C'è chi dice che gli attacchi ransomware sono in flessione, perché le aziende hanno imparato a difendersi meglio contro di essi. Ma la cronaca non sembra essere poi così rosea. Quantomeno, gli attacchi ransomware quando hanno successo restano una delle minacce più pericolose per gli effetti che hanno sulla operatività delle aziende colpite.

In questi giorni sembrano in particolare molto attivi i criminali che stanno usando il ransomware LockerGoga: dopo aver bloccato molte attività della norvegese Norsk Hydro, si parla ora di attacchi più limitati a due aziende chimiche statunitensi.

Le imprese colpite sono Hexion e Momentive, che hanno come punto di contatto il fatto di essere controllate dallo stesso fondo di investimento. La notizia dell'attacco viene da indiscrezioni raccolte da Motherboard, ma entrambe le aziende hanno comunicato di stare recuperando da "un recente incidente di sicurezza che ha bloccato l'accesso ad alcuni sistemi IT e dati all'interno della rete aziendale". L'espressione è stata usata in modo pressoché identico sia da Hexion sia da Momentive.

È possibile quindi che l'attacco abbia colpito le due aziende con la stessa dinamica. Qui ufficialmente non si sa nulla, ma le indiscrezioni puntano nettamente il dito contro un attacco ransomware con LockerGoga.

Secondo una mail interna di Momentive, raccolta da Motherboard, il ransomware ha colpito diversi computer aziendali e i dati che essi conservavano sono considerati ormai non recuperabili. Non pare quindi che l'azienda abbia intenzione di pagare un riscatto, ma avrebbe già provveduto a ordinare centinaia di nuovi computer in sostituzione di quelli colpiti.

I comunicati di Hexion e Momentive indicano che l'attacco non ha colpito i sistemi industriali di produzione perché questi si trovano su reti separate da quelle delle "funzioni corporate". Sembra quindi probabile che l'attacco mediante LockerGoga abbia seguito i classici canoni dell'attacco via phishing mirato sulle funzioni aziendali interne. Hexion in particolare ha indicato di aver immediatamente bloccato i sistemi di posta elettronica "per contenere il problema".

La morale delle vicende di Nork Hydro e, a quanto pare, Hexion e Momentive è che il ransomware sarà magari una minaccia ben nota, ma le sue conseguenze sono ancora troppo rilevanti per metterlo in archivio e dedicarsi a minacce più esoteriche. Anche perché molte aziende anche di grandi dimensioni appaiono ancora vulnerabili.