Lockbit, un operatore di ransomware legato alla Russia, ha sequestrato file appartenenti alla più grande banca cinese, costringendola a completare alcune operazioni utilizzando la porta Usb e interrompendo le transazioni attraverso il Tesoro degli Stati Uniti. Gli hacker hanno scatenato il caos nel sistema finanziario globale, un problema che potrebbe richiedere settimane per essere risolto. Allora cosa fai quando sei stato colpito da un attacco ransomware russo? In seguito ad approfonditi rapporti su Lockbit, si apprende che il pop-up associato al gruppo, noto con il suo marchio tipicamente rosso, bianco e nero, è il peggior incubo di ogni team IT aziendale. “Molti dei documenti, database, video e altri file importanti non sono più accessibili perché sono stati crittografati”, si legge sullo schermo in seguito all’attacco. E poi: “Nessuno può recuperare i file senza il nostro servizio di crittografia”.
In sostanza, i file sono cifrati dall’hacker e non c’è nulla da fare. Nella banca cinese colpita è prartita una chiamata nervosa ai vertici, seguita da un insieme di esperti che entrano in azione, ciascuno con una specializzazione essenzialmente di super-nicchia. Alla fine, il broker di assicurazioni informatiche e gli avvocati invadono la scena. Sono state coinvolte squadre di risposta agli incidenti per aiutare la Industrial and Commercial Bank of China LTD a setacciare le reti aziendali per vedere cosa potrebbe essere recuperabile. I negoziatori di ransomware – un settore nuovo e in forte espansione – hanno contribuito a valutare se la richiesta di riscatto è reale, se possono abbassare il prezzo e capire se il CEO vuole pagare. I negoziatori hanno il compito di chiedere agli hacker di prorogare il termine entro il quale la ICBC è stata invitata a pronunciarsi.
“Hai a che fare con una situazione altamente dinamica”, afferma Arvind Parthasarathi, fondatore e CEO della società di sicurezza informatica Cygnvs Inc. “C’è letteralmente un esercito di persone che corrono in giro cercando di fare tutto questo”. Una fonte presso un grande broker internazionale di assicurazioni informatiche ha fatto sapere che i sistemi dei clienti erano inattivi almeno per giorni, ma spesso per settimane, il tutto perdendo entrate. Il sito web delle parti di aeromobili di Boeing, che ha subito un attacco ransomware Lockbit all’inizio di novembre, è rimasto offline una settimana dopo che la società ha confermato la violazione, lasciando i clienti a telefonare per effettuare gli ordini. Ci sono volute settimane prima che MGM riprendesse le normali operazioni dopo aver subito un attacco ransomware, perché la società ha bloccato i propri sistemi per cercare di impedire agli hacker di diffondersi nella rete. Di conseguenza, hanno perso giorni di prenotazioni perché il ripristino dei sistemi richiedeva molto tempo.
Nel caso della banca cinese ICBC, il consiglio valuterà l’entità della perdita di dati e la quantità di informazioni critiche scomparse. L’organo dovrà stabilire per quanto tempo i sistemi chiave rimarranno offline, quale sarà il costo, se possono permettersi di pagare e se, in effetti, dovrebbero. A quel punto, gli avvocati lavoreranno febbrilmente per determinare se il pagamento di un riscatto violerebbe eventuali norme sanzionatorie: solo il semplice rilascio di documenti richiede tempo, mi dicono gli esperti.
Anche se la ICBC dispone di backup robusti, Lockbit potrebbe comunque minacciare di far trapelare i dati rubati sul suo sito di fuga sul dark web nel caso in cui la vittima si rifiutasse di pagare. Gli operatori di ransomware sono noti per far sembrare che abbiano rubato più di quanto effettivamente necessario per spaventare le vittime e indurle a pagare. Capire a cosa hanno accesso aggiunge più tempo prezioso all’orologio. Come dice Parthasarathi, i fatti non sono più scontati quando si gioca secondo le regole dell’hacker. “Ciò che potresti supporre potrebbe essere vero – e potrebbe non esserlo”. L’unica cosa certa è che ci vorranno almeno settimane per comprendere l’entità del danno causato da Lockbit.
