Il temuto gruppo ransomware BlackCat, noto anche come ALPHV, ha raggiunto Conti e Lockbit 3.0 nell’ammontare dei riscatti chiesti alle vittime. Le cifra ormai superano agevolmente i 2 milioni di dollari, con una richiesta media che si aggira attorno ai 2,5 milioni, e sembra che le cifre siano destinate a lievitare.

BlackCat è operativa almeno dalla fine di novembre 2021 e, nonostante la giovane età operativa, ha già alle spalle una lunga scia di vittime. In Italia ricordiamo l’Università di Pisa e CGT Spa, in Europa hanno avuto forte risonanza mediatica l’attacco all’azienda tedesca OilTanking GmbH e quello alla compagnia aerea Swissport. Il gruppo si rivolge ad aziende di alto profilo in settori critici tra cui energia, istituzioni finanziarie, servizi legali e tecnologia.

In un report di aprile 2022 Kaspersky segnalava BlackCat come l’erede di noti gruppi ransomware quali BlackMatter e REvil. Ricordava che, a differenza di altri attori ransomware, BlackCat utilizza un malware scritto con il linguaggio di programmazione Rust che, proprio grazie alle sue capacità avanzate di cross-compilation, è in grado di colpire sia i sistemi Windows che Linux.

A parte gli elementi tecnici, il successo di BlackCat (uno dei gruppi Ransomware-as-a-Service in più rapida crescita) è da ricondursi alla vasta esperienza degli attori coinvolti e alla quadrupla estorsione: per mettere le vittime sotto pressione crittografa i dati, li ruba, quindi scatena attacchi DoS e pressioni via email su clienti, partner commerciali, dipendenti e media per spingere i titolari a pagare.

L’azienda di cybersecurity statunitense Resecurity si è presa la briga di conteggiare gli importi degli incassi e ha notato una tecnica di contrattazione peculiare: spesso gli attaccanti offrono uno sconto vicino al 50% alla vittima, anche se resta comunque difficile scendere sotto ai due milioni.

La cattiva notizia è che queste cifre non sono del tutto fuori mercato: gli esperti calcolano che il pagamento medio dei ransomware sia salito dell'82% dal 2020. Nella prima metà del 2021 aveva raggiunto un livello record di 570.000 dollari, poi nel 2022 è quasi raddoppiato. Secondo le stime, l'attività globale di estorsione da ransomware raggiungerà i 265 miliardi di dollari entro il 2031, con danni totali per le aziende per un valore di 10,5 trilioni di dollari a livello globale. Da qui la conclusione che il ransomware è la più grande "economia sommersa" del mondo.

Una tecnica singolare

Non è tutto. Gli esperti di Resecurity descrivono anche la funzione di ricerca avanzata sul sito di rivendicazione di BlackCat, che consente di trovare velocemente documenti, credenziali di accesso, password, informazioni riservate per nome dell'azienda, e altro. In questo BlackCat è un pioniere: l’indicizzazione di tutti i dati rubati serve (anche) per spingere clienti e dipendenti delle aziende vittime di controllare i dati che vengano pubblicati.

Potrebbe essere il quinto ricatto, o una versione molto elaborata del quarto: questa funzione potrebbe infatti favorire la raccolta di materiale per class action intentate da clienti, partner, eccetera, con l’aggancio legale della mancanza di sicurezza delle informazioni che ha portato alla violazione dei dati. Al momento l’indicizzazione è ancora in corso, ma sembra che la maggior parte sia già disponibile: gli esperti hanno identificato oltre 2.270 documenti indicizzati contenenti credenziali di accesso, informazioni sulla password in chiaro e oltre 100.000 documenti riservati, tra cui email e allegati sensibili. Tutto indicizzato in maniera certosina.