I profitti dei gruppi hacker che utilizzano ransomware, malware capaci di crittografare i dati all’interno dei sistemi informatici di un’organizzazione per ottenere un riscatto, sono scesi a 457 milioni di dollari, un calo del 41% rispetto al 2021 (pari a 309 milioni), secondo quanto evidenziato da ChainAnalysis, un’azienda specializzata nell’analisi della blockchain dei Bitcoin.
La causa principale di questo calo sembra essere una crescente propensione delle vittime a non pagare i riscatti: se nel 2019 tra il 15% e il 24% delle vittime non cedevano alle richieste dei criminali, nel 2022 le stime, secondo varie fonti, si aggirano intorno al 60%.
Bisogna però ricordare che il 2020 e il 2021 sono stati anni record: nel 2019 il totale dei riscatti è stato di 174 milioni di dollari, contro i circa 765 milioni sia nel 2020 che nel 2021.
Un altro fattore è stata la riduzione degli attacchi che, basandosi su siti che collezionano furti di dati, pare siano scesi del 10%.
Il report indica anche che il numero di varianti di ransomware è raddoppiato nel 2022, raggiungendo 10.000 tipi diversi, mentre la vita media di tali malware è calata progressivamente dal 2012, passando da 4.000 giorni ai 70 giorni di oggi.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Le cause del calo degli attacchi ransomware
Una delle cause che hanno portato alla riduzione dei pagamenti dei riscatti da parte delle organizzazioni colpite è collegata al rischio che i criminal hacker siano legati a gruppi o giurisdizioni sotto sanzioni: nel settembre 2021 una nota dell’Ufficio sul Controllo degli Asset Stranieri (OFAC) del Dipartimento del Tesoro americano ha affermato di poter imporre penali nei confronti di chi effettua e facilita i pagamenti nei confronti di attori sanzionati dal governo anche in caso di ransomware.
Questo provvedimento si inserisce in un cambio di atteggiamento dell’amministrazione Biden a seguito dell’attacco alla Colonial Pipeline del 2021, che ha portato a considerare gli attacchi malware una minaccia alla sicurezza nazionale e non un semplice fenomeno criminale.
Per rispondere più efficacemente a questo pericolo, la Vice Procuratrice Generale statunitense Lisa Monaco e il dipartimento della Giustizia hanno applicato un nuovo approccio centrato sulla vittima, basato sulla prevenzione delle minacce e la “disruption” dei gruppi hacker.
Il tracciamento dei pagamenti sulla blockchain
Un esempio è stato l’attacco tramite malware contro un centro medico in Kansas nel 2021. L’ospedale, dopo aver pagato il riscatto in Bitcoin, ha immediatamente contattato l’F.B.I., permettendo l’inizio delle indagini. L’agenzia ha identificato i responsabili dell’attacco in un gruppo sponsorizzato dal governo Nord Coreano tramite la traccia del pagamento sulla blockchain, riuscendo sia a identificare altre vittime che non avevano contattato le autorità sia il sistema di riciclaggio di denaro localizzato in Cina usato.
I risultati ottenuti sono stati il recupero e la restituzione della somma sia all’ospedale che alle altre vittime, per un totale di mezzo milione di dollari, e l’identificazione di una nuova variante di malware, chiamata Maui.
Più trasparenza nella gestione degli incidenti di sicurezza
Quest’esempio mostra come la trasparenza da parte delle vittime verso le istituzioni permetta alle forze dell’ordine di agire tempestivamente contro i cyber criminali, riuscendo a risarcire le vittime, individuare le nuove minacce e permettere a tutti i soggetti vulnerabili di essere informati.
Monaco, nel suo discorso alla Fordham University, ha sottolineato che denunciare ed affidarsi alle autorità è il miglior modo di agire, sia per i singoli soggetti che per il sistema paese.
Misure di contrasto al fenomeno ransomware
Oltre all’utilizzo della blockchain, altre tecniche “disruptive” sono state individuate e adottate dal Dipartimento di Giustizia: per contenere i fenomeni di phishing, si è cominciato a sequestrare i domain utilizzati per ingannare le vittime, mentre in un caso il dipartimento ha potuto eliminare direttamente un malware da molti computer grazie ad un’ordinanza di un giudice.
Ma anche hackerare gli stessi cyber criminali si è rilevata una tecnica efficace: il 26 gennaio 2023 l’FBI ha annunciato di essere riuscita a penetrare nei server del gruppo HIVE; gruppo APT specializzato nella fornitura di ransomware ad affiliati in cambio di una parte del riscatto.
HIVE, le cui attività sono iniziate nel 2021, si è imposto come uno dei più prolifici e pericolosi gruppi hacker in breve tempo, attaccando organizzazioni in Nord America, Europa e Medio Oriente, nei settori scolastico, sanitario, energetico e no profit e ottenendo profitti per un valore di almeno 100 milioni di dollari.
Sono anche sospettati di avere rapporti con il Cremlino, e le loro comunicazioni sono in russo. Le operazioni dell’FBI, coordinate con le forze dell’ordine tedesche e dei Paesi Bassi, sono iniziate a luglio 2022 partendo dalla cooperazione con le vittime, è riuscita ad infiltrare i server e i siti del gruppo, riuscendo a sottrarre le chiavi di decrittazione e restituendole alle organizzazioni colpite, evitando che 130 milioni di dollari fossero pagati in cambio di esse.
Così gli USA proteggeranno le infrastrutture critiche
Un altro tassello di questo nuovo approccio è il Cyber Incident Reporting for Critical Infrastructure Act del 2022, che, come la direttiva NIS dell’Unione Europea, impone alle infrastrutture critiche americane di informare il governo in caso di attacco hacker.
C’è più consapevolezza su rischi e impatti del ransomware
Un altro driver della riduzione dei pagamenti è la maggiore consapevolezza delle organizzazioni dei mezzi per ridurre i rischi e gli impatti di un attacco ransomware, nonché le pressioni delle società di assicurazione per impiegargli.
Una delle più importanti misure è avere un valido sistema di backup, che permette di non perdere i dati in caso di ransomware.
Ma questo sistema non è perfetto per tre motivi: il tempo necessario a ricaricare i dati nel sistema informatico dell’organizzazione può essere molto lungo, l’attaccante può sfruttare di nuovo la vulnerabilità e infine le informazioni oltre ad essere crittate possono anche essere rubate, ottenendo proprietà intellettuale o minacciando danni reputazionali.
La migliore soluzione è infatti quella di prevenire, investendo nella sicurezza del network e nella formazione dei dipendenti.
Le mosse delle assicurazioni sulle polizze cyber
Le assicurazioni si stanno muovendo in questo senso: se nel 2021 AIG, un colosso delle assicurazioni americano, ha aumentato il suo premio assicurativo per i malware del 40%, ora l’industria sta cercando di indirizzare i clienti verso standard più alti di sicurezza.
Cyber Catalyst, una sorta di catalogo di prodotti di sicurezza certificati dalle agenzie di assicurazione, proposto da Marsch nel 2019 e partecipato da altre 8 aziende, è un modo con cui il settore sta cercando di prendere la leadership e ridurre i rischi.
I security providers sottopongono i loro prodotti alle agenzie di assicurazioni, che li valutano con criteri come capacità di ridurre il rischio, facilità di implementazione ed efficienza. Nel 2021, su 150 prodotti proposti, 17 sono entrati nel catalogo. I clienti che usano questi prodotti possono richiedere condizioni più favorevoli alle assicurazioni che partecipano al progetto.
I risultati ottenuti nel 2022 grazie agli interventi delle forze dell’ordine, alla maggiore consapevolezza dei rischi cyber e alla ridotta propensione delle organizzazioni a pagare i riscatti sono sicuramente una buona notizia, ma questo è il primo anno dove vediamo un calo dei profitti degli hacker, quindi sarà necessario vedere come la situazioni evolverà nei prossimi anni per stabilire se siamo di fronte ad un trend discendente( tra il 2019 e il 2020 il totale delle somme pagate è quasi quadruplicato, a fronte di una riduzione del 40% tra 2020 e 2022).
Inoltre, se gli attacchi ransomware diventeranno sempre più onerosi, gli sforzi potrebbero spostarsi verso altre strategie, come scams per ottenere dati di carte di credito.
