Quando si verifica una violazione dei dati, è importante che l’organizzazione risponda con prontezza, trasparenza e corretta gestione delle comunicazioni di risposta all’incidente verso le potenziali vittime coinvolte.
Il nuovo trend, che contraddistingue gli attacchi ransomware andati a buon fine, oltre alla solita richiesta di riscatto fatta alle organizzazione, adesso riguarda il “gettare benzina sul fuoco” mettendo pressione sulla reputazione aziendale del brand attraverso un utilizzo fraudolento dei social media.
All’inizio di questo mese, la banda di ransomware Ragnar Locker ha hackerato uno o più account utente di Facebook e li ha utilizzati per acquistare pubblicità online sui social media con l’obiettivo di mettere in imbarazzo una delle sue recenti vittime di doppia estorsione, la società italiana di liquori Campari Group.
Facebook ha dichiarato che i sistemi automatizzati dell’azienda hanno rilevato e annullato un tentativo di compromettere l’account in questione. Tuttavia, la campagna pubblicitaria non autorizzata avrebbe raggiunto 7.150 utenti di Facebook e generato 770 clic.
La tattica è nuova e rappresenta un chiaro sforzo per esercitare ulteriori pressioni sulle vittime affinché paghino la somma richiesta. È chiaro che questo modo di agire, nuovo, creare preoccupazione per le organizzazioni che hanno un brand noto e ben riconoscibile: i social media come mezzo forniscono ai criminali un accesso potenzialmente illimitato ai consumatori finali.
Gli utilizzatori del ransomware utilizzano spesso i propri siti Web, noti prevalentemente in un ambiente circoscritto, per annunciare le loro ultime vittime, ma questi siti non vengono letti dal consumatore medio. L’utilizzo di social media accessibili alla popolazione più ampia può provocare un danno più alto alla reputazione dell’organizzazione “vittima”.
Ad esempio, dopo che Campari ha rilasciato una dichiarazione pubblica in cui diceva: “Non possiamo escludere completamente che siano stati presi alcuni dati personali e aziendali”, gli aggressori hanno pubblicato il loro annuncio su Facebook, affermando: “Questo è ridicolo e sembra una grossa bugia. Possiamo confermare che i dati riservati sono stati rubati e stiamo parlando di un enorme volume di dati “.
Se la tattica si rivelerà utile, in futuro gli aggressori potrebbero sfruttare ulteriori piattaforme di social media, costringendo le aziende a utilizzare, a loro volta, strategie per far fronte a questi attacchi mediatici.
Secondo quanto riferito , gli aggressori hanno chiesto 15 milioni di dollari dopo aver crittografato i file di Campari e minacciato di pubblicare fino a due terabyte di documentazione rubata, inclusi estratti conto, accordi contrattuali ed e-mail.
L’esposizione mediatica è solo uno degli aspetti.
“Nel tempo, i gruppi di cybercriminali hanno messo a punto vari modi per fare pushing sulle vittime e convincerli a pagare il riscatto richiesto. Psicologicamente, questa tattica dell’esposizione sui media come Facebook, aumenta notevolmente la probabilità di danni al marchio e, inevitabilmente, pubblicità negativa”.
Le bande di ransomware sono spesso note per replicare i metodi degli altri cybercriminali, quindi è certamente concepibile che altri possano provare a sfruttare i social media e le pubblicità sui social per dare più visibilità alle loro azioni malevoli. La tattica potrebbe anche evolversi per includere più acquisizioni di account, sulla falsariga dell’incidente di hacking di Twitter della scorsa estate durante il quale account verificati sono stati compromessi per promuovere una truffa di criptovaluta.
Esistono anche casi documentati di criminali che comunicano personalmente con i media, i clienti e talvolta singole vittime per diffondere il loro messaggio relativo al data breach. Qualche mese fa, un centro di psicoterapia finlandese ha subito un attacco ransomware a doppia estorsione in cui i cybercriminali hanno contattato i pazienti per ricattarli con i loro file medici rubati!
È importante capire comunque che, sebbene questa tattica di annunci su Facebook sia nuova, non si può affermare già che sia efficace, poiché al momento, per quanto noto, Campari non ha pagato il riscatto. La tattica pone psicologicamente la pressione sui dirigenti che non vogliono che i messaggi distorti danneggino il marchio, ma, in parallelo, è evidente che Ragnar Locker è stata costretta ad aumentare il livello di pressione su Campari proprio perché il management è stato fermo sulle sue posizioni.
Se è vero che il brand di una organizzazione rischia di uscire danneggiata da un’azione mediatica di questo tipo, va detto che se utilizzata bene una crisi del genere può apportare dei vantaggi o quantomeno limitare i danni. Nel caso di Campari, ai consumatori era chiaro chi fossero i buoni (vittime) e chi i cattivi (aggressori).
In generale possiamo affermare che i consumatori si schiereranno con i buoni, almeno fintanto che non si osservi una violazione eclatante legata a negligenze della vittima.
Per vincere alla fine la battaglia di comunicazione con gli aggressori ransomware, anche quelli che adottano tattiche più audaci, gli esperti consigliano alle aziende vittime di rimanere trasparenti e di non pagare.
Prendere una posizione irremovibile, non negoziando, è il modo corretto per controllare la comunicazione. Nel frattempo, rafforzare il perimetro logico-informatico dell’organizzazione, riportandole online i servizi e rilasciando una dichiarazione di pubbliche relazioni che spieghi i miglioramenti apportati, guadagnerà il rispetto della comunità della security e dei consumatori in generale.
Nella sua ultima dichiarazione societaria , datata 9 novembre, Campari Group ha dichiarato che “nel contesto del proprio piano di ripristino dei sistemi IT, servizi selezionati sono stati progressivamente ripresi dopo la loro sanificazione riuscita e implementata di misure di sicurezza aggiuntive”. Tuttavia, “numerosi sistemi IT possono essere temporaneamente e deliberatamente sospesi o operare con funzionalità limitate su più siti, in attesa di essere sanificati o ricostruiti per ripristinare tutti i sistemi in modo completamente sicuro”.
Il tuo sistema informatico è stato colpito da ransomware?
Se purtroppo le attenzioni che hai messo in campo non sono bastate ed il tuo sistema informatico o una parte di questo è stato colpito da ransomware allora segui i nostri consigli.
- Non fare cose affrettate di cui potresti pentirti
- Non pagare!!!
- Chiama il tuo consulente per la data protection.
- Ricordati che devi segnalare il data breach al garante privacy entro 72 ore dall’accaduto.