È allerta massima ransomware e le istituzioni internazionali mettono in guardia dai possibili effetti catastrofici di questi attacchi contro infrastrutture critiche, come banche ed ospedali.
Ma la questione non è più solo limitata ai danni contro infrastrutture critiche – pure gravissimi. È diventata geopolitica.
C’è un primo tentativo degli Stati di trovare una linea comune di difesa e il quadro è in rapido movimento.
Nei giorni scorsi lo scenario è rapidamente mutato a seguito del sequestro dell’infrastruttura utilizzata dalla ransomware gang Revil, risultante da un’operazione internazionale delle forze dell’ordine di diversi Paesi.
Le gang hanno risposto con una chiamata alle armi contro gli USA e cominciano a corteggiare la Cina.
Lo scontro sul ransomware sembra insomma destinato a crescere di livello. Da quello di singole aziende e istituzioni, e singole gang, è arrivato al livello di Stati e gruppi di criminali.
Indice degli argomenti
Ransomware gang, dove e quante sono
Per capire dove si potrà andare, vediamo dove siamo ora.
Negli ultimi giorni i media internazionali continuano a riportare notizie di numerosi attacchi contro aziende di tutto il mondo.
A concorrere all’aumento del numero di attacchi numerosi fattori, l’aumentata esposizione delle nostre imprese a causa della pandemia, il consolidamento del modello di cybercrime-as-a-service ed attacchi alle catene di approvvigionamento (supply-chain attack) di fornitori di servizi gestiti di migliaia di organizzazioni in tutto il modo. Ma chi sono e da dove operano le principali ransomware gang?
Secondo l’ultimo rapporto della cyber threat intelligence firm DarkTracer, al momento sono operative ben 52 ransomware gang che hanno colpito 3.338 organizzazioni. Molte di queste organizzazioni criminali operano in Russia o nei paesi dell’est Europa.
Figura 1 – Fonte DarkTracer.
La scelta della Russia come sede da cui operare è motivata dalla tacita tolleranza a queste attività criminali da parte delle autorità sovietiche che fino ad oggi non hanno manifestato interesse nel sopprimere le operazioni delle ransomware gang purché queste non attacchino aziende russe. Per questo motivo, l’analisi dei ransomware utilizzati da molti di questi gruppi ha rivelato la presenza di codice che evita l’infezione di sistemi che sono utilizzati da utenti che operano nei paesi del’ ex URSS.
Ad oggi, la classifica dei paesi che annoverano il maggior numero di vittime di attacchi ransomware è guidata dagli Stati Uniti, seguiti Canada, Francia e Regno Unito. L’Italia si colloca secondo gli esperti al sesto posto, una posizione che dimostra la nostra esposizione a questo tipo di minacce.
Figura 2 – Fonte DarkTracer.
Gli Stati contro le ransomware gang
La risposta degli Stati Uniti è stata immediata, l’amministrazione Biden ha convocato 30 stati in un incontro per definire una strategia globale contro la criminalità informatica. L’evento denominato “Iniziativa contro il ransomware” mira a rafforzare la cooperazione tra le forze dell’ordine di vari paesi ed il supporto diplomatico dei governi nella lotta alla criminalità informatica. Purtroppo, a questo primo incontro non è stata invitata proprio la Russia, suscitando le critiche degli esperti.
In realtà un incontro tra Biden e Putin sul tema criminalità informatica c’è già stato ad inizio anno, ma evidentemente non ha sortito gli effetti sperati. La risposta di Mosca è stata mite, ci sono stati piccoli segnali, ma non quanto auspicato, sicuramente non sufficienti per interferire con le operazioni delle principali ransomware gang. Tra i grandi assenti anche la Cina, un paese al quale si attribuisce la maggior parte delle campagne di spionaggio ad aziende di tutto il mondo e da sempre accusata da Washington di una strategia cyber aggressiva nei suoi confronti. Nell’occasione dell’incontro Biden ha fornito a Putin un elenco di 16 settori in cui operano infrastrutture critiche che dovranno essere preservati da attacchi cibernetici. Tuttavia, l’attacco ransomware contro Colonial Pipeline ha mostrato quanto siano severi i rischi per la sicurezza nazionale, soprattutto per le infrastrutture critiche nazionali.
Criminali o attori nation-state
Altro elemento di preoccupazione è rappresentato dalla sottile linea che separa l’azione criminale dei gruppi di ransomware da operazioni condotte da attori nation-state. Attori malevoli al soldo di governi potrebbero infiltrare le reti di affiliati delle principali ransomware gang con l’intento di prendere di mira obiettivi strategici rendendo impossibile l’attribuzione degli attacchi.
Come detto, le forze dell’ordine di diversi Paesi hanno collaborato per buttare giù REvil.
Attacchi ransomware: le tre best practice per neutralizzarli
La reazione delle gang
Immediata la reazione di alcune gang criminali come Groove e Conti che sui propri leak site ospitati nella rete Tor hanno manifestato intenti bellicosi contro gli Stati Uniti. Il messaggio pubblicato dalla ransomware Gang Groove è una vera e propria chiamata alle armi, un invito alle varie ransomware gang ad unire le forze per colpire gli interessi degli Stati Uniti. Interessante anche un altro aspetto del messaggio, il gruppo Groove invita altri gruppi criminali a non colpire organizzazioni cinesi. Ma per quale motivo? Il gruppo sostiene che presto la Russia potrebbe voltare loro le spalle, e questo è francamente possibile vista l’importanza assunta dalla cybersecurity nei colloqui tra Mosca e l’occidente. Proprio una più energica risposta da parte delle autorità russe contro le gang criminali che operano nel paese potrebbe essere oggetto di accordi con l’occidente.
Il ruolo futuro della Cina
La Cina potrebbe quindi diventare un paradiso per le principali gang ransomware con la compiacenza del governo di Pechino che potrebbe agevolare le loro operazioni e le attività di cash out (conversione dei profitti criminali in danaro) presso banche locali.
I vantaggi sarebbero molteplici, ivi compresa la possibilità di mascherare campagne di spionaggio dietro attacchi ransomware e garantire alle aziende cinesi una sorta di immunità nei confronti di attacchi ransomware. In questo contesto in rapida evoluzione è difficile fare previsioni, unico punto fermo deve essere l’impegno di governi ed organizzazioni private ad aumentare il loro livello di resilienza ad attacchi cibernetici.
