L'anno scorso c'era un po' di ottimismo. Sembrava che la marea si stesse trasformando in ransomware dopo che il governo degli Stati Uniti ha ottenuto una manciata di vittorie contro i criminali informatici, portando a termine questi attacchi sempre più dannosi: il Dipartimento di Giustizia ha sequestrato con successo $ 2.3 milioni di bitcoin che Colonial Pipeline ha pagato alla banda di ransomware DarkSide per recuperare i loro dati. , e mesi dopo ha avuto un ruolo nella caduta della famigerata banda di ransomware REvil.
Questo ottimismo fu di breve durata. Nonostante questa azione, sembra che il 2022 supererà lo scorso anno come anno peggiore mai registrato per gli attacchi ransomware; un recente segnalare mostra che gli attacchi sono aumentati dell'80% anno su anno e che i criminali informatici responsabili di questi attacchi hanno eluso facilmente le azioni delle forze dell'ordine sfruttando il ransomware-as-a-service o semplicemente rebranding.
"È chiaro che gli attacchi ransomware sono in aumento", afferma Matthew Prince, CEO di Cloudflare. "Nel settembre 2022, quasi un intervistato su quattro nel nostro sondaggio sui clienti ha riferito di aver ricevuto un attacco o una minaccia ransomware, il mese più alto finora del 2022".
Il peggior anno di attacchi ransomware
Il 2022 non è stato solo statisticamente l'anno peggiore per gli attacchi ransomware, ma anche il peggiore in assoluto. Mentre l'anno scorso gli hacker si sono concentrati su infrastrutture critiche e servizi finanziari, quest'anno l'attenzione si è concentrata sulle organizzazioni in cui possono infliggere il maggior danno.
In un attacco al distretto scolastico unificato di Los Angeles, gli hacker della Vice Society hanno fatto trapelare un tesoro di 500 gigabyte di dati sensibili, inclusi rapporti di precedenti condanne e valutazioni psicologiche degli studenti, mentre un attacco al fornitore di servizi IT Advanced ha lasciato il servizio sanitario britannico in difficoltà dopo che è stato costretto a cancellare gli appuntamenti e il personale si è affidato a prendere appunti con carta e matita.
Forse l'attacco più devastante del 2022 è avvenuto solo poche settimane fa, dopo che gli aggressori hanno violato il gigante australiano delle assicurazioni sanitarie Medibank e hanno avuto accesso a circa 9,7 milioni di dati personali dei clienti e dati sulle richieste di risarcimento per quasi mezzo milione di clienti. I dati rubati durante l'attacco includevano file riservati relativi ad aborti e malattie legate all'alcol.
Questi attacchi non mostrano solo che il ransomware sta peggiorando. Mostrano anche che il ransomware è un problema globale e che è necessaria un'azione globale per reagire con successo. All'inizio di novembre, il governo degli Stati Uniti ha iniziato a muoversi nella giusta direzione, annunciando che istituirà un'International Ransomware Task Force, o ICRTF, per promuovere la condivisione di informazioni e capacità.
"Questo è un problema globale, quindi i governi devono unirsi", afferma Camellia Chan, CEO e fondatrice della società di sicurezza informatica X-PHY. “Detto questo, la sola collaborazione non fornirà una soluzione. È più che firmare un accordo".
I serbatoi di carburante possono essere visti al Colonial Pipeline Baltimore Delivery a Baltimora, nel Maryland, il 10 maggio 2021. Il governo degli Stati Uniti ha dichiarato un'emergenza regionale il 9 maggio 2021, poiché il sistema di oleodotti della più grande compagnia di olio combustibile negli Stati Uniti è rimasto in gran parte chiuso , due giorni dopo un attacco ransomware.
Questa è un'opinione condivisa dalla comunità della sicurezza informatica: firmare accordi e condividere informazioni va bene, ma è improbabile che scoraggi i criminali informatici motivati finanziariamente che continuano a raccogliere i frutti di questi attacchi.
Per guadagnare terreno sui criminali informatici che continuano a ottenere un alto tasso di successo, i governi hanno bisogno di un nuovo approccio.
Maggiore collaborazione da parte dei governi
"Non puoi fermare il problema", afferma Morgan Wright, capo consulente per la sicurezza di SentinelOne. “Ci sono numerosi esempi di attori criminali transnazionali di ransomware e attori di stati-nazione identificati e accusati di vari crimini. Questi criminali vivono quasi sempre in Paesi che non hanno un trattato di estradizione con il Paese che ha emesso le accuse”.
"Un'area in cui vorrei vedere maggiori sforzi è nell'area della raccolta di informazioni umane", ha aggiunto Wright. “Abbiamo bisogno di una maggiore penetrazione degli attori statali e delle organizzazioni criminali. Troppo spesso, il ransomware è visto come un problema tecnico. Non è. È l'avidità umana che utilizza la tecnologia per raggiungere un obiettivo finale.
Questo elemento di avidità potrebbe anche essere oggetto di un'ulteriore regolamentazione del mercato delle criptovalute, che secondo molti potrebbe essere all'orizzonte. dopo il recente crollo di FTX. L'ex vicedirettore della CISA Bob Kolasky ha affermato che per scoraggiare definitivamente gli attori del ransomware, i governi devono ridurre gli strumenti finanziari disponibili per il loro utilizzo.
"Ciò include l'utilizzo della pressione normativa sul mercato delle criptovalute per rendere più facile il monitoraggio e il recupero dei pagamenti ransomware", afferma Kolasky, un'opinione condivisa da altri.
"Abbiamo bisogno che i governi svolgano un ruolo più importante nel bloccare la criptovaluta, che è l'attivatore delle strategie di monetizzazione degli aggressori", concorda David Warburton, direttore della società di networking F5 Labs, osservando: "Mentre le valute decentralizzate come il bitcoin non sono intrinsecamente cattive, né lo sono sono gli unici responsabili dell'epidemia di ransomware che stiamo affrontando, non si può negare che siano un fattore enorme.
"Sebbene il controllo e la regolamentazione sconfiggano in qualche modo l'intento originale delle valute decentralizzate, non si può sfuggire al fatto che senza Bitcoin, il ransomware semplicemente non esisterebbe", ha affermato Warburton.
Ma la legislazione non funzionerebbe a meno che non si tratti di uno sforzo globale, ha aggiunto: "Molti gruppi di ransomware operano da paesi che non hanno alcuna motivazione per aiutare coloro che vengono attaccati".
Questo è un problema che, come il ransomware stesso, è stato esacerbato dall'invasione russa dell'Ucraina, che ha posto fine a qualsiasi cooperazione tra Europa, Stati Uniti e Russia sulle operazioni di ransomware all'interno della Russia. Jason Steer, direttore della sicurezza delle informazioni presso il gigante dell'intelligence sulle minacce Recorded Future, ha affermato che questa è un'area che necessita immediatamente di maggiore sostegno da parte del governo globale.
"L'attenzione è diminuita in modo significativo nel 2022 a causa delle attività della Russia, da dove, infatti, molti gruppi operano in sicurezza", ha affermato Steer.
Anche se i governi unissero le forze per combattere in modo collaborativo il crescente problema del ransomware, è improbabile che abbia un effetto immediato. Gli esperti di sicurezza non si aspettano una tregua dal ransomware mentre entriamo nel 2023, poiché hacker sempre più abili sfruttano nuovi vettori di attacco e continuano a raccogliere i frutti finanziari.
“Ci sono governi che stanno lavorando per fornire più supporto e risorse. Ma non sarà mai abbastanza", afferma Wright. "I cattivi attori avranno sempre il sopravvento, ma dovremmo farli ripagare in modo significativo ogni volta che viene lanciato un attacco".
