Grief è un nuovo gruppo ransomware, salito agli onori della cronaca pochi giorni fa quando ha iniziato a elencare sul proprio sito Tor i nomi delle sue prime vittime e a caricare i primi dati esfiltrati.
Al momento Grief ha reso pubblici i nomi di 5 entità colpite, anche se è ormai noto che ne esiste una sesta: Clover Park School District. Ne aveva parlato Dissent (@PogoWasRight) in questo suo articolo su DataBreaches.net lo scorso 26 maggio.
Le altre entità colpite sono:
- Home Decor GB Ltd, azienda inglese che produce mobili di alta qualità (Grief non specifica, al momento, la quantità totale di dati rubati)
- Comune di Porto Sant’Elpidio, comune italiano della provincia di Fermo – Regione Marche (8 GB di dati rubati)
- La Concha, azienda messicana che opera nel campo del dolciario-alimentare (esfiltrati circa 1 GB di dati)
- Puntacana Group, gruppo aziendale nella Repubblica Dominicana che opera nel campo dei servizi (10 GB circa di dati rubati)
- Mobile County, Contea nello Stato americano dell’Alabama (circa 7 GB di dati sono nelle mani di Grief)
Negli scorsi giorni SuspectFile ha cercato, riuscendoci, di stabilire un contatto con Grief, ne è nata una conversazione franca, leale. Non abbiamo chiesto, ad esempio, quali fossero state le modalità utilizzate durante gli attacchi ai sistemi IT, così come non abbiamo mai chiesto l’entità dei riscatti chiesti alle vittime.
Abbiamo voluto fare domande diverse. Abbiamo inizialmente chiesto le date relative alle intrusioni nei sistemi delle entità colpite. Questo per capire se le aziende avessero o meno ottemperato agli obblighi di legge vigenti nei rispettivi Paesi riguardo la protezione dei dati sensibili.
Abbiamo chiesto se fra i dati in loro possesso vi fossero anche documenti sanitari, o comunque sensibili di dipendenti delle aziende o di privati cittadini. Per nessuna delle domande che abbiamo posto ci è stata data una risposta.
Così come non ci è stato risposto quando abbiamo chiesto se fossero ancora all’interno dei sistemi hackerati.
Un’altra domanda che abbiamo voluto porre a Grief, fra tutte quella che più ci interessava avere risposta, è stata quella relativa agli attacchi a entità ospedaliere. Gli abbiamo chiesto se gli ospedali rientravano fra i propri obiettivi.
Ci è stata data una risposta che nella sostanza ci ha rassicurato, meno nella forma che hanno voluto utilizzare.
Ecco la loro risposta:
We aren’t going to target health sector. We know some players like it, but there are a lot more interesting sectors to make money. Some things like plastic surgery or pharma sector have almost nothing with health but have lot of money – so they will come to our lists too.
Quando abbiamo posto ulteriori domande ci è stato risposto con un vero e proprio comunicato.
SuspectFile ha scelto di pubblicarlo integralmente, consapevole che questo scatenerà da più parti critiche nei nostri confronti. Ma abbiamo preso questa decisione perchè crediamo che quanto dichiarato dal Grief possa contribuire a far luce su nuovi metodi di estorsione che, probabilmente, molti altri cybercriminali metteranno presto in atto.
Grief nel documento sottolinea alcuni propri capisaldi a cui si rifaranno e che riguarderanno
- il metodo d’azione
- la negoziazione
- la tempistica
In una parte della loro dichiarazione viene “puntato l’indice” contro le aziende colpevoli di non pagare, in termini di legge, per la mancata tutela e protezione dei dati. Grief fa rifermento alla legge europea sul Regolamento generale sulla protezione dei dati (GDPR) anche sul proprio sito all’interno delle reti Tor.
Colpevolizza le aziende anche di spendere, inutilmente, soldi per pagare le consulenze dei negoziatori e quelli dati alle compagnie assicurative.
Finiscono il comunicato con uno slogan presente anche all’interno del loro sito web “Pay or Grief” dichiarando, in ultimo, che non permetteranno sconti, trattative o perdite di tempo.
