Ransomware affare di Stato: lo scontro con le gang sale a nuovi livelli - Cyber Security 360

geopolitica cyber

Ransomware affare di Stato: lo scontro con le gang sale a nuovi livelli

Al mondo ci sarebbero cinquantadue ransomware gang operative, molte delle quali con base in Russia o in Est Europa: approfondiamo il contesto globale, con gli Stati Uniti che puntano a definire una strategia globale di cybersecurity e la Cina che potrebbe assumere un ruolo sempre più decisivo

25 Ott 2021
P
Pierluigi Paganini

Cyber Security Analyst, CEO CYBHORUS

È allerta massima ransomware e le istituzioni internazionali mettono in guardia dai possibili effetti catastrofici di questi attacchi contro infrastrutture critiche, come banche ed ospedali

Ma la questione non è più solo limitata ai danni contro infrastrutture critiche – pure gravissimi. È diventata geopolitica.

C’è un primo tentativo degli Stati di trovare una linea comune di difesa e il quadro è in rapido movimento.

Nei giorni scorsi lo scenario è rapidamente mutato a seguito del sequestro dell’infrastruttura utilizzata dalla ransomware gang Revil, risultante da un’operazione internazionale delle forze dell’ordine di diversi Paesi.

Le gang hanno risposto con una chiamata alle armi contro gli USA e cominciano a corteggiare la Cina.

Lo scontro sul ransomware sembra insomma destinato a crescere di livello. Da quello di singole aziende e istituzioni, e singole gang, è arrivato al livello di Stati e gruppi di criminali.

Ransomware gang, dove e quante sono

Per capire dove si potrà andare, vediamo dove siamo ora.

Negli ultimi giorni i media internazionali continuano a riportare notizie di numerosi attacchi  contro aziende di tutto il mondo.

A concorrere all’aumento del numero di attacchi numerosi fattori, l’aumentata esposizione delle nostre imprese a causa della pandemia, il consolidamento del modello di cybercrime-as-a-service ed attacchi alle catene di approvvigionamento (supply-chain attack) di fornitori di servizi gestiti di migliaia di organizzazioni in tutto il modo. Ma chi sono e da dove operano le principali ransomware gang?

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza

Secondo l’ultimo rapporto della cyber threat intelligence firm DarkTracer, al momento sono operative ben 52 ransomware gang che hanno colpito 3.338 organizzazioni. Molte di queste organizzazioni criminali operano in Russia o nei paesi dell’est Europa.

Immagine

Figura 1 – Fonte DarkTracer.

La scelta della Russia come sede da cui operare è motivata dalla tacita tolleranza a queste attività criminali da parte delle autorità sovietiche che fino ad oggi non hanno manifestato interesse nel sopprimere le operazioni delle ransomware gang purché queste non attacchino aziende russe. Per questo motivo, l’analisi dei ransomware utilizzati da molti di questi gruppi ha rivelato la presenza di codice che evita l’infezione di sistemi che sono utilizzati da utenti che operano nei paesi del’ ex URSS.

Ad oggi, la classifica dei paesi che annoverano il maggior numero di vittime di attacchi ransomware è guidata dagli Stati Uniti, seguiti Canada, Francia e Regno Unito. L’Italia si colloca secondo gli esperti al sesto posto, una posizione che dimostra la nostra esposizione a questo tipo di minacce.

Immagine

Figura 2 – Fonte DarkTracer.

Gli Stati contro le ransomware gang

La risposta degli Stati Uniti è stata immediata, l’amministrazione Biden ha convocato 30 stati in un incontro per definire una strategia globale contro la criminalità informatica. L’evento denominato “Iniziativa contro il ransomware” mira a rafforzare la cooperazione tra le forze dell’ordine di vari paesi ed il supporto diplomatico dei governi nella lotta alla criminalità informatica. Purtroppo, a questo primo incontro non è stata invitata proprio la Russia, suscitando le critiche degli esperti.

In realtà un incontro tra Biden e Putin sul tema criminalità informatica c’è già stato ad inizio anno, ma evidentemente non ha sortito gli effetti sperati. La risposta di Mosca è stata mite, ci sono stati piccoli segnali, ma non quanto auspicato, sicuramente non sufficienti per interferire con le operazioni delle principali ransomware gang. Tra i grandi assenti anche la Cina, un paese al quale si attribuisce la maggior parte delle campagne di spionaggio ad aziende di tutto il mondo e da sempre accusata da Washington di una strategia cyber aggressiva nei suoi confronti. Nell’occasione dell’incontro Biden ha fornito a Putin un elenco di 16 settori in cui operano infrastrutture critiche che dovranno essere preservati da attacchi cibernetici. Tuttavia, l’attacco ransomware contro Colonial Pipeline ha mostrato quanto siano severi i rischi per la sicurezza nazionale, soprattutto per le infrastrutture critiche nazionali.

Criminali o attori nation-state

Altro elemento di preoccupazione è rappresentato dalla sottile linea che separa l’azione criminale dei gruppi di ransomware da operazioni condotte da attori nation-state. Attori malevoli al soldo di governi potrebbero infiltrare le reti di affiliati delle principali ransomware gang con l’intento di prendere di mira obiettivi strategici rendendo impossibile l’attribuzione degli attacchi.

Come detto, le forze dell’ordine di diversi Paesi hanno collaborato per buttare giù REvil.

Attacchi ransomware: le tre best practice per neutralizzarli

La reazione delle gang

Immediata la reazione di alcune gang criminali come Groove e Conti che sui propri leak site ospitati nella rete Tor hanno manifestato intenti bellicosi contro gli Stati Uniti. Il messaggio pubblicato dalla ransomware Gang Groove è una vera e propria chiamata alle armi, un invito alle varie ransomware gang ad unire le forze per colpire gli interessi degli Stati Uniti. Interessante anche un altro aspetto del messaggio, il gruppo Groove invita altri gruppi criminali a non colpire organizzazioni cinesi. Ma per quale motivo? Il gruppo sostiene che presto la Russia potrebbe voltare loro le spalle, e questo è francamente possibile vista l’importanza assunta dalla cybersecurity nei colloqui tra Mosca e l’occidente. Proprio una più energica risposta da parte delle autorità russe contro le gang criminali che operano nel paese potrebbe essere oggetto di accordi con l’occidente.

Il ruolo futuro della Cina

La Cina potrebbe quindi diventare un paradiso per le principali gang ransomware con la compiacenza del governo di Pechino che potrebbe agevolare le loro operazioni e le attività di cash out (conversione dei profitti criminali in danaro) presso banche locali.

I vantaggi sarebbero molteplici, ivi compresa la possibilità di mascherare campagne di spionaggio dietro attacchi ransomware e garantire alle aziende cinesi una sorta di immunità nei confronti di attacchi ransomware. In questo contesto in rapida evoluzione è difficile fare previsioni, unico punto fermo deve essere l’impegno di governi ed organizzazioni private ad aumentare il loro livello di resilienza ad attacchi cibernetici.

WHITEPAPER
Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5