Come conseguenza dell’invasione dell’Ucraina iniziata il 24 febbraio scorso, numerosi paesi occidentali hanno varato diversi pacchetti di sanzioni nei confronti di Mosca con lo scopo di limitare le sue principali fonti di reddito destinate al sostegno bellico.
Per via del crescente numero di entità colpite e dei probabili effetti sull’economia russa, vari analisti hanno lanciato l’allarme su un possibile inasprimento degli attacchi ransomware condotti da gruppi hacker legati alla Russia. Infatti, la severità delle misure adottate e l’isolamento che Mosca sta affrontando hanno il potenziale di spingere ulteriormente attori malevoli a fare riscorso a queste azioni come fonte di arricchimento.
A ciò si aggiunge il fatto che le autorità russe potrebbero favorire questo tipo di attacchi come ritorsione per le misure occidentali. In questo modo, il paese diventerebbe un rifugio sicuro per i criminali informatici.
Cyberwar: gli attacchi informatici all’Ucraina erano stati pianificati da tempo
Indice degli argomenti
L’allerta del Dipartimento del Tesoro USA
Le personalità interessate potrebbero eludere le sanzioni attraverso vari mezzi, comprese le transazioni effettuate tramite istituzioni finanziarie non sanzionate in paesi terzi.
Le attività di evasione potrebbero essere condotte da vari attori, compresi gli intermediari e gli amministratori di valuta virtuale convertibile (Convertible Virtual Currency o CVC) all’interno o all’esterno della Russia.
A tal riguardo, il Financial Crimes Enforcement Network (FinCEN) del Dipartimento del Tesoro degli Stati Uniti ha diramato un’allerta in cui si chiede alle istituzioni finanziarie di vigilare sull’eventuale aggiramento delle sanzioni da parte del Governo e degli oligarchi russi attraverso l’uso delle criptovalute, incluse quelle ricevute dagli attacchi ransomware.
Nell’avviso vengono indicati 13 indicatori (red flag) che consentono di identificare le potenziali attività usate per evitare le sanzioni. Tre di essi riguardano il possibile riciclaggio di denaro proveniente dai riscatti. Gli indicatori comprendono:
- clienti che ricevono criptovalute da un portafoglio esterno e avviano immediatamente operazioni multiple senza apparente scopo correlato, seguite da una transazione fuori dalla piattaforma al fine di offuscare ulteriormente la transazione;
- clienti che avviano un trasferimento di fondi che coinvolge più criptovalute;
- clienti che effettuano una transazione diretta o indiretta che il software di tracciamento blockchain indentifica come correlata al ransomware.
Le aziende devono rafforzare le loro difese
Con l’aumento degli attacchi ransomware, le aziende in tutto il mondo devono necessariamente rafforzare le loro difese in ambito di cyber sicurezza, in modo da assicurare che i loro sistemi interni possano sostenere gli attacchi.
Con il perdurare della guerra, il Governo degli Stati Uniti continua a implementare una moltitudine di sanzioni contro individui, banche, entità e organizzazioni russe. Tuttavia, proprio a causa di queste misure, i pagamenti ransomware a gruppi hacker legati alla Russia sono sempre più sconsigliati.
Un esempio recente di sanzioni statunitensi collegate ad attacchi ransomware sono quelle introdotte dal Dipartimento del Tesoro contro Hydra Market e Garantex, entrambe associate ad alcuni attacchi ransomware.
Le disposizioni adottate comportano il blocco, totale o parziale, di beni e restrizioni commerciali, in modo da proteggere la sicurezza nazionale. Nel caso degli Stati Uniti, i cittadini hanno il divieto di effettuare transazioni con entità sanzionate, a meno che non siano autorizzate dall’Office of Foreign Asset Control (OFAC) o espressamente esentate dallo statuto. In particolare, l’OFAC ha rilasciato una guida specifica contenente le indicazioni da seguire nell’ambito dei pagamenti ransomware. L’OFAC avverte che il pagamento di riscatti derivanti da attacchi ransomware può potenzialmente violare i regolamenti sulle sanzioni, se questi sono effettuati verso enti sanzionati. Inoltre, viene sottolineato come le violazioni rappresentano un reato di responsabilità oggettiva.
Nonostante ciò, l’OFAC riconosce la possibilità di fattori attenuanti, come l’esistenza di un programma completo di conformità alle sanzioni e l’adozione di misure difensive in ambito di cybersecurity, oltre alla segnalazione degli attacchi alle agenzie competenti. L’OFAC ha indicato, inoltre, che tutte le sanzioni sono estese anche al pagamento con valuta virtuale e criptovalute.
Infatti, nonostante le criptovalute forniscano la privacy per le transazioni di archiviazione e di processo, la trasparenza fornita dalla blockchain potrebbe rendere il movimento di grandi quantità di denaro rilevabile dalle forze dell’ordine, come nel maggio 2021 quando il Dipartimento di Giustizia statunitense è stato in grado di sequestrare milioni di dollari in bitcoin che Colonial Pipeline ha pagato al gruppo DarkSide dopo l’attacco subito.
Per questo motivo, vari esperti di sicurezza informatica hanno espresso le loro preoccupazioni sul fatto che la Russia possa utilizzare i pagamenti ransomware o qualsiasi altro tipo di transazioni in criptovaluta per eludere le sanzioni su qualsiasi scala significativa.
Le problematiche per le aziende colpite da ransomware
Questa situazione può comportare delle problematiche per le aziende colpite dagli attacchi ransomware. Le imprese, infatti, si trovano di fronte ad un dilemma: pagare il riscatto per recuperare i dati sensibili ed evitarne la pubblicazione, o non pagarlo, rischiando la perdita dei dati, per evitare di andare contro le sanzioni imposte.
Nello specifico, sta diventando sempre più difficile assicurare che i pagamenti dei riscatti non vengano destinati a entità russe sanzionate. Secondo Ed McNicholas, co-leader dello studio legale specializzato in cyber security, il sovrapporsi dell’aumento dei ransomware alle sanzioni contro la Russia, ha creato “una tempesta di fuoco in termini di capacità nel pagare i riscatti”.
Tradizionalmente, la lista di entità sanzionate è sempre stata maggiormente rilevante per i servizi finanziari, ma l’impennata recente di attacchi ransomware ha significato la necessità, da parte degli esperti di sicurezza informatica, di tenersi sempre aggiornati per garantire che i pagamenti non vadano alle entità presenti nella lista nera.
Al momento, le forze dell’ordine statunitensi ancora non hanno preso di mira una società per non aver rispettato le sanzioni. Tuttavia, diversi esperti hanno dichiarato che, in futuro, l’OFAC potrebbe intraprendere delle azioni contro imprese che abbiano pagato il riscatto senza effettuare un’appropriata due diligence o che non abbiano comunicato l’avvenuto pagamento alle forze dell’ordine.
Nel marzo 2022, anche il FinCen ha avvertito le istituzioni finanziarie di prestare attenzione agli attacchi ransomware collegati alla Russia, rilasciando delle direttive simili a quelle dell’OFAC.
La Russia non è una super potenza della cyber: ecco le prove
Conclusioni
A causa della situazione geopolitica corrente, determinare la legalità dei pagamenti dei riscatti a gruppi hacker in Russia diventerà sempre più difficile.
Inoltre, le compagnie di assicurazioni saranno sempre meno disponibili a fornire copertura o assistenza per determinate tipologie di attacchi ransomware, in quanto il loro pagamento potrebbe violare le sanzioni imposte.
Infine, con l’aumento della minaccia dei cyber attacchi provenienti da gruppi collegati alla Russia, è estremamente importante per le aziende preparare adeguati piani di emergenza e di continuità aziendale, avere sistemi di recupero dati e backup, e conoscere nel dettaglio la lista delle entità sanzionate, in modo da non incorrere in penalità.
