Negoziare con un hacker
È nato un nuovo settore industriale: quello degli specialisti che contrattano con gli hacker per conto delle imprese
KURTIS MINDER ha diversi consigli su come trattare con i criminali che estorcono milioni di dollari paralizzando i sistemi informatici delle aziende rubando i loro dati. Primo: non chiamateli “cattivi”. “Loro sono cattivi e ne sono consapevoli, ma preferiscono far finta di essere uomini d’affari”, afferma Minder, che, in qualità di Ceo di Groupsense, specializzata in cyber-intelligence, ha condotto le trattative per conto di almeno due dozzine di organizzazioni prese di mira con il cosiddetto ransomware. “Quando con loro fai finta che si tratti solo di una normale transazione d’affari, le cose procedono meglio”. Immaginate questo scenario da incubo: un giorno iniziate a lavorare ma non riuscite ad accedere alle informazioni cruciali del vostro computer perché gli hacker hanno crittografato i vostri file e chiedono un sacco di soldi in cambio della chiave di decrittazione. Nella maggior parte dei casi, gli aggressori rubano anche dati aziendali sensibili e minacciano di pubblicarli. Nell’ipotesi migliore, le richieste di estorsione potrebbero interrompere gravemente le operazioni della vostra azienda per giorni. Nella peggiore, potrebbero rovinarne la reputazione e farla fallire. Le aziende che ne sono vittima spesso cercano aiuto rivolgendosi a un mini settore industriale di negoziatori di ransomware esperti nel rispondere a tali attacchi. Il loro compito è parlare con gli hacker, con il fine ideale di assicurarsi in tal modo una forte riduzione della richiesta di riscatto. Si occupano anche di organizzare il pagamento in bitcoin o altre criptovalute, la forma di riscatto preferita dagli hacker perché è difficile da tracciare. Secondo la società di sicurezza informatica Sonicwall, gli attacchi di ransomware hanno prosperato durante la pandemia da Covid, con il loro numero che è aumentato del 62% a livello globale lo scorso anno, fino a raggiungere quota 305 milioni di casi. Un’altra società di sicurezza, Purplesec, ha affermato che il costo mondiale per le imprese nel 2020 è stato di 20 mld di dollari, rispetto agli 11,5 mld dell’anno precedente.
La tendenza a lavorare da casa durante la pandemia, con molti dipendenti che hanno utilizzato dispositivi personali per accedere ai sistemi aziendali, ha offerto ai criminali informatici la possibilità di sfruttare una serie di nuove vulnerabilità. Basta, infatti, indurre i dipendenti a scaricare inconsapevolmente un software dannoso aprendo un allegato e-mail, facendo clic su un annuncio, o su un link.
Le piccole aziende, senza personale dedicato alla sicurezza IT, sono state tradizionalmente considerate dei facili bersagli per le bande di ransomware.
gli esperti dicono che adesso gli hacker preferiscono dedicarsi ad aziende più grandi, comprese quelle petrolifere, della logistica e manifatturiere, insieme ad agenzie governative, ospedali e scuole. A maggio, in uno dei più gravi attacchi ransomware registrati finora, hacker legati a una banda criminale russa hanno costretto a chiudere per diversi giorni un oleodotto che trasporta quasi la metà del carburante utilizzato sulla East Coast degli Stati Uniti, con acquisti determinati dal panico e pompe vuote in alcune stazioni di servizio. Colonial Pipeline, la compagnia attaccata, ha dichiarato di aver deciso di pagare un riscatto perché decine di milioni di americani fanno affidamento sull’oleodotto. Il Wall Street Journal ha riferito che Colonial ha pagato 4,4 mln di dollari in bitcoin (il 7 giugno il dipartimento di giustizia ha annunciato di aver recuperato gran parte di quei bitcoin, ndr). L’università dello Utah ha dichiarato di aver pagato un riscatto di poco più di 457mila dollari a luglio 2020 per evitare che informazioni riservate venissero divulgate online dopo che gli aggressori avevano interrotto l’accesso ai suoi computer. L’università ha collaborato con il suo provider di servizi assicurativi informatici e le forze dell’ordine, e si è consultata con un’azienda specializzata nella negoziazione di riscatti di cui non ha fatto il nome. “Tutte le informazioni e le indicazioni che abbiamo ricevuto indicavano
che l’autore della minaccia sarebbe passato all’azione se il riscatto non fosse stato pagato”, ha detto l’università. Con molte aziende riluttanti a parlare di violazioni della sicurezza e pagamenti di riscatto, alcuni esperti si domandano se la portata del problema sia molto più grande di quanto sia stato reso pubblicamente. “Abbia
mo assistito a negoziati per il riscatto per un valore di 50 mln di dollari - trattative ammesse pubblicamente
– e immagino che di molte altre non si sappia nulla per il semplice motivo che è la compagnia di assicurazione che sta pagando il riscatto”, afferma Andrei Barysevich, Ceo della società di monitoraggio delle frodi
Gemini Advisory, che si è occupata di diverse trattative di ransomware. Gli attacchi spesso provengono da Paesi come la Russia e le ex repubbliche sovietiche, tra cui Bielorussia, Ucraina e Moldavia, come anche dalla Turchia. A causa della loro natura internazionale e degli strumenti utilizzati da ignoti truffatori per evitare di essere rintracciati, i procedimenti giudiziari di successo a carico delle bande criminali di ransomware sono rari. Le richieste di un’azione internazionale più decisa per contrastare questa minaccia si stanno moltiplicando. Ad aprile un gruppo di società tech e le forze dell’ordine di Stati Uniti, Regno Unito e Canada si sono fatti promotori di uno sforzo internazionale più aggressivo per combattere il ransomware, compresa la punizione dei Paesi che non riescono a risolvere il problema. Più o meno nello stesso periodo, il Dipartimento di Giustizia americano ha creato una task force per fronteggiare le bande di ransomware. L’fbi sconsiglia di pagare il riscatto, poiché incoraggia ulteriori furti informatici e perché i profitti potrebbero essere utilizzati per finanziare la criminalità organizzata e il terrorismo. Ma pagare il riscatto è legale, purché non implichi l’invio di denaro a Paesi come Iran e Corea del Nord o il pagamento di criminali informatici che siano nella lista dei sanzionati del Dipartimento del Tesoro degli Stati Uniti. Il primo segnale che un’azienda è stata colpita da un attacco ranma
somware spesso arriva solo dopo che i dipendenti non sono in grado di accedere ai propri computer o utilizzare la posta elettronica. Un unico file non crittografato dà agli interessati la cattiva notizia e spesso indirizza le vittime a un sito web con un orologio che conta i minuti che mancano a una determinata deadline. Di solito a quell’orologio, spiega il negoziatore Minder, è collegata una minaccia: scaduto il tempo il riscatto raddoppierà. Oppure gli hacker pubblicheranno i dati rubati online. Ma, aggiunge l’esperto, spesso è solo una falsa deadline, volta a mettere pressione. Se l’azienda o l’organizzazione interessata ha eseguito il backup dei propri dati ed è sicura di poter riprendere le operazioni rapidamente dopo un attacco ransomware, potrebbe decidere di non parlare con gli hacker. Un’azienda che invece, come accade spesso, si fa cogliere impreparata, o a cui sono stati rubati dati sensibili, potrebbe non avere altra scelta che negoziare, di solito attraverso una finestra di chat dal vivo fornita dagli hacker. I negoziatori consigliano alle aziende colpite da ransomware di cercare l’aiuto di una compagnia assicurativa o di uno studio legale specializzato in violazioni dati (saranno loro a decidere se ha o meno senso coinvolgere un mediatore per il riscatto). Inoltre in genere raccomandano alle vittime di contattare le forze dell’ordine.
Nei primi tre mesi dell’anno, il pagamento medio per riscatto è stato di 220mila dollari, con un aumento sbalorditivo del 43% rispetto al trimestre precedente, secondo la società di negoziazione di ransomware Coveware. L’aumento è stato causato da una manciata di bande criminali estremamente attive che hanno colpito vittime di grandi dimensioni con richieste di riscatto elevate. L’obiettivo finale di Minder è ridurre l’eventuale pagamento del riscatto ad appena il 10% della domanda iniziale. Il massimo che ha mai pagato per conto di un cliente, una grande società di ingegneria di cui preferisce mantenere riservata l’identità, è stato di 2,75 mln di dollari, una somma dovuta al fatto che l’azienda aveva chiesto di ridurre al minimo la trattativa in modo da poter tornare a lavorare rapidamente. La società di Minder addebita una tariffa oraria per i suoi servizi, con un limite a seconda delle dimensioni del cliente. La maggior parte delle aziende finisce con un conto da 20.000 a 25.000 dollari, spiega, ma in qualche occasione la sua azienda ha lavorato gratuitamente, ad esempio nel caso di imprese piccole o no profit. In una di queste trattative, Minder ha cercato di convincere gli hacker a rinunciare a qualsiasi pagamento perché l’obiettivo era un ente di beneficenza per il cancro, ma alla banda questo non è piaciuto. “Li hanno fatti pagare comunque ”, dice. Di recente, ad aggravare il problema del ransomware è intervenuto l’avvento del “ransomware as a service”, in cui gli sviluppatori di software concedono in leasing il loro ransomware ad altri soggetti in cambio di una quota dei proventi del riscatto o di un canone di abbonamento. Ciò ha reso più facile l’accesso a questo tipo di attività ai criminali tecnicamente poco esperti e meno prevedibili. “È un po’ come la mafia rispetto a una gang di strada. La mafia ha un codice, si comporta in un modo molto specifico”, dice Minder. “Questi attori più piccoli che acquistano solo la piattaforma non hanno regole e non si preoccupano davvero dei risultati a lungo termine, quindi non necessariamente onorano sempre l’accordo”. Le organizzazioni possono tutelarsi contro gli attacchi ransomware stipulando un’assicurazione con una compagnia di assicurazioni come AIG o Coalition. In genere le polizze coprono il costo del riscatto e del ripristino dei sistemi informatici. In qualità di responsabile Incident Response di Coalition, Leeann Nicolo è la prima a ricevere la chiamata quando un cliente viene colpito, sebbene la società si avvalga di esperti esterni per gestire le trattative. La manager dice che i riscatti sono aumentati di 10 volte da quando ha iniziato a lavorare in questo campo nel 2015, quando una richiesta di 50.000 dollari era un grosso problema. “Negli ultimi tempi, è abbastanza comune che la domanda sia di milioni”, afferma. Tra i rischi di pagare, avverte, c’è la “doppia estorsione”, quando i criminali informatici fanno il doppio gioco con le loro vittime. Nicolo spiega così di che si tratta: “Dopo aver effettuato il primo pagamento, loro tornano alla richiesta originale. Quindi è come pagare due volte”.