Tra il 27 e il 29 maggio le forze dell’ordine internazionali coordinate dall’Europol e da Eurojust ha smantellato una rete di botnet. L’operazione, il cui nome in codice è Opeation Endgame, ha visto coinvolte le autorità della Danimarca, della Francia, della Germania, dei Paesi Bassi, del Regno Unito e degli Stati Uniti.
Parallelamente sono state svolte operazioni di polizia anche in Armenia, Bulgaria, Canada, Lituania, Portogallo, Romania, Svizzera e Ucraina che, tra perquisizioni, interrogatori e sequestri hanno condotto anche a 4 arresti (uno dei quali in Armenia e tre in Ucraina).
L’Operazione Endagme ha inferto un duro colpo a dropper di malware tra i quali Bublebee, IcedID, Pikabot, Smokeloader, SystemBC e Trickbot.
Indice degli argomenti
L’Operazione Endgame e i malware
Ogni azione contro il cyber crimine è da accogliere con soddisfazione. Tuttavia, resta un po’ di amaro in bocca se si pensa che le autorità, con un’operazione che la stessa Europol definisce la più grande di sempre, hanno preso di mira le botnet sacrificando apertamente una lunga filiera di ransomware i quali, oltre a causare danni economici e reputazionali ingenti, mettono in crisi i dati che, giova ricordarlo, sono un tesoro di inestimabile valore per ogni azienda.
Va detto, per precisione, che i malware consentono anche agli aggressori di distribuire virus di ogni sorta, tra i quali anche spyware o ransomware. Ciò non toglie che un’iniziativa per osteggiare a viso aperto questi ultimi avrebbe trasmesso un segnale molto più potente sia dell’immagine delle autorità sia delle loro rispettive capacità.
Approfondiamo questo aspetto con l’ausilio di Enrico Morisi, ICT Security Manager.
Si tratta di capire perché le autorità si sono concentrate sui malware e non sui ransomware che, oltre a causare danni, mettono a rischio l’integrità dei dati. Da sottolineare anche che, parallelamente all’operazione Endgame, negli Usa le autorità hanno svolto un’operazione equivalente che ha smantellato la botnet 911 S5.
Enrico Morisi spiega che: “L’operazione Endgame, coordinata e condotta da Europol è volta a unire le forze delle agenzie internazionali di ‘law enforcement’ e di altre authority e partner, con l’obiettivo di avversare senza tregua il cybercrime.
La cooperazione, non solo a livello europeo ma anche internazionale, tra le forze dell’ordine, gli organi di giustizia e altri partner che possano contribuire con competenza, professionalità ed esperienza è estremamente importante e rappresenta certamente un requisito fondamentale per poter contrastare un crimine, quello nell’ambito della Information Security, che, per sua natura, non ha confini, sviluppandosi in una moltitudine di reti e sistemi interconnessi a livello planetario.
Le azioni svolte a fine maggio, orientate a colpire le infrastrutture e i servizi (botnet incluse) a sostegno dell’ecosistema dei dropper vanno proprio nella direzione di ostacolare il proliferare del fenomeno ransomware, basato sulla somministrazione di un malware, tipicamente veicolato a sua volta da un dropper, vale a dire un software progettato appositamente per consentire l’installazione di un malware su un dato sistema target, attraverso, ad esempio, l’uso di tattiche di social engineering o lo sfruttamento di vulnerabilità tecnologiche, eludendo le misure di sicurezza implementate o innescando il download dello stesso malware.
Il ransomware è peraltro definito come un tipo di malware (così come illustra la CISA – Cybersecurity & Infrastructure Security Agency).
L’altra operazione di successo, che ha portato allo smantellamento della botnet 911 S5, forse la più grande di sempre, diffusasi in particolare grazie alla distribuzione di un malware attraverso l’offerta di servizi VPN gratuiti, rappresenta un altro emblematico esempio di contrasto al cybercrime, sempre grazie ad una collaborazione internazionale, coordinata in questo caso dal dipartimento di Giustizia statunitense.
La sempiterna lotta tra buoni e cattivi
La lotta delle autorità al cyber crimine contribuisce a diverse riflessioni. Tra queste fa un certo rumore pensare al fatto che diversi malware presi di mira dall’operazione Endgame esistono da anni e sono intercettati da molti sistemi di difesa (a patto di averne e sempre a patto che siano aggiornati).
Ciò che ne risulta è che i tempi per combattere il cyber crimine si allungano e, nel frattempo, gli utenti continuano a cadere in trappole che non dovrebbero più essere tali.
“Il problema fondamentale è, come sempre, la scarsissima diffusione della cultura della sicurezza: la tendenza prevalente è quella di divorare e sfruttare al massimo le capacità e le funzionalità introdotte dalle nuove tecnologie, trascurando anche completamente i rischi che esse comportano, la cui gestione viene spesso erroneamente concepita come un vero e proprio ostacolo all’innovazione, al progresso e, in definitiva, al benessere.
Inoltre, le soluzioni tecnologiche rappresentano sempre l’ultimo step in un programma di sicurezza delle informazioni: occorre sempre partire dalle persone e dai processi, gestendo opportunamente il rischio umano e organizzativo.
Infine, una singola organizzazione criminale, utilizzando strumenti, tattiche, tecniche e procedure alla portata di molti e a un costo estremamente basso, può operare efficacemente in un bacino potenziale, di reti e sistemi target, di dimensioni planetarie, facenti capo ad organizzazioni caratterizzate da security posture non sempre all’altezza, a sistemi giudiziari e di ‘law enforcement’ differenti, in una vera e propria guerra asimmetrica, ostacolabile, probabilmente, solo attraverso una fattiva cooperazione internazionale e lo sviluppo, da parte delle organizzazioni, di programmi completi di information security, promossi anche attraverso l’introduzione di opportune normative”, illustra Enrico Morisi.
Conclusioni
Ogni azione tesa a rovinare i piani dei criminali è preziosa. Ma, come spiega l’esperto, non è l’azione in sé che va osservata ma ciò che questa rappresenta: “L’importanza di queste operazioni di polizia non sta tanto nello smantellamento definitivo di infrastrutture, sistemi e servizi che, tipicamente, vengono ripristinati in settimane o addirittura giorni ma, da un lato, nel mettere pressione ai criminali e nel costringerli a investire tempo e risorse per ripristinare e proteggere i loro asset, dall’altro nel concorrere a costruire una linea di difesa sempre più robusta, coesa e capace di sferrare duri colpi al cybercrime.
Un aspetto estremamente interessante dell’operazione Endgame è poi la ricerca di una forte risonanza mediatica, attraverso una gestione della comunicazione attenta ed efficace, caratterizzata dall’introduzione di un portale web dedicato, prevedendo successivi ‘episodi’ e ‘stagioni’, come se si trattasse di uno sceneggiato, unitamente all’esibizione di un certo grado di spavalderia, ricorrendo addirittura a un countdown, sotteso però di determinazione, risolutezza e, perché no, un pizzico di audacia che non guasta”.
L’anello che tutto unisce è la cultura di chi usa le tecnologie: a maggiore formazione corrisponde vita più ardua per il cyber crimine.
Lineare e semplice, ma se ne parla da lustri senza offrire agli utenti gli strumenti culturali sufficienti.
