Affidandosi a Twitter, il gruppo di ricercatori ha condiviso la nota che viene inviata alle macchine colpite, letteralmente un "copia-incolla" dalle note diffuse in seno agli attacchi perpetrati con il famigerato ransomware Conti.
There's one more ransomware gang: ONYX.
— MalwareHunterTeam (@malwrhunterteam) April 21, 2022
Not have samples yet, only seen a note, which is mostly a copy-paste of Conti's note...
🤔 pic.twitter.com/kG745eOUNu
Gli operatori rubano i dati prima di sottoporli a crittografia, per poi usarli a scopo di doppia estorsione, con la minaccia di divulgare i dati se non viene effettuato il pagamento.
Il problema, però, è che i dati criptati sono solo quelli che occupano meno spazio, dato che i file più grossi diventano irrecuperabili. Di conseguenza, anche pagando il riscatto, si potrà recuperare solo una parte dei dati bloccati. Secondo il gruppo di ricerca, non si tratta di un bug, ma di un aspetto previsto e programmato, come dimostrato da un campione del ransomware ottenuto successivamente. Pertanto il consiglio è quello di non cedere ai ricatti. Ciononostante, pare che ci siano già almeno 6 vittime conclamate di attacchi perpetrati con Onyx, almeno secondo la pagina leak del gruppo criminale.
La cosa sconcertante è, come sottolineato da MalwareHunterTeam, è che prima di distruggere i file, comunque il gruppo hacker ne ottiene sicuramente una copia. Dunque, se a prima vista potrebbe sembrare una manovra maldestra da parte di qualche criminale meno esperto, si tratta invece di un piano abbastanza subdolo e potenzialmente molto dannoso, a seconda dell'azienda colpita e dei dati trafugati.
