In un mondo sempre più interconnesso, le minacce informatiche sono in costante aumento, con i gruppi di ransomware che prendono di mira le aziende di ogni dimensione. Recenti studi hanno dimostrato che le organizzazioni che decidono di pagare un riscatto ai criminali potrebbero, paradossalmente, subire una maggiore esposizione mediatica negativa rispetto a quelle che scelgono di non cedere alle richieste.
Uno degli studi più significativi in questo ambito è stato condotto da Max Smeets, autore del libro Ransom War, che ha analizzato dati sequestrati dalla National Crime Agency (NCA) durante l’operazione contro il gruppo ransomware LockBit. I risultati hanno messo in luce un aspetto sorprendente: le aziende che pagano il riscatto attirano più attenzione da parte dei media.
Il paradosso del pagamento del riscatto
Smeets ha esaminato le notizie riguardanti 100 aziende che hanno ceduto al pagamento del riscatto e le ha confrontate con altrettante che hanno rifiutato di farlo. Ha scoperto che le prime sono state oggetto di articoli più frequenti. Questo fenomeno è stato definito come l’effetto Streisand, in cui, nel tentativo di evitare una cattiva pubblicità, le aziende finiscono per attirare l’attenzione indesiderata.
Le forze dell’ordine, da tempo, avvertono contro il pagamento dei riscatti, sottolineando che ciò non solo alimenta il ciclo di crimine, ma non garantisce nemmeno il recupero dei dati. Durante un’intervista, Smeets ha evidenziato che non pagare potrebbe rivelarsi la scelta migliore per evitare danni alla reputazione.
Preparazione alle negoziazioni
Un altro aspetto preoccupante emerso dall’analisi di Smeets è la scarsa preparazione di molte aziende nel gestire le negoziazioni con i criminali.
Alcune di esse hanno rivelato la loro vulnerabilità, dichiarando di non avere backup dei dati, il che ha messo in difficoltà la loro posizione nelle trattative. Altri tentativi di negoziazione, come il cercare di ottenere simpatia dai criminali, sono risultati inefficaci.
In un caso particolare, alcune vittime hanno addirittura fornito ai rapitori documenti assicurativi per dimostrare quanto potevano permettersi di pagare, un approccio che ha dimostrato di essere controproducente. È chiaro che le aziende devono sviluppare strategie più efficaci quando si trovano ad affrontare una minaccia di ransomware.
Il gioco delle trattative con i criminali
Le gang di ransomware come LockBit seguono un copione ben definito quando si tratta di negoziare i pagamenti. Inizialmente, propongono un riscatto, offrono la decrittazione di alcuni file gratuitamente e minacciano di divulgare i dati se non viene effettuato il pagamento.
Tuttavia, è interessante notare che, a causa del numero elevato di vittime, questi gruppi non si prendono il tempo necessario per analizzare i dati rubati alla ricerca di informazioni compromettenti che potrebbero aumentare il valore del riscatto.
Se un’azienda non paga entro un certo periodo, i criminali potrebbero dedurre che la sua situazione non è così critica, il che potrebbe portare a una diminuzione delle richieste di pagamento. Le gang di ransomware devono mantenere una certa reputazione per convincere le vittime a pagare e, secondo l’analisi di Smeets, l’operazione Chronos ha non solo danneggiato l’infrastruttura di LockBit, ma ha anche compromesso la loro credibilità.
Il crollo della reputazione di LockBit
Nel, l’operazione internazionale ha portato al sequestro dei server di LockBit, della sua sede amministrativa e delle sue comunicazioni interne.
La NCA non ha solo colpito l’aspetto tecnico, ma ha anche esposto le menzogne del gruppo, danneggiando la loro immagine. Ad esempio, LockBit aveva promesso di punire gli affiliati che avevano attaccato un ospedale pediatrico, ma non ha rispettato tale promessa.
Quando i criminali hanno tentato di rilanciare LockBit nel, il danno alla loro reputazione era ormai irreparabile. Tra e, gli affiliati di LockBit 3.0 avevano ricevuto numerosi pagamenti, mentre LockBit 4.0 ha registrato un numero drammaticamente basso di transazioni dopo il colpo subito, evidenziando l’impatto duraturo della perdita di reputazione.
In conclusione, l’operazione Chronos potrebbe rappresentare un modello per affrontare futuri gruppi ransomware, non solo distruggendo la loro infrastruttura, ma anche lavorando per screditare la loro reputazione nel panorama informatico.
