La progressiva escalation di attacchi ransomware di cui siamo stati testimoni negli ultimi mesi è stata in larga parte resa possibile grazie allo sfruttamento delle criptovalute per incassare i riscatti. Tuttavia, il recupero di parte dei bitcoin pagati da Colonial Pipeline sembra aprire la strada a un nuovo corso da parte delle Autorità impegnate a indagare proprio su questi mezzi di pagamento.
Ransomware, gli USA al contrattacco ma serve risposta globale: ecco le azioni urgenti
Criptovalute e ransomware, binomio perfetto
Uno dei tratti peculiari delle criptovalute, l’anonimità, è stato sin dalla loro creazione fonte di grande attrattiva per i gruppi criminali che volevano gestire le proprie attività senza lasciare tracce. Naturale, quindi, che abbiano fatto da volano per l’espansione dei ransomware, riservando agli autori di questi odiosi attacchi un’aura di intoccabilità data dall’estrema difficoltà nel rintracciare i pagamenti effettuati con tali mezzi, non solo per le caratteristiche intrinseche della tecnologia, ma anche per il carattere spesso transnazionale di queste attività. Tuttavia, a fare da contraltare all’anonimità c’è il carattere pubblico della blockchain che registra e rende pubblicamente disponibili tutte le transazioni effettuate, fornendo agli investigatori tracce preziose da cui poter risalire ai soggetti coinvolti evitando anche le lungaggini burocratiche delle classiche indagini bancarie, spesso lunghe e complesse laddove si tratti di entità straniere.
Un primo colpo a questo sistema apparentemente infallibile è stato forse inferto dall’operazione del Dipartimento di Giustizia statunitense grazie alla quale l’FBI è riuscito a recuperare 63,7 BTC dei circa 75 totali pagati da Colonial Pipeline, corrispondenti alla data del recupero a circa 2 milioni miliardi di dollari visto il declino della criptovaluta occorso nel frattempo. La svalutazione della parte del riscatto recuperata è solo l’ultimo fra i tanti lati negativi dati dal cedere ai criminali: anche nella fortunata ipotesi in cui si riuscisse a recuperare le somme pagate, non c’è garanzia che esse corrispondano all’equivalente cifra in dollari pagata al tempo.
Pur non essendo la prima operazione di questo tipo, dato che già lo scorso gennaio era stato sequestrato quasi mezzo milione di dollari in bitcoin al gruppo criminale NetWalker, è stata la prima operazione effettuata dalla “Ransomware and Digital Extortion Task Force”, di recente istituzione, dedicata esclusivamente a questo tipo di indagini, equiparate ormai a quelle sugli attacchi terroristici. La nuova task force è indice della rinnovata attenzione posta dal governo USA al contrasto della piaga ransomware, attenzionando in particolare il mezzo che le rende possibili, ovvero le criptovalute e in particolare i bitcoin.
Anche prima dell’intervento dell’FBI, Elliptic, una società di analisi Blockchain, era riuscita a tracciare il wallet utilizzato dal gruppo DarkSide, autore di colpi per almeno 90 milioni miliardi di dollari tra cui quello a Colonial Pipeline. Similmente alle tecniche utilizzate dalle forze di polizia, tali società analizzano le transazioni nella blockchain anche attraverso strumenti automatizzati che tracciano i pagamenti al fine di rilevare anomalie o schemi comportamentali che possano corrispondere al tracciato tipico di attività criminali.
In questo caso, l’analisi effettuata ha permesso di accertare che il wallet in questione fosse attivo dal 4 marzo 2021 e avesse ricevuto da 21 wallet differenti 57 pagamenti, alcuni dei quali corrispondevano proprio a riscatti noti per essere stati pagati dalle vittime al gruppo. Tuttavia, l’elemento specifico che ha permesso di poter stabilire la proprietà del wallet è stato offerto dalla particolare struttura elaborata dal gruppo, il quale offriva i propri servizi sotto forma di Ransomware-as-a-Service (RaaS). In effetti, dovendo il gruppo versare una quota di proventi a chi aveva effettivamente distribuito il malware, è stata riscontrata la corrispondenza dello stesso indirizzo Bitcoin destinatario sia per il riscatto di Colonial Pipeline che di altri, segno che dietro i colpi si celassero gli stessi affiliati al gruppo.
Le tecniche utilizzate dai criminali per riscattare i bitcoin
Oltre alle analisi circa la proprietà dei singoli wallet, l’attività di indagine più difficoltosa è legata alle diverse tecniche utilizzate dai criminali per riscattare i bitcoin in valuta corrente, nonché attuare pratiche di riciclaggio di denaro. Nel caso di DarkSide, le quote di bitcoin venivano solitamente reindirizzate verso numerosi altri gruppi di exchange minori, oppure “ripulite” attraverso uno dei tanti marketplace presenti nel dark web, quali il russo “Hydra”, che ha visto nel 2020 aumentare il giro d’affari fino a 1,4 miliardi di dollari, in crescita dai 10 miliardi di dollari milioni del 2016.
Hydra impone limiti piuttosto stringenti per le operazioni sui conti in criptovalute (sia di venditori che acquirenti) che obbligano di fatto a utilizzare metodi ristretti a una clientela localizzata in Russia, o comunque in paesi dell’est Europa.
Infatti, solo nel caso del rispetto di certi requisiti in termini di transazioni e giacenza minima è possibile convertire le criptovalute direttamente in rubli, trasferirli in carte prepagate o voucher, oppure utilizzare altri servizi di pagamenti elettronici quali il russo YooMoney (precedentemente noto come Yandex.Money). Ciò che accomuna tali metodi è che, oltre a essere logicamente fruibili quasi esclusivamente da utenti russi, una volta utilizzati rendono praticamente impossibile riuscire a seguire il flusso di denaro data l’assenza di connessioni con Hydra. L’unico modo per rintracciare i soggetti coinvolti prevederebbe l’ausilio delle locali forze di polizia nel chiudere il marketplace e incriminare i singoli individui, ma finora non vi sono stati segnali particolari in tale direzione.
Oltre che per attività estorsive, le criptovalute vengono spesso utilizzate anche al fine di aggirare sanzioni economiche o embargo, come nei casi di Iran e Corea del Nord. Quindi, un ulteriore rischio da non sottovalutare qualora si decida di pagare il riscatto è quello di incappare a propria volta in eventuali sanzioni laddove i wallet destinatari dei pagamenti siano riconducibili a individui o entità interessate da provvedimenti di autorità nazionali o internazionali.
Conclusioni
Al fine di evitare tali problemi, molte vittime preferiscono ingaggiare servizi di intermediazione che, oltre a provvedere alle operazioni di conversione in bitcoin, controllano che non si stia interagendo con entità sanzionate e spesso ingaggiano vere e proprie trattative con i criminali. Anche nel recente attacco al leader mondiale di produzione di carni lavorate JBS, pare che dietro al pagamento di 11 milioni di dollari ci sia stata un’intensa contrattazione per ottenere prove della compromissione dei sistemi e ridurre l’ammontare del riscatto richiesto, inizialmente pari a 22,5$ milioni.
Non stupisce, quindi, che il Consigliere per la sicurezza nazionale del presidente Biden abbia indicato come la sicurezza informatica e il ruolo delle criptovalute negli attacchi debbano essere una priorità per la NATO e i paesi del G7. Nello specifico, viene proposto un piano d’azione che incrementi le difese contro gli attacchi, incentivi la condivisione di informazioni, ma soprattutto affronti la questione delle criptovalute dato che “sono alla base di come queste transazioni vengono effettuate”.
Si teme però che senza un’azione coordinata da parte di tutti gli stati e le istituzioni finanziarie coinvolte, limitazioni imposte su una singola criptovaluta, ad esempio i bitcoin, lungi dal risolvere il problema, non possano avere come risultato nient’altro che il mero passaggio da una valuta digitale regolata a una che non lo sia.
