Lo scorso 21 settembre gli Stati Uniti hanno preso un’importante posizione rispetto alle piattaforme di trading di criptovalute: avendo stimato che il 40% delle transazioni eseguite dall’exchange SUEX.io erano legate al riciclaggio di denaro derivante dai riscatti estorti da cartelli di ransomware, il Dipartimento del Tesoro ha disposto delle sanzioni indirizzate a disincentivare imprese e consumatori statunitensi dal condurre transazioni con la piattaforma di trading di criptovalute.
Nel complesso, sanzionare le piattaforme di exchange, ma anche i governi che sponsorizzano le attività criminali dei gruppi di ransomware, è una buona decisione. È un primo passo volto a interrompere il flusso di valuta digitale utilizzata in sempre più attacchi ransomware.
È difficile stabilire però l’impatto che questa decisione avrà nel breve termine. Quello che davvero importa è come tra settimane, mesi e anni le sanzioni imposte dall’amministrazione Biden a piattaforme come SUEX si rifletteranno sull’economia che finanzia le operazioni del crimine informatico organizzato.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
Le sanzioni agli exchange di criptovalute non bastano
Un altro tassello molto importante per riuscire a combattere gli attacchi di ransomware è la collaborazione tra imprese pubbliche e private nel condividere informazioni sulle minacce da loro registrate.
Piuttosto che fare affidamento a sanzioni la cui efficacia è incerta, le aziende dovrebbero prendere il toro per le corna e ridurre drasticamente la loro superficie di rischio, anticipando le minacce con soluzioni come la tecnologia EDR (Endpoint Detection & Response).
Secondo Gartner, solo il 60% delle aziende dispone di questa tecnologia su tutti i loro endpoint. Questo dato è preoccupante, dato che la capacità di individuare e fermare un’intrusione al livello degli endpoint è fondamentale per fornire un livello di protezione sufficiente a far fronte agli attacchi informatici sofisticati come quelli che vediamo al giorno d’oggi.
Le sanzioni imposte dal governo Biden sono sicuramente una risposta ad un trend che si è osservato nel 2021, con attacchi ransomware diretti a Colonial Pipeline, JBS e Kaseya, ma anche ospedali, agenzie governative, società di servizi finanziari, scuole e aziende manfatturiere.
In molti casi, le imprese colpite da ransomware non possono legalmente pagare un riscatto che andrà a finanziare quello che a tutti gli effetti è diventato terrorismo informatico. In generale, comunque, è giusto ricordare che pagare il riscatto non è mai una buona idea, a meno che non ci siano in gioco delle vite umane o la pubblica sicurezza.
Pagare il riscatto non dà nessuna garanzia, dato che quasi la metà di coloro che pagano non recupera i dati o li riceve indietro corrotti e inutilizzabili.
C’è anche da dire che pagare un riscatto non significa che i criminali responsabili dell’attacco non cercheranno di estorcere denaro alle loro vittime una seconda, una terza, o persino una quarta volta.
È ormai diventato comune per gruppi di ransomware esfiltrare informazioni prima di criptarle e renderle inutilizzabili, in modo da poterle poi eventualmente rendere pubbliche se l’azienda colpita dovesse rifiutarsi di pagare un secondo riscatto.
Se questo non bastasse a convincere un’impresa a pagare, alcuni gruppi sono arrivati addirittura a consegnare i dati rubati a compagnie concorrenti in modo da diminuire il valore delle azioni delle loro vittime. Grief Gang (un gruppo di ransomware che si pensa essere basato in Russia e pare avere legami con Evil Corp) e Ragnar Locker hanno anche minacciato di distruggere i dati criptati qualora le loro vittime dovessero rivolgersi alle autorità, a negoziatori professionisti o esperti di data recovery.
Negoziatori di ransomware, un nuovo business nel mondo cyber: chi sono, come agiscono
Ecco perché serve un piano articolato
Per riuscire davvero a destabilizzare il crimine informatico organizzato servirà una concentrazione maniacale da parte di istituzioni pubbliche e private sul migliorare in maniera incrementale il loro approccio alla cyber sicurezza.
Sì, avere tutti gli strumenti di ultima generazione, le persone giuste e dei processi efficienti è importantissimo. Tuttavia, è inoltre necessario allinearsi agli obiettivi del business e fare in modo che la sicurezza informatica sia una spinta a migliorare le operazioni di un’impresa, piuttosto che qualcosa che le rallenta.
Senza questo passaggio fondamentale, la cyber sicurezza rimarrà qualcosa di aggiunto in un secondo momento che non verrà preso sufficientemente sul serio.
Proteggere un’azienda da minacce informatiche è diventata una questione di strategia: il personale deve avere obiettivi da raggiungere che risuonino in tutta la compagnia, e deve esserci un quadro normativo che permetta di prendere decisioni in linea con le policy aziendali.
Quando la strategia è stata delineata, ci si può concentrare sull’esecuzione.
Un sistema di rilevamento pensato per essere resiliente e per far fronte a minacce in continua evoluzione, unito a un’architettura zero-trust, costituisce la base di come le imprese di oggi dovrebbero approcciarsi alla cybersicurezza. Infine bisogna testare l’efficacia dei sistemi difensivi, continuando a metterli a punto e migliorarli.
