyte di dati e blocco delle attività IT nelle filiali di Thailandia, Malesia, Hong Kong e Filippine. Impossibile non tracciare un collegamento con questo evento e l'annuncio da parte della stessa impresa assicurativa di voler sospendere la copertura dei danni da ransomware in Francia.

Partiamo dall'inizio. AXA è una delle più grandi compagnie assicurative a livello globale. Fra i servizi che offre ci sono anche quelli di risarcimento da danni informatici. Molte aziende di medie e grandi dimensioni stipulano polizze assicurative in tal senso per coprirsi le spalle da eventi potenzialmente devastanti per il business. Il problema è che negli ultimi due anni gli attacchi ransomware sono cresciuti sia per numero sia per gli importi incassati dai cyber criminali.

In tempi non sospetti, ossia a settembre 2020, Coalition, uno dei maggiori fornitori di servizi di assicurazione informatica in Nord America, aveva pubblicato il dato secondo cui nella prima metà del 2020 gli incidenti ransomware avevano rappresentato il 41% delle denunce di assicurazione informatica. La compagnia assicurativa aggiungeva che nel periodo in esame si era verificato un aumento del 260% della frequenza degli attacchi ransomware tra i propri assicurati, con una domanda media di riscatto in aumento del 47%.

A seguito del grave attacco ransomware a Colonial Pipeline, che ha pagato un riscatto di quasi 5 milioni di dollari, AXA ha detto basta. In Francia ha annunciato che non coprirà più le sue polizze il pagamento del riscatto a seguito di un attacco ransomware.

La rappresaglia

Oltre che per le proprie casse, dal punto di vista squisitamente tecnico quella di AXA è una scelta saggia. Gli esperti di cyber security sconsigliano sempre il pagamento dei riscatti. Le controindicazioni maggiori sono due: non c'è nessuna garanzia che i criminali manterranno le promesse (e spesso non lo fanno) e pagando non si fa altro che finanziare il cyber crime e incentivare ulteriori attacchi.

I gruppi criminali che scatenano questo tipo di attacco sono motivati finanziariamente: fino a quando le vittime pagheranno, gli attacchi ransomware saranno un business profittevole. Dato che individuare e arrestare i responsabili è molto difficile, ci sono due modi efficaci per interrompere la spirale criminale, entrambi consigliati dagli esperti di cyber security: costruire sistemi così costosi da violare che non valga la pena farlo. E non pagare. Anzi, secondo alcuni il pagamento del riscatto dovrebbe diventare illegale per legge, così da fugare ogni dubbio.

Ovviamente non sono dello stesso avviso i criminali informatici. Quando le aziende hanno iniziato a non pagare per ottenere la chiave di decodifica dei dati, hanno ideato il meccanismo perverso della doppia estorsione. Ora le aziende pagano quasi sempre per evitare la pubblicazione di dati sensibili. Se altre società assicurative dovessero seguire il (buon) esempio di AXA, nemmeno lo spauracchio del data leak avrebbe più effetto. Molte aziende, senza le spalle coperte da un'assicurazione, non potrebbero permettersi di pagare.

È questo il contesto in cui si è scatenato l'attacco ransomware ai danni di AXA. Sembra che sia stato opera di Avaddon, un Ransomware-as-a-Service i cui affiliati sono stati particolarmente attivi da giugno 2020. Nella sua breve carriera, Avaddon ha all'attivo oltre un milione di computer Windows infettati. AXA ha messo al lavoro esperti forensi per la conta dei danni, che comunque dovrebbero riguardare solo le sedi dell'area Asia-Pacifico, ha informato le autorità di regolamentazione e ha provveduto a contattare tutti i clienti i cui dati sensibili sono stati oggetto di furto. Le fonti parlano di cartelle cliniche, documenti personali, dati bancari, pagamenti, contratti.

Al momento non è stata resa pubblica la richiesta di riscatto e non si sa se AXA sia o meno intenzionata a pagare. Difficile che lo sia, viste le premesse.