Il mercato nascosto dei mediatori digitali
Un settore in rapida espansione sta emergendo attorno alla gestione di queste crisi: quello delle società di consulenza specializzate nell'assistenza alle vittime di estorsioni digitali. Tuttavia, molte organizzazioni preferiscono ancora gestire autonomamente la situazione per evitare costi aggiuntivi. Andrew Carr, senior manager del team Commercial Incident Response di Booz Allen, rivela un dato significativo: "Credo che meno di un quarto delle organizzazioni che abbiamo assistito lo scorso anno abbia finito per procedere autonomamente e raggiungere un accordo con gli aggressori".
Le compagnie assicurative stanno investendo risorse considerevoli nell'analisi degli ecosistemi ransomware, dato che sono costrette a versare somme sempre più elevate a causa della diffusione di questa piaga digitale. Spesso, quando un'azienda dispone di una copertura assicurativa informatica, l'assicuratore nomina specialisti per gestire la situazione, come spiega un negoziatore di ransomware indipendente che ha preferito mantenere l'anonimato per evitare di diventare bersaglio dei criminali.
I primi passi cruciali dopo l'attacco
La procedura standard prevede innanzitutto un'analisi approfondita delle macchine infette per comprendere la natura esatta dell'attacco e identificare le modalità di infezione, permettendo così di correggere le vulnerabilità di sicurezza. Successivamente, le aziende procedono generalmente con la pulizia completa dei sistemi e il ripristino dai backup, un passaggio fondamentale poiché gli aggressori potrebbero aver lasciato altri malware nella rete per futuri attacchi.
Questa procedura di bonifica rimane necessaria anche quando le vittime decidono di pagare il riscatto. L'ottenimento della chiave di decrittazione rappresenta solo una parte della soluzione: il sistema deve comunque essere considerato a rischio e sottoposto a verifiche approfondite anche dopo la decrittazione.
Quando pagare diventa l'unica opzione
Nonostante la maggioranza delle vittime di ransomware rifiuti di pagare, alcune si trovano costrette a farlo. I motivi possono variare: tempi di ripristino troppo lunghi per la pulizia e il recupero di tutti i sistemi coinvolti, oppure backup insufficienti rispetto alla portata dell'infezione. Gli attacchi a Colonial Pipeline e UnitedHealth rappresentano esempi emblematici di questa dinamica, con i CEO che hanno spiegato apertamente le ragioni della loro decisione: la necessità di ripristinare rapidamente i servizi.
Nel caso di Colonial Pipeline, la situazione aveva assunto caratteri di emergenza nazionale. Gli acquisti di panico stavano causando carenze di carburante e risse scoppiavano nelle stazioni di servizio lungo tutta la costa orientale degli Stati Uniti. La decisione fu di sopportare il danno economico e pagare il riscatto.
Per quanto riguarda l'attacco informatico a Change Healthcare, la società madre UnitedHealth ha versato 22 milioni di dollari in bitcoin al gruppo ALPHV/BlackCat, poiché le farmacie erano nel caos e le prescrizioni mediche dovevano essere urgentemente evase. Questo caso rappresenta uno dei rari episodi in cui il gruppo criminale ha effettivamente truffato i propri affiliati, secondo quanto riferito dal negoziatore di ransomware.
L'ecosistema criminale organizzato
La maggior parte delle infezioni ransomware contiene informazioni di contatto per gli aggressori. Quando si rende necessario negoziare, è fondamentale comprendere con chi si ha a che fare. Tipicamente, gli operatori di ransomware-as-a-service permettono agli affiliati di effettuare l'intrusione iniziale, per poi assumere il controllo delle negoziazioni e restituire una percentuale all'attaccante originale.
Questo controllo centralizzato consente agli sviluppatori di malware di mantenere intatta la propria "reputazione" criminale. Sebbene si siano verificati casi di individui che hanno infettato vittime, rubato dati, incassato il pagamento e poi ingannato chi aveva pagato, questo comportamento danneggia il business. Come spiega il negoziatore di ransomware: "La fiducia rappresenta un elemento fondamentale in questo settore". Se un gruppo ha la reputazione di fornire una soluzione dopo che le vittime hanno pagato, diventa più facile estorcere denaro.
I gruppi criminali principali dispongono di personale a tempo pieno che gestisce le negoziazioni, garantisce la consegna, sviluppa malware più sofisticati e così via. Generalmente, formulano la prima richiesta attorno al 5% del fatturato annuale della vittima. Il segreto per ridurre le somme consiste nel giocare a lungo termine: più la negoziazione si protrae, più è probabile che il prezzo diminuisca.
Bitcoin e strategie di pagamento
Tutti gli esperti concordano sul fatto che il bitcoin rappresenti il metodo di pagamento preferito dai criminali. È conveniente e, soprattutto, generalmente non tracciabile. Nonostante la tecnologia di "coin mixing" – che cerca di riciclare la criptovaluta attraverso una massa di transazioni – stia migliorando, rimane ancora possibile contrastarla. Nel caso di Colonial Pipeline, la maggior parte del riscatto è stata recuperata, mentre un'università olandese non solo ha recuperato il riscatto, ma ha anche realizzato un profitto grazie all'aumento del prezzo del bitcoin.
Esistono tuttavia delle eccezioni a questo sistema organizzato. Dopo aver analizzato i log delle chat relativi a LockBit, il negoziatore ha notato che molti adolescenti dilettanti sembrano utilizzare kit ransomware a noleggio. Questi individui hanno maggiori probabilità di negoziare autonomamente e poi sparire con i soldi, non avendo alcuna reputazione da preservare.
La discrezione come arma strategica
Se si decide di assumere un professionista per ottenere assistenza, è fondamentale non far sapere ai criminali cosa sta accadendo, consiglia Carr. "Non ci presentiamo dicendo di essere della società X, qui per conto di questa organizzazione vittima. Fingiamo, tipicamente, di essere membri di quell'organizzazione. In questo modo sembra più naturale. E alcuni gruppi nutrono effettivamente animosità verso le organizzazioni professionali che assistono in questi casi".
Allo stesso modo, se si dispone di un'assicurazione, è vitale non rivelarlo durante le negoziazioni con gli estortori. Durante la recente conferenza di sicurezza RSA, la polizia olandese ha spiegato che, oltre a crittografare alcuni sistemi, i criminali cercano anche documenti relativi alle assicurazioni informatiche. Se la vittima ha una copertura, l'importo richiesto aumenta drasticamente.
Tuttavia, non dovrebbe mai arrivare a questo punto. La stragrande maggioranza degli operatori ransomware cerca semplicemente obiettivi facili – persone senza nemmeno una protezione endpoint di base che possono essere facilmente colpite con malware, afferma Carr. Le aziende più grandi dovrebbero essere in grado di respingere tutti gli attacchi tranne quelli più determinati e ben finanziati. Il pagamento rischia di finanziare ulteriori attività criminali, rendendo gli attacchi più probabili in futuro.