Recuperato riscatto da ransomware per l’Università dei Paesi Bassi, con gli interessi

Una curiosa vicenda che vede un attacco ransomware da una cyber gang storica e ben nota anche per Trojan bancari, una vittima dalle grande dimensioni e un pagamento di riscatto. Il resto lo stanno facendo le indagini, che al lato economico hanno già portato dei risultati, pure migliori delle attese

Un’università olandese, diventata l’obiettivo di un massiccio attacco ransomware, è riuscita a recuperare le somme di denaro che, all’epoca, vennero pagate come riscatto ai criminali. Nel frattempo il valore della criptovaluta utilizzata è aumentato e quei soldi oggi valgono più del doppio.

Università colpita da ransomware paga il riscatto e ne recupera il doppio dopo 3 anni

La Southern Maastricht University nel 2019 è stata colpita da un grosso attacco ransomware, il malware che rende indisponibili i propri file, li ruba e minaccia di pubblicare i dati personali della vittima online, a meno che non venga pagato un riscatto. La notizia viene riportata dal deVolkskrant.

L’attacco è stato molto limitante per 25.000 studenti e professori. Centinai i server Windows interessati e resi indisponibili, comprese grandi quantità di unità di backup. Il ransomware ha colpito tutto e l’impatto è stato devastante. L’ente ha così deciso, dopo una settimana di pagare la somma richiesta come riscatto al fine di ottenere un decryptor e ripristinare la situazione ormai in crisi. Migliaia le tesi bloccate, gli esami non eseguibili e gli studenti fermi. 208.000 dollari in bitcoin (per esattezza 30 bitcoin).

Appena confermata la transazione, la polizia postale dei Paesi Bassi ha iniziato le indagini e insieme agli agenti dell’Interpol sono riusciti ad arrivare ad un sospettato per riciclaggio. Ottenendo così il sequestro del conto nel quale veniva mantenuta anche la transazione dell’Università, ora che le indagini lo permettono, l’Interpol è pronta per restituire le somme dei criminali sequestrate, all’Università. Nel corso degli ultimi tre anni però il valore del bitcoin è cambiato e l’ente ora riceverà la somma di 521mila dollari (circa, con quotazione del 04/07/22 si parla di 570.411 euro).

Il portavoce dell’università ha dichiarato: “Questo denaro non andrà a un fondo generale, ma a un fondo per aiutare gli studenti finanziariamente in difficoltà”.

L’attacco ransomware contro l’Università

E per il gruppo criminale? Le indagini sono ancora in corso per quanto riguarda l’attribuzione totale delle responsabilità sull’incidente. Quello del 23 dicembre 2019 è stato un massiccio attacco ai danni di una grande infrastruttura che conta circa 4.500 dipendenti, 18.000 studenti e 70.000 alunni, università tra le più grandi e importanti del mondo.

L’operazione è stata portata a termine con successo da un gruppo ben noto di criminali informatici, da almeno il 2014. TA505 è il gruppo ransomware, responsabile e ricercato, motivato finanziariamente noto per aver preso di mira principalmente società di vendita al dettaglio e istituzioni finanziarie almeno dal terzo trimestre del 2014, come suggerito da report Proofpoint.

La vulnerabilità dei diversi livelli infrastrutturali in questo caso è costata molto cara, e l’Università ha comunicato tutte le fasi dell’attacco con diversi comunicati stampa e infine anche una conferenza. La decisione di pagare il riscatto ha consentito all’ente di evitare di dover ricostruire da zero tutti i sistemi compromessi, perdendo tutti i dati di ricerca, istruzione e personale e ritardando gli esami e il pagamento degli stipendi ai 4.500 dipendenti dell’università.

“È una decisione che non è stata presa alla leggera dal Comitato esecutivo. Ma è stata anche una decisione che doveva essere presa”, affermava l’Università al tempo dei fatti.

Pagare il riscatto è qualcosa di severamente sempre sconsigliato e, presumibilmente anche in questo caso, la transazione venne mossa anche per fini investigativi (suppongo). Vista l’entità del danno, occorreva rimediare quanto prima, allo stesso tempo, l’importanza e la grandezza del target colpito ha permesso a tutte le forze di polizia di seguire molto da vicino la vicenda. Non escluderei una mossa “consigliata” proprio per creare un punto di inizio alle indagini che, tassello dopo tassello, stanno portando ai responsabili. Perciò la vicenda non deve insegnare a pagare i riscatti, perché non tutti possiamo permetterci certe investigazioni post attacco e soprattutto, non possiamo rischiare di alimentare la macchina criminale delle estorsioni informatiche.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto