La Carlson Wagonlit Travel (CWT) è stata colpita dal ransomware “Ragnar Locker”, che ha condotto l’amministrazione della nota società di travel management a pagare un riscatto pari a 4,5 milioni di dollari in Bitcoin (dato verificabile sulla Blockchain). Il malware ha agito crittografando i file di circa 30.000 computer, rendendoli inutilizzabili fino al momento in cui le vittime non hanno corrisposto la somma richiesta.
In una nota di riscatto lasciata su un dispositivo CWT infetto – ma anche in alcuni screenshot pubblicati online – gli hacker hanno affermato di aver rubato due terabyte di file, inclusi report finanziari, documenti di sicurezza e dati personali dei dipendenti (indirizzi e-mail, informazioni sullo stipendio, eccetera).
Una trattativa pubblica, consultabile su una chat online
In un primo momento, i criminali digitali avevano richiesto a CWT 10 milioni di dollari per ripristinare i file ed eliminare tutti i dati rubati, tuttavia hanno accettato una cifra inferiore: un rappresentante della società statunitense, dopo aver fatto loro presente i danni economici subiti a causa della pandemia di Covid-19, è stato in grado di ottenere una riduzione pari a 414 Bitcoin, che sono stati versati nel corso di due diverse transazioni. Una volta ricevuto il pagamento, gli hacker hanno prontamente trasferito i fondi a un altro indirizzo per non essere rintracciati.
Le trattative si sono svolte in modo cordiale, semplice e veloce, specialmente in considerazione della natura del reato in essere: le due parti, un dipendente e un membro del gruppo di hacking, si sono accordate sul prezzo del riscatto in una chat online pubblica, attraverso la quale è possibile osservare un esempio della relazione tra criminali informatici e vittime: gli assalitori hanno sostenuto che la cifra era nettamente inferiore a quella che la società avrebbe dovuto sostenere con le spese legali e che le perdite in termini di reputazione sarebbero state piuttosto pesanti, offrendo anche dei consigli di cyber security come “bonus”:
- Modificare periodicamente le password;
- Prevedere la presenza di almeno tre amministratori di sistema durante l’intero arco della giornata;
- Controllare gli user privilege.
La conversazione si è conclusa con un messaggio degli hacker, con il quale ringraziavano il loro interlocutore per la sua professionalità.
Le dichiarazioni di CWT dopo l’attacco informatico
CWT ha dichiarato di aver immediatamente informato le forze dell’ordine statunitensi e le autorità europee incaricate della protezione dei dati personali.
La società, dunque, ha ammesso di aver subito l’attacco ma ha rifiutato di commentare i dettagli dell’avvenimento di fronte a quella che, di fatto, era un’indagine ancora nel suo pieno svolgimento:
“Possiamo confermare che, dopo aver spento temporaneamente i nostri sistemi come misura precauzionale, siamo tornati online: l’incidente è cessato”. “L’indagine è in una fase iniziale e non abbiamo alcuna certezza che le informazioni di identificazione personale o i dati di clienti e viaggiatori non siano stati compromessi”. Non è ancora chiaro, infatti, se i dati sottratti e compromessi appartengano solo ai dipendenti o anche ai clienti di CWT.
La situazione, tuttavia, appare meno drammatica di quella che si era inizialmente delineata: una persona che ha familiarità con le indagini ha affermato che l’azienda ritiene che il numero di computer infettati sia considerevolmente inferiore ai 30.000 dichiarati dai cyber criminali.
È consigliabile pagare i riscatti richiesti dagli hacker?
Gli attacchi ransomware rappresentano una minaccia particolarmente grave e onerosa per aziende e società private: si ritiene che tali attacchi costino miliardi di dollari ogni anno, sia in termini di pagamenti estorti che di costi di recupero.
Gli esperti di sicurezza informatica sostengono che la miglior difesa sia quella di mantenere un backup dati sicuro e affidabili e sconsigliano, quando possibile, di corrispondere i riscatti: questi potrebbero incoraggiare ulteriori minacce e, soprattutto, non danno alcuna garanzia che i file crittografati vengano ripristinati.
Tuttavia – anche se sicuramente a ragion veduta – molte società ed enti colpiti dalle offensive digitali preferiscono pagare cifre anche piuttosto ingenti piuttosto che rischiare la diffusione di dati sensibili o il blocco permanente dei propri sistemi informatici.