CYBERWARFARE

Attacchi ransomware in Ucraina: implicazioni legali ed economiche della cyberwarfare

Mentre l’Ucraina si prepara a eventuali nuove escalations di cyberwarfare, ciò che è merso dai recenti attacchi ai siti governativi ucraini sono i non prevedibili spillover economici di tali eventi e le consequenziali ramificazioni finanziarie che ne conseguono. Ecco i possibili scenari

11 Feb 2022
R
Tommaso Ruocco

Junior Analyst - Hermes Bay

Le tensioni sono ai massimi storici tra Mosca e Kiev. Ad oggi la Russia ha ammassato più di 100.000 soldati sul confine ucraino e secondo i funzionari statunitensi Mosca ha il 70% delle forze nazionali pronte per un’invasione su larga scala. Il timore è che il Presidente russo Vladimir Putin stia contemplando una replica del 2014, quando le forze russe hanno annesso la penisola di Crimea e fornito sostegno a un’insurrezione separatista e filorussa nella regione del Donbass, nell’Ucraina orientale.

Tuttavia, dietro a uno scenario politico-militare che vede il dispiegamento di truppe fisiche e l’attivazione di canali diplomatici tradizionali di prevenzione, il Presidente ucraino Zelensky ha affermato che il paese ha registrato un aumento sostanziale di attacchi cyber ad infrastrutture governative e private.

Secondo quanto asserito dal Segretario Generale della NATO, Jens Stoltenberg, e a quanto riportato dai servizi di sicurezza statali ucraini SBU, tali attacchi sarebbero collegati a gruppi hacker russi collegati ai servizi segreti del Cremlino.

Mentre l’Ucraina si prepara a eventuali nuove escalations di cyberwarfare, ciò che è merso dai recenti attacchi ai siti governativi ucraini, e dall’attacco informatico NotPetya del 2017, sono i non prevedibili spillover economici di tali eventi e le consequenziali ramificazioni finanziarie che ne conseguono, come recentemente evidenziato per quanto riguarda il ruolo svolto dalle compagnie di assicurazione in relazione al cyberspazio.

Perché la minaccia cyber russa sull’Ucraina fa tremare il mondo

L’escalation della cyberwarfare tra Russia e Ucraina

Durante l’ultimo cyber attacco del mese scorso 90 siti web, gestiti da 22 organizzazioni ucraine, e 70 dei quali appartengono al governo, sono stati alterati consentendo ad un tipo di software mascherato da ransomware di danneggiare decine di sistemi informatici.

dal 14 al 17 giugno 2022
FORUM PA 2022. Polo Strategico Nazionale e Strategia Cloud Italia
Cloud
Datacenter

Tali attacchi sono stati notificati da Viktor Zhora, Vicepresidente dello “State Service of Special Communications and Information Protection of Ukraine”, e confermati dal Microsoft Threat Intelligence Center (MSTIC). Il MSTIC ha registrato la presenza di un malware dannoso sui sistemi ucraini per la prima volta il 13 gennaio 2022, non trovando alcuna associazione rilevante tra questa attività, tracciata come DEV-0586, ed altri gruppi di malware noti.

L’attività di intrusione proveniente dall’Ucraina sembra corrispondere all’attività nota come Master Boot Records (MBR) Wiper, denominato anche WhisperGate, ovvero un malware “wiper” in quanto cancella (“wipes”) tutte le informazioni di un sistema operativo sfruttando la sua capacità di mascherarsi da ransomware.

Nel merito, il centro MSTIC asserisce che ci sono diversi motivi per cui questa attività non è coerente con le attività di ransomware informatici dannosi osservati finora, in quanto WhisperGate sovrascrive l’MBR senza alcun meccanismo di ripristino e non include un ID personalizzato che viene solitamente utilizzato dagli hacker per comunicare con il bersaglio.

In un recente report, la Palo Alto Networks Inc (PANW.O), come confermato parallelamente dal MSTIC, ha affermato che un gruppo filorusso chiamato Gameredon, noto anche come Armageddon, coinvolto in attività di cyber-spionaggio, aveva cercato di ottenere informazioni sensibili da diverse strutture militari, organizzazioni governative e non governative in Ucraina sin da ottobre 2021.

Anche se Mosca, e l’ambasciata russa negli Stati Uniti, hanno fortemente negato di essere i promotori di tali attività, nel novembre del 2021 il Servizio di Sicurezza Ucraino (SSU) aveva individuato dei membri del gruppo Gamaredon, collegando alcuni di essi alla filiale del Servizio Federale di Sicurezza (FSB) Russo a Sebastopoli, Crimea

Secondo quanto riportato da Matthew Olney, direttore dell’area Minacce Informatiche e Interdizione presso la Cisco Programs Inc., si può affermare che questi malware “wiper” siano progettati esclusivamente per danneggiare e destabilizzare sistemi ed infrastrutture governative e/o critiche, non avendo alcun obbiettivo economico o di estorsione. Nonostante non siano ancora stati quantificati i danni causati dai recenti attacchi, il potenziale ed eventuale impatto economico può essere osservato da attività simili.

Il 27 giugno 2017, diverse infrastrutture critiche ucraine furono attaccate utilizzando un attacco ransomware denominato Petya, un malware wiper simile a WhisperGate. Mentre oltre il 70% dei sistemi informatici contaminati si trovava in Ucraina, furono colpiti anche più di 12.000 sistemi informatici in oltre 60 nazioni diverse.

L’obiettivo previsto era l’Ucraina, ma l’attacco si propagò in altre parti del mondo e, secondo quanto stimato dalla Casa Bianca, il danno globale ha raggiunto la cifra di 10 miliardi di dollari, lasciando varie multinazionali e agenzie governative incapaci di operare per giorni.

Russia-Ucraina-Usa: così la cyber è ago della bilancia nei rapporti tra Stati

Le aree grigie legali, in tema finanziario e assicurativo

La facile diffusione dell’attacco NotPetya, e le conseguenze economiche registrate a livello globale, hanno altresì evidenziato diverse aree grigie legali, soprattutto in tema finanziario ed assicurativo, inerenti alle nuove forme di guerra, come quella cibernetica.

Alcune compagnie assicurative hanno citato clausole di esclusione da responsabilità inerenti ad “atti di guerra” per cercare di evitare di risarcire i danni percepiti da diverse aziende statunitensi in seguito all’attacco russo NotPetya. Il caso più rilevante riguarda il colosso farmaceutico Merck & Co. e le sue agenzie assicurative.

L’azienda Merck, che ha affermato di aver registrato un danno economico pari a 1,4 miliardi di dollari in seguito all’attacco del 2017, ha citato in giudizio i suoi assicuratori per violazione del contratto dopo che il colosso farmaceutico si è visto negato la copertura assicurativa sulla base di una clausola che esenta l’assicurazione dal risarcire danni derivanti da “atti di guerra”.

Nel dicembre 2021, il giudice Thomas Walsh della Superior Court of New Jersey ha emesso una sentenza parziale a favore dell’azienda farmaceutica, recentemente riconfermata dalla Corte superiore del New Jersey. Il giudice Thomas J. Walsh ha osservato che i contratti assicurativi erano polizze “verso qualsiasi rischio”, inerenti anche a quelli solitamente non contemplati come gli attacchi informatici e che la clausola citata, non comprendendo anche atti di cyberwarfare, si applicava solo alle forme tradizionali di guerra.

Tuttavia, un recente caso presentato da Mondelez International Inc., con sede a Chicago, contro la Zurich American Insurance per i costi causati da NotPetya potrebbe cambiare o confermare le prospettive del caso Merck & Co. qualora venisse confermato il legame tra l’attacco cyber e la Russia.

La maggior parte dei prodotti assicurativi esclude la guerra o la copre solo in circostanze ben definite.

Tuttavia, nonostante la formulazione delle clausole assicurative non sia di comune interesse, nel novembre 2021 la Lloyd’s Market Association (LMA) di Londra ha applicato i consueti termini legali dei contratti assicurativi a una serie di condizioni per assicurare la “guerra informatica” e le operazioni informatiche attuate dagli Stati.

Le difficoltà a coprire il rischio informatico

La facile diffusione globale dell’attacco NotPetya nel 2017, ed il recente attacco cyber denominato WhisperGate, hanno visto, negli ultimi mesi, gli Stati Uniti e altri alleati inviare in Ucraina consiglieri militari ed esperti di sicurezza informatica.

Di fatto, i programmi software wiper mascherati da ransomware sono stati utilizzati in numerose occasioni da hacker sostenuti da diversi governi con l’obbiettivo di destabilizzare strutture Statali antagoniste ed organizzazioni non gradite sfruttando la caratteristica di anonimato in parte garantita da questi software.

La Russia non è l’unica nazione ad adottare questa tipologia di software. Ad esempio, nel 2012, hacker iraniani furono collegati a numerosi attacchi informatici wiper, tra i quali uno diretto alla compagnia petrolifera nazionale dell’Arabia Saudita.

Tuttavia, l’attuale tensione geopolitica e internazionale che circondano l’Ucraina rimane irrisolta e, secondo quanto riportato da diverse fonti, questo potrebbe accentuare le operazioni di Gamaredon nella regione.

Lo spettro di tali operazioni informatiche, sia di privati che sponsorizzate da vari governi, creano danni molto diffusi e ramificati a livello globale tra le imprese e le organizzazioni in ogni settore.

Come evidenziato dal caso NotPetya, questa incertezza legale ed informativa rappresenta uno dei principali fattori che ha ridotto notevolmente la capacità delle agenzie assicurative di coprire il rischio informatico.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 5