Il Nuovo Fantasma del Ransomware: Smascherare l’Ascesa Oscura di Tommotek

Nei vorticosi sottoboschi del dark web, un nuovo nome sta diffondendo ondate di paura tra i team IT aziendali e gli osservatori del crimine digitale: Tommotek. Mentre alcune gang di ransomware prosperano grazie alla notorietà, Tommotek si è costruito una reputazione attraverso il silenzio, la precisione e un’efficienza agghiacciante che lascia vittime e investigatori con più domande che risposte. Mentre la loro firma digitale inizia ad apparire nei report sulle violazioni e nelle trattative per il riscatto, la comunità della cybersicurezza si affanna a ricostruire la reale portata delle ambizioni di Tommotek.

L’Anatomia di una Minaccia Fantasma

A differenza dei messaggi roboanti delle vecchie gang di ransomware, Tommotek opera in un silenzio quasi totale. La loro presenza è emersa per la prima volta sui siti ransomfeed - piattaforme oscure dove i gruppi criminali elencano le loro vittime e mettono all’asta i dati rubati al miglior offerente. Le segnalazioni di Tommotek sono scarne ma minacciose, offrendo solo i dettagli necessari a terrorizzare i bersagli e ad attirare potenziali acquirenti.

Fonti indicano che Tommotek impiega un modello di doppia estorsione: non solo cifrano i file di un’organizzazione, ma esfiltrano anche informazioni sensibili, minacciando di divulgarle se le richieste non vengono soddisfatte. Questo approccio a doppia minaccia si è rivelato estremamente efficace, sfruttando sia la pressione tecnologica che quella psicologica. Le vittime si trovano davanti a un conto alla rovescia: pagare, oppure vedere i propri dati riservati riversati nel dominio pubblico.

Dal punto di vista tecnico, gli attacchi di Tommotek sono caratterizzati da malware costruiti su misura - software dannoso adattato a ciascun bersaglio. Una volta all’interno della rete, il malware si muove lateralmente, cercando server di backup e database sensibili prima di lanciare l’attacco principale di cifratura. Questo livello di sofisticazione suggerisce un team ben organizzato, con una profonda conoscenza dei sistemi aziendali e una spiccata comprensione della digital forensics.

Gli investigatori hanno notato che Tommotek evita di colpire certi settori, forse per sfuggire a un controllo più serrato delle forze dell’ordine. Tuttavia, la lista delle vittime cresce e le richieste di riscatto raggiungono cifre milionarie. La capacità del gruppo di rimanere anonimo, nonostante l’aumentata attenzione dei media e della sicurezza, non fa che accrescere il loro alone di mistero - e l’inquietudine di chi teme di essere il prossimo.

La Strada da Percorrere

Mentre l’ombra di Tommotek si allunga sul panorama del cybercrimine, gli esperti avvertono che il loro modello potrebbe ispirare una nuova ondata di campagne ransomware silenziose ma ad alto impatto. Per ora, alle organizzazioni si consiglia di rafforzare le difese, rivedere i piani di risposta agli incidenti e prepararsi alla possibilità che il prossimo nome sul ransomfeed di Tommotek possa essere il loro.

WIKICROOK

• Ransomware: Il ransomware è un software dannoso che cripta o blocca i dati, richiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
• Doppia Estorsione: La doppia estorsione è una tattica ransomware in cui gli attaccanti sia criptano i file sia rubano dati, minacciando di divulgarli se il riscatto non viene pagato.
• Ransomfeed: Un ransomfeed è un sito pubblico dove i gruppi di hacker elencano le vittime del ransomware, esponendo i loro dati per aumentare la pressione affinché paghino il riscatto.
• Payload Malware: Il payload malware è la parte del software dannoso che esegue azioni nocive, come criptare file, rubare dati o danneggiare i sistemi.
• Movimento Laterale: Il movimento laterale avviene quando gli attaccanti, dopo aver violato una rete, si spostano lateralmente per accedere a più sistemi o dati sensibili, ampliando il loro controllo e la loro portata.