Agosto è stato un mese intenso, ma poco proficuo, per gli operatori del ransomware LockBit, che dopo la società di consulenza Accenture hanno colpito la compagnia aerea Bangkok Airways. Quanto accaduto è degno di nota perché invece di tenere segreto l'attacco e pagare il riscatto, entrambe le vittime hanno preso la saggia decisione di non pagare il riscatto.

Nel caso di Bangkok Airways, i dati rubati (stimati fra 103 e 200 GB) comprendono le informazioni personali sui passeggeri, fra cui nomi, nazionalità, sesso, numero di telefono, email, indirizzo, numeri di passaporto, cronologia dei viaggi, numeri di carte di credito parziali e persino preferenze sui pasti.

Il 23 agosto si è verificato l'attacco. Gli operatori hanno chiesto il pagamento di un riscatto entro cinque giorni per scongiurare la pubblicazione delle informazioni rubate. Il 26 agosto Bangkok Airways Public Company Limited ha pubblicato un comunicato ufficiale sul proprio sito rivelando l'accaduto e palesando l'intenzione di non pagare alcunché ai criminali. A stretto giro è arrivata la pubblicazione dei dati sul portale di rivendicazione di LockBit.

La massima trasparenza dell'azienda è stata notevole, così come la decisione di non pagare. I dati erano comunque in mano ai criminali informatici, pur pagando non ci sarebbe stata la garanzia che non li avrebbero riveduti sul dark web al migliore offerente.

Meglio quindi avvisare tempestivamente gli utenti e dare loro modo di difendersi da possibili conseguenze. Nel comunicato si spiega che gli esperti interni e le autorità stanno verificando i dati compromessi. I passeggeri interessati sono stati contattati e allertati circa il fatto che potrebbero essere oggetto di truffe via email o telefono. Sono stati inoltre esortati a contattare la propria banca o il fornitore della carta di credito e seguire i loro consigli per modificare il prima possibile eventuali password compromesse.

La decisione di Bangkok Airways è analoga a quella di Accenture. Quest'ultima ha valutato una richiesta di riscatto che, stando a voci di corridoio, ammontava a 50 milioni di dollari. La scadenza è stata posticipata più volte, fino a quando non è stato appurato che le informazioni rubate non erano significative, e quindi non valeva la pena spendere per riaverle.

Gli operatori di LockBit attaccano principalmente obiettivi di alto livello, con elevate capacità di spesa. Sembra che le vittime vengano selezionate anche in funzione della loro presunta predisposizione a pagare pur di scongiurare la diffusione dei dati. Evidentemente tale selezione non è infallibile.