“GoodWill” che chiede alla vittima di compiere azioni filantropiche per ottenere la chiave di decrittazione dei dati personali “sequestrati”
di Michele Pinassi*
SIENA. Si chiama GoodWill Ransomware e vuole esser pagato in azioni di “buona volontà“. Se gli attacchi ransomware mettono a dura prova le infrastrutture informatiche pubbliche e private, esfiltrando i dati riservati, bloccando l’operatività aziendale e chiedendo onerosi ricatti economici, alcune gang stanno sperimentando strumenti alternativi per il pagamento, come quello di chiedere alla vittima di effettuare alcune “buone azioni”, documentarle e poi inviarne testimonianza per ottenere i dati.
Scoperto a Marzo 2022 dal team di threat-intelligence CloudSEK, al di là degli aspetti tecnici, quello che sorprende di questo ransomware sono, appunto, le modalità di pagamento.
Riprendendo le informazioni messe a disposizione sulla pagina di analisi nel portale di CloudSEK (i tunnel ngrok segnalati sono attualmente chiusi), dopo che il ransomware si è introdotto nella rete della vittima, procede alla cifratura dei dati usando l’algoritmo AES e chiede, per ottenere la chiave di decrittazione, l’esecuzione di alcune attività di beneficenza, come la donazione di cibo, di vestiti o il pagamento di cure mediche agli indigenti.
Leggere questa strategia mi ha fatto tornare in mente un episodio piuttosto inquietante della famosa serie BlackMirror, “Shut Up and Dance“, dove alcune vittime di estorsione sono costrette, pena pubblicazione d’informazioni sensibili e dannose per la loro reputazione, a compiere atti più o meno gravi, arrivando anche a dover uccidere.
Il paragone è sicuramente azzardato ed estremo, ma GoodWill ransomware rischia di aprire una preoccupante stagione in cui, dal banale pagamento pecuniario (per quanto oneroso), si potrebbe velocemente passare a pagamenti anche di diversa natura.
Senza voler necessariamente immaginare scenari distopici dalle conseguenze estreme, potremmo pensare a scenari in cui la vittima, per recuperare i suoi dati e l’operatività aziendale, potrebbe trovarsi a dover compiere azioni politiche, goliardiche, dannose sul piano reputazionale o estreme.
Anche se ritengo improbabile che le ransomware gang attuali, più simili a realtà imprenditoriali che filantropiche, possano rinunciare all’opportunità di fare facili guadagni sfruttando le vulnerabilità delle loro vittime, non è escluso che lo scenario veda la nascita di realtà hacktiviste (state-sponsored?) non interessate al denaro quanto ad altro.
In ogni caso, vedremo le sorprese che ci riserverà il futuro in questo ambito. Ricordando sempre che l’obiettivo principale è evitare di essere colpiti da simili minacce informatiche, in ogni caso dannose ed economicamente costose.
*www.zerozone.it