La società di viaggi aziendali americana CWT ha pagato un riscatto di 4,5 milioni di dollari in Bitcoin a un gruppo hacker che aveva rubato alcuni dati sensibili.
Secondo un report di Reuters del 31 luglio, alcuni dipendenti di CWT (ex Carlson Wagonlit Travel) avrebbero versato ai malintenzionati la cifra di 414 Bitcoin (BTC) in due diverse transazioni. Al momento del pagamento, quei BTC valevano circa 4,5 milioni di dollari. I dati su blockchain mostrano che nel giro di un’ora i criminali hanno trasferito i fondi a un indirizzo diverso.
Gli assalitori hanno dichiarato di aver utilizzato il ransomware Ragnar Locker per impedire l’accesso ai dati societari a 30.000 computer. Avrebbero inoltre anche rubato alcune informazioni riservate. Inizialmente gli hacker avevano chiesto 10 milioni di dollari, ma hanno accettato una cifra inferiore dopo che un rappresentante di CWT ha risposto loro che la società aveva subito forti perdite a causa della pandemia.
Il riscatto è stato negoziato pubblicamente
Stranamente, sembrano esserci state trattative quanto mai cordiali tra le due parti, considerata la natura del reato: un dipendente di CWT e un membro del gruppo hacker hanno discusso il prezzo del riscatto in una chat online pubblica.
Inizialmente, i criminali hanno detto che la somma richiesta sarebbe stata “molto inferiore” rispetto alle spese legali che la società avrebbe dovuto affrontare. Qualora CWT avesse effettivamente ceduto alle loro richieste, hanno addirittura offerto un “bonus”: dei consigli su come migliorare i propri protocolli di sicurezza.
La chat tra il rappresentante di CWT e gli hacker. Fonte: Jack Stubbs
Grazie alla chat, possiamo conoscere quali consigli il gruppo di malintenzionati avrebbe dato a CWT: cambiare password ogni mese, avere a lavoro almeno tre amministratori di sistema in ogni momento della giornata, e controllare gli user privilege.
Una volta avuta conferma del pagamento, gli hacker hanno chiuso la chat dicendo: “È un piacere fare affari con dei professionisti.”
Pagare è la scelta più semplice?
Molte società ed enti colpiti da ransomware hanno preferito pagare milioni di dollari che rischiare la pubblicazione di informazioni sensibili o il blocco dei propri sistemi informatici per un lungo periodo.
A giugno, la University of California at San Francisco School of Medicine ha versato 1,14 milioni di dollari in crypto a un gruppo hacker per liberarsi di un ransomware. La multinazionale Garmin ha subito un attacco simile, ma recentemente ha ricevuto il programma di decriptazione: ciò ci porta a pensare che l’impresa abbia pagato almeno in parte il riscatto di 10 milioni di dollari richiesto dagli hacker.
Non sempre però le richieste dei criminali vengono accolte. Un club della English Football Club si è rifiutato di pagare 3,6 milioni di dollari a un gruppo hacker che aveva colpito i suoi sistemi di sicurezza aziendale: ciò ha causato alla società un’enorme perdita di dati.