Dopo l’attacco alla Colonial Pipeline sembra finalmente che il tema dei ransomware, lungi dal rimanere una mera questione di criminalità informatica, sia entrato appieno nell’agenda dei vari governi, specialmente quello statunitense.
Cittadini, imprese e società di sicurezza hanno dimostrato di aver sviluppato autonomamente tutta una serie di contromisure per tentare di limitare i danni, ma è chiaro che potranno fare ben poco in assenza di uno sforzo coordinato e globale da parte non solo dei propri paesi, ma soprattutto di quegli stati che fino a oggi hanno dimostrato di non avere alcun interesse a bloccare i gruppi criminali operanti sul proprio territorio.
Le contromisure dopo l’attacco ransomware alla Colonial Pipeline
L’attacco ransomware alla Colonial Pipeline ha finalmente reso evidenti anche ai non addetti ai lavori i pericoli che si celano dietro questi attacchi troppo spesso derubricati a semplice pratica criminale declinata in ambito cyber. Nonostante la natura di infrastruttura critica in questione sarebbe dovuta bastare come campanello d’allarme, stavolta è stato forse l’impatto sui cittadini, costretti a fare i conti con la scarsità di carburante, ad aver portato il presidente Biden a emanare l’ordine esecutivo con cui ha inteso imprimere una svolta alla cybersecurity nazionale. A dimostrazione della necessità di agire tempestivamente, anche il Dipartimento della sicurezza interna (DHS) ha appena emanato una direttiva di sicurezza rivolta espressamente a condotte critiche quali oleodotti e gasdotti.
Si richiede, infatti, a proprietari e operatori di condotte critiche di riportare qualsiasi incidente di sicurezza informatica, confermato o potenziale, all’Agenzia per la sicurezza informatica e delle infrastrutture (CISA) secondo un meccanismo che ricalca gli obblighi informativi previsti in ambito europeo dalla direttiva NIS. Dopo aver esaminato le loro attuali pratiche di sicurezza ed entro un termine di 30 giorni, invece, dovranno riferire alla CISA e all’Amministrazione per la sicurezza dei trasporti (TSA) i rischi informatici, le lacune di sicurezza e le misure di remediation, nonché designare dei coordinatori di sicurezza informatica disponibili 24 ore su 24.
La direttiva va ad aggiungersi alle 7 proposte di legge approvate dal comitato parlamentare per la sicurezza interna e mirate a incrementare la sicurezza delle infrastrutture critiche, aiutare i governi statali e locali a proteggere le proprie reti, fornire ai proprietari e agli operatori di infrastrutture critiche strategie di mitigazione contro le vulnerabilità critiche, nonché stabilire un programma nazionale di esercitazioni informatiche per promuovere test più regolari di preparazione e resilienza agli attacchi informatici contro le infrastrutture critiche.
La cybersecurity non è (più) una questione privata
Tale mole di provvedimenti interviene dopo che per troppo tempo, e nonostante l’entità del fenomeno, sia in termini di numero e tipologia di soggetti colpiti che di danni e giro d’affari, si è lasciata la questione in mano ai privati: da un lato le gang di cybercriminali lanciate in un’escalation incontrollata, dall’altro vittime e società di cybersecurity a subire e tentare di arginare il fenomeno.
L’assenza fino a oggi di azioni decise da parte degli stati è in parte dovuta al fatto che nella stragrande maggioranza dei casi tali attività sono portate avanti da criminali la cui sede operativa è in paesi noti per permettere, se non facilitare o dirigere, tali operazioni. Con riferimento all’attacco all’oleodotto, lo stesso presidente Biden ha notato come, nonostante non ci sia evidenza di un coinvolgimento diretto da parte della Russia, ci siano invece prove del fatto che i criminali in questione sono ivi residenti, invitando quindi Mosca a prendere i dovuti provvedimenti.
In effetti, al di là delle consuete difficoltà di attribuzione legate alle peculiarità del mezzo cibernetico, governi e forze di polizia si scontrano con l’impossibilità di rintracciare e perseguire gli autori di tali attacchi, i quali, benché privati cittadini, risultano spesso “protetti” dagli stati in cui operano, laddove non siano essi stessi arruolati nelle fila governative. E ciò nonostante il diritto internazionale ponga in capo agli stati la responsabilità di non permettere consapevolmente che il loro territorio sia usato per commettere illeciti internazionali. Gli stati dovrebbero, per quanto nelle loro capacità, limitare le attività criminali poste in essere sul loro territorio o comunque collaborare con la comunità internazionale e ricevere assistenza, se necessaria.
Constatata l’assenza degli stati, o quantomeno la mancanza di un serio impegno nel voler perseguire il fenomeno, le vittime sono spesso costrette a scendere a patti con i criminali e pagare il riscatto richiesto nel tentativo di ripristinare in fretta i sistemi o evitare la pubblicazione dei propri dati nel caso di attacchi cosiddetti “a doppia estorsione”. Lo stesso CEO della Colonial Pipeline ha ammesso di aver pagato $4,4 milioni per assicurare una veloce risoluzione del problema e scongiurare ulteriori blocchi di carburante per la costa orientale, affermando, pur se a malincuore, come “fosse la cosa giusta da fare per il paese”.
Eppure, tali pagamenti, oltre a non garantire affatto di poter rientrare in possesso dei propri dati o evitarne la pubblicazione, non fanno che accrescere i guadagni dei gruppi coinvolti e rendere più redditizia e appetibile questa attività. In effetti, il gruppo artefice dell’attacco, denominato DarkSide, ha estorto la ragguardevole cifra di $90 milioni in soli 9 mesi, forte della propria offerta di Ransomware-as-a-Service (RaaS) che ha reso gli attacchi alla portata di una ben più vasta platea. A dimostrazione della disinvoltura con cui ormai si svolgono tali operazioni, le società che si occupano di setacciare il darkweb alla ricerca di informazioni rubate ai propri clienti sono finite col trasformarsi in una sorta di facilitatori, spesso chiamati a contrattare con i criminali riscatti più ragionevoli. Tuttavia, oltre all’esborso di denaro, al pagamento del servizio dei “facilitatori” e all’eventuale mancata decifrazione dei dati, si potrebbero aggiungere anche eventuali sanzioni. Come evidenziato dal Dipartimento del Tesoro statunitense, infatti, le vittime e le imprese che le assistono nel pagamento, in bitcoin e non, potrebbero trovarsi inconsapevolmente in contatto con individui ed entità posti in blacklist internazionali, compresi gruppi di hacker state-sponsored operanti in paesi come Iran, Corea del Nord e Russia.
Le possibili contromosse
Nel tentativo di rendere meno appetibile l’attività sono stati ancora una volta i privati, in questo caso la compagna di assicurazioni francese AXA, a proporre un palliativo. Molte vittime, infatti, erano portate a pagare forti del fatto che le assicurazioni stipulate contro il rischio cyber avrebbero coperto anche l’eventuale pagamento di riscatti, fornendo allo stesso tempo un’ulteriore garanzia ai criminali. La società ha quindi dichiarato che per i nuovi contratti stipulati in Francia non sarà più previsto il risarcimento di tali danni, ma per tutta risposta le proprie sedi asiatiche sono state colpite da un ransomware, segno forse che questa potrebbe essere una delle strade corrette da intraprendere.
Chi si rifiuta di pagare e non dispone di backup aggiornati può sempre fare affidamento sulle tante società di cybersecurity che combattono i criminali a colpi di reverse engineering. Spesso, infatti, gli strumenti di cifratura adottati presentano vulnerabilità date dal riutilizzo di chiavi o da errate configurazioni che, una volta scoperte, permettono una più o meno agevole decifrazione dei dati. Tuttavia, specularmente a quanto avviene con i programmi di bug-hunting e disclosure implementati da parte di società come Google e Microsoft, il tempo in cui le vulnerabilità non vengono svelate è cruciale. Sono quindi da apprezzare gli sforzi dei molti gruppi di informatici che senza troppo clamore tengono nascoste le vulnerabilità riscontrate così da poter aiutare quante più vittime possibile prima che i criminali si accorgano degli errori. D’altra parte, annunci quali quello di Bitdefender del gennaio scorso in merito al rilascio di un tool di decrittazione da usare proprio contro il gruppo DarkSide, non fanno altro che permettere ai criminali di prendere consapevolezza del problema e risolverlo tempestivamente. Non stupisce quindi che il gruppo abbia in tale occasione ringraziato la nota società di sicurezza informatica per “l’aiuto fornito”.
