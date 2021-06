Il panorama delle minacce cibernetiche negli ultimi mesi è stato monopolizzato da attacchi ransomware su scala mondiale. Alcuni di questi, come quello contro la rete di distribuzione di carburante Colonial Pipeline e quello al gigante delle forniture di carne JBS Food, hanno dimostrato il potenziale impatto che questo tipo di attacchi possono avere sulle vittime. Nei due casi sono state paralizzate le catene di distribuzione con un impatto sui rispettivi settori e persino sui prezzi dei prodotti al consumo.

Ove mai ve ne fosse stato bisogno, abbiamo imparato che un attacco cibernetico contro una infrastruttura critica, come un impianto di trasformazione energetica o un ospedale, potrebbe avere un impatto devastante sull’organizzazione vittima dell’offensiva, dei suoi utenti, e dell’intero settore cui afferisce. In particolari scenari, un attacco potrebbe portare addirittura causare la perdita di vite umane, come nel caso di blocco dei servizi di un ospedale o della manomissione di un servizio per il monitoraggio delle acque di un impianto idrico di una città.

Gli obiettivi degli attacchi, i potenziali effetti sortiti dagli stessi, hanno fatto sì che il Dipartimento di Giustizia degli Stati Uniti (DoJ) voglia assegnare alle indagini sugli attacchi ransomware la stessa priorità di quelle sul terrorismo. Le autorità statunitensi hanno creato una speciale task force per coordinare le indagini sugli attacchi ransomware nel paese così come accade da decenni per il terrorismo.

“Le linee guida interne inviate giovedì agli uffici legali degli Stati Uniti in tutto il paese hanno affermato che le informazioni sulle indagini sui ransomware sul campo dovrebbero essere coordinate a livello centrale con una task force creata di recente a Washington”, ha riferito l’agenzia di stampa Reuters.

“È un processo volto a garantire che si traccino tutti i casi di ransomware indipendentemente da dove possono essere segnalati in questo paese, in modo da poter stabilire connessioni tra gli attori e lavorare per interrompere l’intera catena”, ha affermato John Carlin, procuratore generale presso il Dipartimento di Giustizia.

L’idea di fondo è corretta: un’unità centrale è incaricata di raccogliere e condividere tutte le informazioni relative ad attacchi ransomware contro aziende statunitensi o che operano su suolo americano. Questa attività è essenziale per prevenire l’azione delle principali gang di ransomware contro aziende in diversi settori, e soprattutto per fornire guida alle vittime ed alle organizzazioni affinché si possano prevenire o neutralizzare queste minacce.

La guida condivisa dal DOJ fa riferimento esplicito all’attacco contro Colonial Pipeline, lo considera come un caso di studio che dimostra la “minaccia crescente che il ransomware e l’estorsione digitale rappresentano per la nazione”.

Secondo le autorità americane gli attacchi ransomware rappresentano una minaccia per la sicurezza nazionale e per l’economia del paese, per questo motivo è importante intensificare gli sforzi per aumentare la resilienza delle infrastrutture critiche e smantellare le operazioni delle gang di ransomware.

“Per assicurarci di poter stabilire i collegamenti necessari tra i casi e le indagini nazionali e globali e per consentirci di sviluppare un quadro completo delle minacce alla sicurezza nazionale ed economica che affrontiamo, dobbiamo migliorare e centralizzare il nostro monitoraggio interno”, continua la guida del Dipartimento di Giustizia.

È la prima volta che viene proposto un modello di indagine sul terrorismo per l’analisi degli attacchi ransomware, evidenza della relativa crescente minaccia alla sicurezza nazionale.

La guida chiede anche agli uffici del procuratore degli Stati Uniti di occuparsi di altre indagini incentrate sull’ecosistema globale della criminalità informatica, in particolare, richiede un coordinamento centralizzato per i casi che coinvolgono servizi anti-virus, forum o mercati online illeciti, scambi di criptovalute, servizi di hosting che garantiscono l’anonimato e che non rispondono alle richieste delle autorità competenti, botnet e servizi di riciclaggio di denaro online.

Vi chiederete a questo punto quanti sono i gruppi dietro i principali attacchi ransomware e quale è una stima economica dei loro profitti.

Difficile fornire una risposta precisa, ma alcuni dati possono aiutarci nella stima. Negli ultimi due anni sono state tracciati oltre 40 gruppi, di essi una decina si sono dimostrati particolarmente attivi, e nel tempo si sono resi responsabili di un numero crescente di attacchi grazie alla costituzione di reti di affiliati che diffondono il ransomware.

Nell’immagine seguente sono riportati i dati relativi al numero di vittime delle gang più attive nell’ultimo mese secondo l’azienda di cyber threat intelligence Dark Tracer. Il grafico evidenza l’intensa attività dei gruppi Avaddon, Conti, REvil e Dark Side che hanno colpito centinaia di organizzazioni.

Figura 1 – Source Twitter

Complessivamente quindi possiamo stimare che diverse centinaia di aziende sono colpite ogni mese da questi gruppi.

Per comprendere i ritorni economici dell’impresa criminale possiamo analizzare i guadagni di una delle principali gang.

Nello scorso mese, i ricercatori della società di analisi blockchain Elliptic hanno stimato che la banda di ransomware Darkside, la stessa che ha colpito Colonial Pipeline, ha guadagnato oltre 90 milioni di dollari dai suoi attacchi dall’ottobre 2020.

I ricercatori hanno esaminato i portafogli Bitcoin (wallet) utilizzati dalla banda di ransomware per ricevere i pagamenti del riscatto dalle vittime negli ultimi mesi.

“In totale, a DarkSide sono stati effettuati poco più di $90 milioni in pagamenti di riscatti Bitcoin, provenienti da 47 portafogli distinti”. si legge nel rapporto pubblicato dall’Elliptic. “Secondo DarkTracer , 99 organizzazioni sono state infettate dal malware DarkSide, il che suggerisce che circa il 47% delle vittime ha pagato un riscatto e che il pagamento medio è stato di 1,9 milioni di dollari”.

Figura 2 – Totale riscatti pagati dalle vittime del gruppo DarkSide (Rapporto Elliptic)

A questo punto se consideriamo che il numero di operazioni simili a DarkSide è di diverse decine, possiamo stimare le perdite relative ad attacchi ransomware nell’ordine di miliardi di euro su base annua, una cifra di tutto rispetto che ha spinto il governo statunitense ad una dura risposta.

In studio vi è anche la possibilità da parte delle autorità USA di impedire alle aziende vittime di attacchi ransomware di pagare riscatti, con l’intento di dissuadere la temuta pratica estorsiva.

Nell’attesa possiamo solo predire un sostante aumento di attacchi ransomware nei prossimi mesi.

