fallback-image

Rivelata la negoziazione del Ransomware: L’adulazione e l’empatia funziona

Nuovi dettagli rivelano le insolite strategie impiegate dai negoziatori del riscatto in un recente attacco all’Università della California.

Il negoziatore dell’università ha usato l’adulazione

I dettagli di una settimana di trattative tra l’Università della California e una gang di NetWalker sono stati rivelati da Bloomberg.

La Scuola di Medicina dell’Università stava lavorando su un vaccino per Covid-19 nel giugno di quest’anno, quando sette dei suoi server sono stati bloccati dagli hacker. Contro il parere dell’FBI, l’università ha preso in mano la situazione e ha condotto trattative private.

Il negoziatore dell’università ha usato l’adulazione, ha fatto appello al senso di simpatia e all’etica degli hacker, ed è riuscito a ridurre l’importo del riscatto da ben 6 milioni di dollari a poco più di un milione di dollari in Bitcoin Code e ha ripristinato con successo i sistemi.

Subito dopo, il negoziatore si è assicurato di avere l'“operatore“ dell’hacker dalla sua parte, chiedendo rispetto da entrambe le parti: „Sono disposto a risolvere la questione con voi, ma deve esserci rispetto reciproco“. Non siete d’accordo?“. Prima di aspettare una risposta, hanno anche fatto appello all’orgoglio dell’aggressore:

„Ho letto di te su internet e so che sei un famoso gruppo di hacker ransomware e molto professionale. So che onorerete la vostra parola quando ci metteremo d’accordo su un prezzo, giusto?“.

Questo sembrava funzionare con la risposta dell’operatore: „Siamo al 100% di rispetto, e non mancheremo mai di rispetto a un cliente che ci parla con rispetto“.

Le trattative si sono spostate sul sentimento della dedizione di ogni parte, con il negoziatore che piangeva a dirotto e che dichiarava che tutti i fondi erano andati alla ricerca e non ne era rimasto nessuno.

Chiamando l’apparente bluff, l’operatore ha risposto che una scuola che raccoglie oltre 7 miliardi di dollari di entrate annuali non dovrebbe avere problemi a pagare qualche milione:

„Dovete capire, per voi come una grande università […] potete raccogliere quei soldi in un paio d’ore. Dovete prenderci sul serio“.

La prima offerta dell’università è stata di 780.000 dollari ed è stata anche derisa dall’operatore. „Tenete quei 780.000 dollari per comprare McDonalds per tutti i dipendenti. È una somma molto piccola per noi“, aggiungendo: „Mi dispiace“.

Più tempo – per entrambe le parti

Come è tipico nelle situazioni di riscatto, il negoziatore ha poi chiesto altri due giorni per permettere „al comitato universitario che prende tutte le decisioni“ di riunirsi di nuovo. L’operatore ha accettato la condizione che il riscatto di 3 milioni di dollari venga raddoppiato a 6 milioni di dollari.

Un negoziatore del riscatto di Tel Aviv, Moty Cristal, ha detto a Bloomberg che l’estensione avrebbe potuto essere utile anche per gli aggressori, dando loro il tempo di identificare il valore dei loro dati rubati.

Il Gruppo Netwalker è un’impresa criminale su larga scala e affitta il suo software in un programma in stile franchising. Il gruppo ha pubblicato un annuncio di reclutamento nel marzo di quest’anno, aggiungendo nuovi affiliati alla sua rete.

Diventare personale

A questo punto, sia per disperazione che come strategia psicologica, il negoziatore ha iniziato ad appellarsi alle simpatie dell’operatore. „Non dormo da un paio di giorni perché sto cercando di capire questo per te“, hanno detto, „Sono considerato un fallimento da tutti qui e questa è tutta colpa mia“.

„Più questo va avanti, più mi odio […] Tutto quello che chiedo è che tu sia l’unico nella mia vita in questo momento a trattarmi bene. Sei l’unico al mondo in questo momento che sa esattamente cosa sto passando“.

L’operatore sembrava rispondere: „Amico mio, la tua squadra deve capire che questo non è un tuo fallimento. Ogni dispositivo su Internet è vulnerabile“.

Quattro giorni dopo l’attacco, il negoziatore alla fine è tornato con un’offerta di oltre 1 milione di dollari, dicendo che stavano piegando le loro regole interne per accettare un’ulteriore donazione di 120.000 dollari sulla base del fatto che le trattative si sono concluse. Hanno anche aggiunto una pressione temporale:

„Normalmente non possiamo accettare queste donazioni, ma siamo disposti a farle funzionare solo se si accetta di porre fine a tutto questo in tempi brevi“.

L’università ha speso 36 ore per organizzare l’acquisto di 116 Bitcoin (1,14 milioni di dollari) e per inviare i fondi agli aggressori. Sono stati necessari altri due giorni perché gli hacker confermassero la cancellazione di tutti i dati sensibili e restituissero l’accesso all’università.

Dopo più di otto giorni senza accesso, l’università è riuscita a riottenere l’accesso completo a tutti i suoi server. I server sono tuttavia rimasti offline mentre indagavano sull’incidente con l’FBI e altri consulenti in materia di sicurezza informatica. Nell’ultimo aggiornamento del 26 giugno, l’università ha dichiarato che l’indagine era ancora in corso.

Lena

Related Posts

fallback-image

Großbritannien: EZV veröffentlicht endgültige Bitcoin Profit Leitlinien zur Krypto-Regulierung