L’Occidente va all’offensiva contro le bande di ransomware

Gli Stati Uniti e i suoi partner stanno passando all’offensiva contro i gruppi di ransomware, ma ci sono limitazioni nel replicare il successo che apparentemente hanno avuto contro la banda guidata dai russi REvil. E mentre questo approccio “colpisci la talpa” può presentare alcune sfide per le autorità russe, alla fine rischierà di fare il gioco del Cremlino distraendo l’Occidente da altre attività informatiche russe.

   Un anonimo partner straniero statunitense ha violato con successo i sistemi del gruppo ransomware guidato dalla Russia REvil, costringendo la chiusura di molti dei suoi siti Web il 17 ottobre, secondo quanto riferito da Reuters il 22 ottobre quest’anno, accelerato dopo l’ attacco ransomware Kaseya di luglio di alto profilo e sofisticato di REvil. Nell’attacco a Kaseya, REvil ha chiesto 70 milioni di dollari alla società di software statunitense dopo che il suo attacco ha successivamente interrotto le reti informatiche di oltre 1.000 altre società globali che si affidano ai servizi di Kaseya. Dopo l’attacco di Kaseya, REvil ha chiuso i suoi siti il ​​13 luglio per ragioni ancora poco chiare. Ma il rapporto di Reuters del 22 ottobre afferma che gli Stati Uniti e le agenzie di intelligence e forze dell’ordine dei suoi partner sono penetrati in anticipo nella rete del gruppo, ottenendo il controllo di alcuni dei suoi server. Pertanto, quando REvil ha ripristinato il suo sito Web dai backup a settembre, era già stato compromesso in un’operazione che rimane in corso.

   Gli Stati Uniti, i paesi che la pensano allo stesso modo e almeno alcune società private sembrano pronti a intraprendere una campagna più aggressiva contro i gruppi di ransomware, che ora è una priorità assoluta degli Stati Uniti sulla scia dell’hack di May Colonial Pipeline. A giugno, il Dipartimento di Giustizia degli Stati Uniti ha elevato la priorità del ransomware a un livello pari al terrorismo. L’elevazione ha garantito al dipartimento e ad altre agenzie la base legale per lavorare più a stretto contatto con le agenzie di intelligence statunitensi e il Dipartimento della Difesa sul ransomware. La scorsa settimana, il presidente Joe Biden ha anche ospitato 30 governi per un’iniziativa contro il ransomware per allineare una spinta globale contro tali minacce informatiche. E in quello che potrebbe essere un segno di ulteriori operazioni informatiche contro i criminali informatici in futuro, la società di sicurezza delle informazioni statunitense Zerodium ha annunciato il 19 ottobre che è alla ricerca di exploit zero-day per le versioni Windows di ExpressVPN, NordVPN e Surfshark, che sono private virtuali strumenti di rete (VPN) che possono aiutare a nascondere gli indirizzi IP degli utenti e aggirare le restrizioni governative. Zerodium è una società con sede negli Stati Uniti che paga ricercatori di sicurezza informatica che scoprono exploit zero-day, che sono vulnerabilità che non sono state rese pubbliche e quindi possono essere sfruttate, invece di consegnarle agli sviluppatori del prodotto compromesso. Zerodium poi si gira e li vende principalmente ad agenzie governative.

   Tutti e tre i prodotti VPN menzionati da Zerodium sono VPN consumer spesso utilizzate dai criminali informatici per nascondere la propria attività online ed eseguire operazioni. Ciò evidenzia il crescente interesse degli Stati Uniti e dei suoi partner nell’identificazione di vulnerabilità che potrebbero essere utilizzate per scopi offensivi, non solo difensivi, rendendo del tutto possibile che le agenzie di intelligence occidentali vogliano utilizzare qualsiasi exploit come parte delle operazioni contro le bande di ransomware e altri criminali informatici. I governi occidentali possono probabilmente interrompere i singoli gruppi di ransomware, ma potrebbero incontrare difficoltà nel minare l’intero ecosistema di ransomware. Ci vorranno risorse significative per perseguire individualmente le dozzine di diversi gruppi di ransomware. Inoltre, si ritiene che molti degli sviluppatori chiave dei gruppi di ransomware abbiano sede in Russia, il che significa che gli arresti potrebbero essere estremamente rari, dato che le autorità russe sono riluttanti a intraprendere azioni aggressive contro coloro che conducono attacchi informatici motivati ​​finanziariamente che sono fondamentali per campagna globale asimmetrica del Cremlino contro l’Occidente. Ma anche con questi vincoli, degradare o semplicemente rallentare la crescita del ransomware può essere vantaggioso, in particolare se combinato con altre misure politiche non offensive, come l’aumento delle difese e delle politiche di sicurezza informatica e la pressione diplomatica.

   Le operazioni contro REvil e altri singoli gruppi probabilmente interromperanno le loro attività per settimane o mesi alla volta, solo per consentire ai loro membri di rinominarsi come un altro gruppo di criminali informatici. Anche se l’approccio non porrà fine alla minaccia ransomware, può aumentare i costi per attacchi dirompenti di alto profilo, poiché è più probabile che i gruppi dietro attacchi di alto profilo come gli hack di Kaseya e Colonial Pipeline vengano presi di mira, disincentivando così il ransomware più dirompente attacchi.

   Le azioni occidentali aggressive possono anche rallentare il ritmo delle operazioni dei gruppi ransomware. Anche quando i gruppi effettuano il rebranding, spesso utilizzano gran parte della stessa infrastruttura, come i server di comando e controllo o, nel recente caso dell’infrastruttura di pagamento online REvil. Se tali sistemi sono compromessi e i gruppi di ransomware lo sanno, dovranno dedicare del tempo allo sviluppo di alternative.

   Una maggiore azione contro le cyber gang aumenterà anche le fessure interne e i conflitti all’interno del gruppo poiché i diversi membri sono preoccupati che loro e/o altri membri possano aver scoperto la propria identità o che i computer personali siano stati violati. In casi più rari, alcuni membri potrebbero anche sospettare che i loro colleghi lavorino con le forze dell’ordine.

   Operazioni più aggressive contro i gruppi di ransomware possono distogliere le risorse occidentali da altre attività contro la Russia, offrendo potenzialmente al Cremlino altri vantaggi anche se l’attività del ransomware viene interrotta. Se gli Stati Uniti e i loro alleati dirottano più risorse offensive e altre risorse informatiche verso la lotta ai criminali informatici russi, potrebbero perdere parte della capacità di fermare la campagna informatica sponsorizzata dallo stato della Russia, che si concentra maggiormente sulla raccolta di informazioni e sulla disinformazione.

   Gli attacchi ransomware di alto profilo back-to-back contro Colonial Pipeline, la società di lavorazione della carne JBS e Kaseya hanno distolto l’attenzione dei media dall’hack SolarWinds sostenuto dalla Russia scoperto lo scorso dicembre, che è stata probabilmente la più grande operazione di spionaggio informatico scoperta.

   Inoltre, la pressione occidentale contro i criminali informatici potrebbe dare al Cremlino una maggiore capacità di cooptare e avere influenza sulle bande informatiche con sede in Russia promettendo di proteggerle dalle forze dell’ordine e dalle agenzie di intelligence occidentali in cambio della promessa che alcuni dei loro attacchi futuri otterranno anche gli altri obiettivi strategici informatici del Cremlino; questo potrebbe includere la consegna al Cremlino di dati preziosi rubati in attacchi ransomware.

   Tuttavia, una maggiore pressione occidentale causerà sfide significative per il Cremlino e alcune delle azioni dell’Occidente contro le infrastrutture del crimine informatico potrebbero anche danneggiare l’attività informatica sponsorizzata dallo stato della Russia. La continua minaccia del ransomware sta solo aumentando la possibilità che l’Occidente ritenga la Russia direttamente responsabile degli attacchi al punto in cui sono possibili sanzioni o altre azioni aggressive contro lo stesso stato russo, non solo contro i criminali. Inoltre, la minaccia sta anche aumentando le risorse che l’Occidente sta riversando nella sicurezza informatica, compresi programmi di sensibilizzazione, obblighi di segnalazione delle violazioni dei dati e cooperazione pubblico-privato.

   Pratiche di sicurezza informatica occidentali più rigorose miglioreranno le difese informatiche contro tutte le forme di attacchi informatici, costringendo le attività informatiche sponsorizzate dallo stato della Russia a fare affidamento su operazioni più sofisticate, che costano più denaro e più tempo per essere eseguite. Infine, molti criminali informatici russi spesso lavorano direttamente con le stesse agenzie di intelligence russe  per aiutare a portare a termine attacchi sponsorizzati dallo stato. Ciò significa che in alcuni casi esiste una sovrapposizione tra l’infrastruttura utilizzata negli attacchi sponsorizzati dallo stato e gli attacchi motivati ​​finanziariamente dai criminali informatici. Se i gruppi che svolgono il doppio compito vengono compromessi, potrebbero interrompere entrambi i tipi di attacchi informatici russi.

Bianca Laura Stan