La diffusione degli attacchi ransomware nei confronti di obiettivi sensibili, le cosiddette infrastrutture critiche, sta seriamente preoccupando i capi di Stato europei e oltreoceano, tant’è che negli Stati Uniti si sta pensando di attuare una linea difensiva al pari di quella riservata al terrorismo.
Vediamo bene quali sono le intenzioni.
Guerra ai ransomware, come cambia la risposta delle aziende (e degli USA)
Il piano d’azione Usa
Dalle linee guida interne che sono state diffuse in tutto il paese, emerge che è stata creata una task force a Washington, per ransomware ed estorsione digitale, gestita dal Dipartimento di Giustizia, per coordinare le indagini sugli attacchi.
Questa task force ha come priorità l’interruzione, l’investigazione e la prosecuzione delle attività di ransomware e di estorsione digitale, per rintracciare e bloccare lo sviluppo e l’utilizzo di malware e l’identificazione dei cybercriminali responsabili. La task force, quindi, collabora con le agenzie nazionali e i governi esteri così come i partner di settori privati per combattere questa minaccia criminale significativa.
Non aspettiamo un disastro come Colonial Pipeline per rafforzare la cyber italiana
Il viceprocuratore generale del Dipartimento di Giustizia, John Carlin, ha dichiarato che si tratta di un processo specializzato per garantire il monitoraggio di tutti i casi ransomware indipendentemente da dove possano essere segnalati nel paese, “in modo da poter stabilire le connessioni tra gli attori e lavorare fino a interrompere l’intera catena”.
Questo modello d’azione è stato già utilizzato nella lotta agli attacchi terroristici e con questo stesso livello di priorità si spera che alcuni hacker vengano dissuasi dal tentare di far esplodere i ransomware.
La strategia della task force, prevede, quindi, di prendere di mira l’intero mondo criminale attorno ai ransomware, prediligendo, come spiega Carlin, “procedimenti, interruzioni degli attacchi in corso e limiti ai servizi che supportano gli attacchi, come i forum online che pubblicizzano la vendita di ransomware o servizi di hosting che facilitano le campagne di ransomware”. In questo modo si riescono a tracciare tutti i casi di attacchi ransomware e le indagini con una segnalazione centralizzata si focalizzano anche su casi che interessano servizi di contromisure agli antivirus, forum o mercati online illeciti, exchange di criptovalute, servizi di hosting anonimi, botnet e servizi di riciclaggio di denaro online.
Una diffusione allarmante
L’incremento di attacchi ransomware a infrastrutture considerate critiche, come ospedali, centri di ricerca o istituzioni governative sta diventando allarmante, complice anche la particolare situazione pandemica che ha obbligato all’adozione di contromisure per il contenimento del virus Covid-19.
Il ransomware è un tipo di software dannoso con il quale i criminal hacker richiedono un riscatto ai malcapitati. Si diffonde nei dispositivi attraverso allegati o link fraudolenti in mail di phishing, siti web o chiavette usb infette. Quando entra in campo il ransomware, viene bloccato l’accesso al sistema o i dati vengono crittografati all’interno del sistema stesso e i cyber criminali chiedono quindi il pagamento di un riscatto alle loro vittime per poter ripristinare il sistema e avere di nuovo accesso ai dati.
L’attacco all’oleodotto Colonial Pipeline o alla Solar Winds sono solo alcuni degli ultimi e più importanti che hanno riportato il problema del cybercrime all’attenzione pubblica, a tal punto che il Dipartimento di Giustizia degli Stati Uniti ha deciso che questi attacchi devono avere una priorità più alta, al pari di quella destinata al terrorismo.
Ransomware e bitcoin
Come abbiamo già visto di recente, attorno agli attacchi ransomware si è creato un vero e proprio business di negoziatori che fanno da mediatori tra le vittime e gli hacker per gestire le richieste di riscatto e il recupero dei dati rubati a seguito del pagamento dello stesso.
Da quanto emerge dal sito ufficiale del Dipartimento di Giustizia americano, il 7 giugno scorso sono stati sequestrati 63,7 bitcoin con un valore attuale pari a 2.3 milioni di dollari. Questi fondi presumibilmente rappresentano i ricavi di un pagamento di riscatto dello scorso 8 maggio a favore di DarkSide, il gruppo hacker artefice dell’attacco alla Colonial Pipeline. Il mandato di sequestro è stato autorizzato proprio il 7 giugno dall’Onorevole Laurel Beeler, Giudice Magistrato statunitense per il Distretto Nord della California.
Il Procuratore Generale del Dipartimento di Giustizia Lisa O. Monaco si è espressa in merito sottolineando che “tracciare il denaro resta uno degli strumenti più semplici ma potenti che abbiamo” e che “i pagamenti dei riscatti sono il carburante che alimenta il motore dell’estorsione digitale”. L’annuncio relativo al sequestro della lauta somma di denaro in bitcoin “dimostra che gli Stati Uniti utilizzeranno tutti i mezzi disponibili per rendere questi attacchi più onerosi e meno redditizi per le imprese criminali”. E conclude: “continueremo a prendere di mira l’intero ecosistema ransomware per interrompere e scoraggiare questi attacchi. Gli annunci di oggi dimostrano anche il valore della segnalazione tempestiva alle forze dell’ordine. Ringraziamo Colonial Pipeline per aver informato rapidamente l’FBI quando ha appreso di essere stati presi di mira da DarkSide.”
È stata, infatti, la stessa Colonial Pipeline a comunicare all’FBI che la propria rete di computer era stata violata da un’organizzazione chiamata DarkSide e che aveva ricevuto e pagato un riscatto di circa 75 bitcoin. Le forze dell’ordine sono state in grado di tracciare molteplici trasferimenti di bitcoin e identificare come circa 63,7 bitcoin, pari all’importo di riscatto della vittima, erano stati trasferiti a un indirizzo specifico, per il quale l’FBI ha avuto modo di accedere agli assetti accessibili dall’indirizzo Bitcoin specifico. Questi bitcoin rappresentano proventi riconducibili a un’intrusione informatica e beni coinvolti nel riciclaggio di denaro e possono essere sequestrati in base agli statuti di confisca penale e civile.
Il vicedirettore dell’FBI Paul Abbate rassicura sull’azione mirata del suo team: “Non c’è posto che non possa essere raggiunto dall’FBI per nascondere fondi illeciti che ci impediranno di imporre rischi e conseguenze su agenti informatici dannosi” […] “Continueremo a usare tutte le risorse a nostra disposizione e a fare leva sulle nostre collaborazioni domestiche e internazionali per sventare attacchi ransomware e proteggere i nostri partner del settore privato e i cittadini Americani”.
“I cybercriminali stanno usando schemi sempre più elaborati per trasformare la tecnologia in mezzi di estorsione digitale,” ha affermato il procuratore federale per il Distretto Nord della California Stephanie Hinds. “Abbiamo bisogno di continuare a migliorare la cyber resilienza delle nostre infrastrutture critiche in tutta la nazione, incluso nel Distretto Nord della California. Continueremo inoltre a sviluppare metodi avanzati per migliorare la nostra abilità di tracciare e recuperare i pagamenti digitali di estorsione”.
Qualche numero significativo
Il caso Colonial Pipeline ha portato alla luce numeri inquietanti.
Dalle analisi condotte dai ricercatori della società Blockchain Elliptic sui portafogli Bitcoin, i cosiddetti wallet, utilizzati dal gruppo DarkSide, è emerso che il guadagno del gruppo hacker è stato di oltre 90 milioni di dollari dagli attacchi da loro sferrati a partire da ottobre 2020.
Nel rapporto si legge che “in totale, a DarkSide sono stati effettuati poco più di $90 milioni in pagamenti di riscatti Bitcoin, provenienti da 47 portafogli distinti”. “Secondo DarkTracer, 99 organizzazioni sono state infettate dal malware DarkSide, il che suggerisce che circa il 47% delle vittime ha pagato un riscatto e che il pagamento medio è stato di 1,9 milioni di dollari”.
Considerando che il numero di operazioni simili a DarkSide è di diverse decine, parliamo di miliardi di euro di perdite annue relative ad attacchi ransomware. Anche per questo motivo, gli USA stanno pensando a un modo per impedire alle aziende vittime di attacchi ransomware di pagare riscatti, così da dissuadere questa nuova pratica di estorsione digitale.
