Negoziatori di ransomware, un nuovo business nel mondo cyber: chi sono, come agiscono - Cyber Security 360

NUOVE PROFESSIONI

Negoziatori di ransomware, un nuovo business nel mondo cyber: chi sono, come agiscono

Si chiamano negoziatori di ransomware e sono specializzati nel prendere accordi con gli attori delle minacce per aiutare le aziende nelle fasi di contrattazione per il pagamento del riscatto in seguito ad un attacco cyber. Ecco chi sono e come operano in un settore, purtroppo, in continua crescita

31 Mag 2021
S
Marco Santarelli

Esperto in Network Analysis, Critical Infrastructures, Big Data and Future Energies

La grande diffusione dei ransomware sta costringendo sempre di più le aziende a prendere accordi con i criminal hacker attraverso negoziatori che si occupano di mediare i pagamenti di riscatto.

Questi specialisti della cyber security si mettono in contatto con i cyber criminali oppure effettuano i pagamenti in criptovalute. Argomento controverso e spinoso.

Vediamo di cosa si tratta.

Come gestire un ransomware

È stato il cofondatore della startup GroupSense Inc., Kurtis Minder, ad accorgersi di un nuovo business che gira attorno alla diffusione dei ransomware, ossia una rete di negoziatori che fanno da mediatori tra le aziende colpite dal cyber attacco e i cyber criminali.

Cos’è un ransomware e come funziona

Partiamo da cos’è un ransomware: un tipo di software dannoso con il quale i criminal hacker richiedono un riscatto ai malcapitati.

Si diffonde nei dispositivi attraverso allegati o link fraudolenti in mail di phishing, siti web o chiavette usb infette. Quando entra in campo il ransomware, viene bloccato l’accesso al sistema o i dati vengono crittografati all’interno del sistema stesso e i cyber criminali chiedono quindi il pagamento di un riscatto alle loro vittime per poter ripristinare il sistema e avere di nuovo accesso ai dati.

La GroupSense Inc. monitora forum e chat del Dark Web per scoprire quando i criminal hacker mettono in vendita l’accesso alle reti informatiche delle aziende. Una società, credendo di essere stata presa di mira dai criminali, si è rivolta a GroupSense per mediare la richiesta di oltre un milione di dollari di riscatto per decriptare i dati interni che erano stati crittografati tramite ransomware e sono riusciti a accordarsi per 200.000 dollari.

Da quel momento, la GroupSense ha iniziato a prendere in carico altre richieste simili, in particolare da studi legali e compagnie assicurative delle vittime di cyber attacchi, fino ad averne a decine a settimana.

Guida al ransomware: cos’è, come si prende e come rimuoverlo

Il caso Colonial Pipeline

La crescente diffusione dei ransomware ha spinto anche altre startup ad avviare questa attività di mediazione con i criminal hacker o effettuare pagamenti in criptovalute, così come grandi aziende informatiche hanno iniziato ad avvalersi di personale o aziende specializzate per supportare i clienti a gestire questi incidenti cyber.

L’attenzione nei confronti di questo tipo di crimine informatico, cosiddetto ransomware, si è accentuata dall’ultimo grande attacco sferrato dal gruppo DarkSide alla Colonial Pipeline Co., che ha portato per forza di cose l’azienda a interrompere l’attività dell’oleodotto per sei giorni, tornando in funzione solo dopo il pagamento di cinque milioni di dollari di riscatto agli autori dell’attacco ransomware. L’incidente ha riaperto una questione sempre più pressante: quella delle guerre cyber e delle strategie Paese che vanno adottate per fronteggiarle.

Non sappiamo se la società ha dovuto negoziare l’importo del riscatto. Un rappresentante ha dichiarato soltanto di aver dovuto fare tutto ciò che era in loro potere per riavviare il sistema in modo rapido e sicuro.

In caso di attacco cyber e richiesta di riscatto, bisogna agire rapidamente, dato che nel momento in cui i criminal hacker entrano in azione, bloccano computer e dispositivi, ma anche interi sistemi, e ne seguono minacce di estorsione sotto forma di svelamento di dati interni.

Nei casi peggiori ci si trova a dover giungere a un accordo forzatamente tramite dei negoziatori di ransomware.

Le conseguenze del caso Colonial Pipeline

Il Ministro della Sicurezza Interna USA Alejandro Mayorkas e il Ministro dell’Energia Jennifer Granholm hanno discusso delle conseguenze dell’interruzione della fornitura di carburante dopo il cyber attacco alla Colonial Pipeline.

Il gruppo criminale ransomware DarkSide ha dichiarato di essersi sciolto in seguito al suo attacco alla Colonial Pipeline e altri gruppi di hacker hanno esortato i membri a muoversi con più discrezione.

I gruppi ransomware potrebbero cercare di ritirarsi dai riflettori e preservare i loro modelli di business, dopo che gli attacchi di alto profilo nelle ultime settimane hanno sconvolto la vita quotidiana in due paesi.

Oltre agli USA, anche l’Irlanda ha subito un attacco cyber: in questo caso ad essere colpite sono state le reti informatiche del sistema sanitario pubblico irlandese, che sono rimaste paralizzate per mano di un hacker del cosiddetto anello Conti, interrompendo la sanità in tutto il paese. Conti, a seguito dell’attacco, ha consegnato uno strumento per aiutare a invertire i danni, ma ha comunque minacciato di trapelare i dati rubati nel caso in cui non fosse stato pagato un riscatto. E l’accaduto risale a dopo l’annuncio di scioglimento da parte della Darkside.

“È possibile che stiamo iniziando a vedere segni potenzialmente importanti di agitazione (tra gli hacker)”, ha detto Ciaran Martin, ex capo del National Cyber Security Centre, l’agenzia per la sicurezza informatica del governo britannico.

Gli esperti della sicurezza ritengono che le recenti mosse degli hacker potrebbero anche far sorgere nuove pressioni da parte di governi stranieri, come il Cremlino, che gli Stati Uniti e altri dicono forniscano un porto sicuro ai gruppi ransomware.

Lo scioglimento di DarkSide è avvenuto dopo che il presidente americano Biden ha dichiarato che la Casa Bianca era in contatto con il governo russo per intraprendere azioni contro tali gruppi criminali.

Un portavoce della Casa Bianca ha rifiutato di commentare un rapporto del Washington Post secondo cui il governo degli Stati Uniti non era dietro l’abbattimento di DarkSide. L’ambasciata russa a Washington non ha risposto immediatamente a una richiesta di commento.

Nello stesso tempo, come ha dichiarato Mark Arena, amministratore delegato di Intel 471, che monitora forum e chat room per guardare come operano gli hacker, altri gruppi ransomware hanno smesso di pubblicizzare apertamente i loro servizi online.

Negoziatori di ransomware: come operano

Karen Sprenger, Chief Operating Officer e capo negoziatore ransomware per la società informatica LMG Security, sostiene che l’unico modo di affrontare ogni richiesta di negoziazione è quella di trattarla come un accordo commerciale, che va gestito con freddezza e distacco, lasciando le emozioni alle vittime che hanno subito direttamente il cyber crime.

Alcuni esperti informatici avvertono che dietro alla valanga di ransomware, che ormai sta prendendo piede, ci sono veri professionisti del cyber crime e il governo statunitense li ha identificati già come una minaccia per la sicurezza nazionale.

Eric Friedberg, co-presidente di Stroz Friedberg, una società di consulenza per la risposta agli incidenti di proprietà della compagnia assicurativa Aon PLC, ha dichiarato che “il settore sta raggiungendo, in alcune aree, i limiti di capacità”. Mentre la Stroz Friedberg consiglia i dirigenti sugli accordi, l’azienda lavora con negoziatori specializzati con una conoscenza capillare delle tattiche e dell’affidabilità dei gruppi ransomware, fattori chiave per le vittime che decidono come rispondere.

L’obiettivo delle aziende negoziatrici è raccogliere informazioni su ciò che gli hacker di dati potrebbero aver rubato, mentre le vittime sondano l’impatto e cercano di ripristinare i loro sistemi utilizzando i backup.

Oltre l’80% delle indagini coinvolge il ransomware, rispetto a circa la metà di qualche anno fa; inoltre, effettuare pagamenti di riscatto non significa necessariamente che le aziende siano in grado di sbloccare i loro dati: a quanto pare, la Colonial Pipeline non è riuscita a ripristinare completamente i suoi sistemi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5