Dietro le Quinte di un Attacco Ransomware: La Trattativa con il Gruppo Akira

Negli ultimi anni, gli attacchi ransomware sono diventati una delle minacce informatiche più gravi e frequenti per aziende di ogni settore. La dinamica tipica prevede la cifratura dei dati aziendali seguita da una richiesta di riscatto, con le vittime costrette a scegliere tra la perdita dei dati o la negoziazione con i criminali. In questo contesto, un raro scambio di messaggi con il gruppo ransomware Akira getta luce su come si svolge davvero una trattativa post-attacco.

Il dialogo inizia con un semplice messaggio lasciato dal gruppo Akira nel sistema compromesso. Una volta che l’interlocutore conferma di essere autorizzato a trattare, il gruppo fornisce un archivio con l’elenco dei dati esfiltrati (protetto da password) e offre di restituire 2-3 file decrittati come prova. Dopo alcune difficoltà iniziali nell'apertura dei file, il test di decrittazione va a buon fine e la vittima chiede di ricevere la chiave.

A questo punto, Akira formula la richiesta economica: 1,7 milioni di dollari per un pacchetto che include decryptor, eliminazione dei dati, rapporto di sicurezza e garanzie di non diffusione o nuovi attacchi. In alternativa, 1 milione solo per la decrittazione. La vittima, in evidente difficoltà finanziaria, risponde con un’offerta iniziale di 20.000 dollari, definita subito da Akira “ridicola”. I criminali dichiarano di aver valutato lo stato finanziario dell’azienda attraverso documenti interni rubati, ma la vittima contesta tali valutazioni.

Akira impiega tecniche di pressione psicologica: dà 24 ore di tempo per accettare, minacciando la pubblicazione dei dati. Quando il tempo scade, pubblica il nome dell’azienda sul proprio blog. Alla richiesta di rimuovere il post come segnale di buona fede, Akira risponde che “questo è il modo in cui funziona il business”.

Subentra un nuovo interlocutore lato vittima, più conciliante ma fermo sulle difficoltà economiche. Inizia una serie di controfferte:

• Vittima: $110.000

• Akira: $650.000

• Vittima: $140.000

• Akira: $590.000

• Akira (minimo): $350.000

• Vittima: $180.000

• Akira (definitivo): $250.000

Alla fine, la vittima si impegna a portare l’offerta da $250.000 alla direzione.

Accettato il prezzo, il pagamento deve avvenire in Bitcoin. La vittima esprime preoccupazione per le commissioni elevate (stimate fino a $25.000) e per i tempi bancari. Dopo alcune discussioni, le parti si accordano per un pagamento immediato di $225.000. Viene effettuata una prima transazione di prova da $1.000, seguita da rate successive. Tuttavia, la congestione della rete Bitcoin causa ritardi.

Akira monitora le transazioni e ricalcola il saldo residuo in base alle variazioni di valore del BTC. Alla fine, ricevuto il pagamento completo, il gruppo conferma e invia il decryptor.

La promessa includeva anche un report di sicurezza, la cancellazione dei dati e garanzie formali. Tuttavia, subito emergono problemi: il decryptor iniziale non funziona, la password del server ESXi risulta cambiata, e il gruppo invia una versione errata dello strumento. Dopo una nuova segnalazione, viene inviato il decryptor corretto, che funziona.

Seguono ulteriori problemi con l’accesso al server, risolti dopo la fornitura di una nuova password. La vittima sollecita anche la prova della cancellazione dei dati, che arriva con un archivio cifrato e un rapporto tecnico.

Il rapporto di sicurezza elenca vulnerabilità comuni: phishing, password deboli, mancata autenticazione a due fattori, software obsoleti, backup inadeguati e mancanza di segmentazione della rete. Tuttavia, la vittima lo giudica generico e poco personalizzato, più adatto a una consulenza standard che a una vera analisi forense.