Nel novembre 2021, il Dipartimento del Tesoro degli Stati Uniti ha annunciato una partnership con Israele per combattere il ransomware. Poiché gli aggressori di ransomware creano organizzazioni globali sempre più collaborative, è incoraggiante vedere che anche i difensori collaborano a livello transfrontaliero. Il volume degli attacchi ransomware, in particolare alle infrastrutture critiche, ha aumentato l'attenzione del governo e la sorveglianza del settore. Anche se gli sforzi coordinati delle forze dell'ordine hanno soffocato le bande di ransomware nel breve termine, non c'è motivo di credere che il ransomware scomparirà presto.
Il ransomware è emerso come una delle maggiori minacce alla sicurezza informatica negli ultimi anni. Secondo la Ransomware Task Force, nel 2020 ci sono stati almeno 2.400 attacchi ransomware e le vittime di ransomware hanno pagato 350 milioni di dollari, con un aumento del 311% rispetto all'anno precedente. Sarà interessante osservare come si modificheranno queste statistiche alla fine del 2021, considerando quanti attacchi ransomware di alto profilo si sono verificati nell'ultimo anno.
Ad esempio, l'attacco ransomware di Colonial Pipeline è stato probabilmente l'attacco ransomware di più alto profilo dello scorso anno, poiché ha causato un'interruzione del servizio di una settimana per la società energetica, oltre a un riscatto di quasi 5 milioni di dollari. L'attacco è stato condotto da DarkSide, una gang di ransomware che ha dichiarato: "Siamo apolitici, non partecipiamo alla geopolitica, non c'è bisogno di legarci a un governo definito e di cercare le nostre motivazioni".
Le bande di ransomware, come DarkSide, si sono evolute negli ultimi anni per diventare più organizzate nelle loro operazioni e più mirate nei loro attacchi (la cosiddetta "caccia grossa" per ottenere maggiori pagamenti finanziari). Nella rete oscura esiste una fiorente rete criminale sotterranea di partner liberamente affiliati, ognuno con i propri ruoli e responsabilità.
I broker di accesso iniziale sono specializzati nel furto di credenziali di accesso, che vendono ad altri criminali. Una volta compromessa la vittima, molte bande di ransomware offrono uno staff di supporto che negozia il riscatto o fornisce istruzioni su come effettuare il pagamento. Il ransomware-as-a-service (RaaS) ha mercificato gli attacchi ransomware per i criminali che non dispongono di maggiori competenze tecniche, uno specchio oscuro delle soluzioni di cybersecurity destinate a fermarli. Il punto è che gli aggressori di ransomware operano come organizzazioni internazionali che collaborano con criminali di tutto il mondo.
Una risposta internazionale
Dopo l'attacco al Colonial Pipeline, l'amministrazione Biden ha emesso un ordine esecutivo sul miglioramento della sicurezza informatica della nazione, che invitava il settore privato a collaborare con il governo federale per promuovere una migliore sicurezza informatica. Un mese dopo, nel giugno 2021, il Dipartimento di Giustizia ha recuperato 2,3 milioni di dollari da DarkSide tracciando i suoi pagamenti. DarkSide si è sgretolata sotto la pressione e ha annunciato la cessazione delle attività, portando molti ricercatori di sicurezza a credere che ci sia stato un attacco coordinato alla sua infrastruttura.
L'ordine esecutivo del Presidente Biden ha posto le basi per una serie di annunci sulla sicurezza informatica nel 2021, tra cui un memorandum sulla sicurezza nazionale per il miglioramento della sicurezza informatica dei sistemi di controllo delle infrastrutture critiche e lo sviluppo di un modello di maturità a fiducia zero. Il governo esorta a una maggiore collaborazione, ma secondo un alto funzionario della Casa Bianca, "il punto che vogliamo sottolineare è che il governo federale non può farlo da solo: Il governo federale non può farcela da solo.La sicurezza delle nostre infrastrutture critiche richiede uno sforzo di tutta la nazione e l'industria deve fare la sua parte".
Oltre alle partnership pubblico-privato, il governo si sta impegnando anche con i Paesi alleati. La partnership recentemente annunciata dal Dipartimento del Tesoro degli Stati Uniti con Israele per combattere il ransomware è vantaggiosa per entrambi i Paesi, dato che il ransomware e i cyberattacchi operano senza confini.
Alcune delle soluzioni di cybersecurity più avanzate della comunità internazionale sono presenti sia in Israele che negli Stati Uniti. Uno dei motivi per cui Israele produce così tante soluzioni di cybersecurity è che il servizio militare nazionale è obbligatorio per tutti i suoi cittadini; le metodologie di cybersecurity offensiva e difensiva delle Israel Defense Forces hanno portato alla creazione di molte tecnologie innovative. Pertanto, questa nuova partnership dovrebbe consentire uno scambio bilaterale di buone pratiche e tecnologie all'avanguardia.
Inoltre, il National Cyber Directorate israeliano ha recentemente lanciato una dottrina di difesa informatica rinnovata. Questa dottrina si basa su un quadro di sicurezza comune (CSF) del National Institute of Standards and Technology (NIST) statunitense. Ciò significa che il momento della partnership tra Stati Uniti e Israele è ideale per consentire uno scambio di informazioni, basato sui controlli di sicurezza informatica aggiornati di Israele, che includono raccomandazioni specifiche per combattere il ransomware.
Poiché gli attacchi di ransomware sono sempre più frequenti e si sono intensificati fino a colpire le infrastrutture critiche, questa task force congiunta ha il compito di prevenire gli attacchi di ransomware prima che si verifichino danni che non possono essere annullati. Con il recente successo nel chiudere almeno temporaneamente REvil, BlackMatter e DarkSide, ci si deve aspettare che questi gruppi tornino con rinnovata vendetta e che nuovi gruppi emergano per riempire il loro vuoto, compresi potenti attori di minacce sostenuti da Stati nazionali.
Considerando l'aspetto di Stato-nazione degli attacchi ransomware, questa task force congiunta ha anche il potenziale di interrompere il finanziamento di organizzazioni terroristiche internazionali e altre entità ostili. Esistono già molti programmi internazionali di condivisione dell'intelligence, quindi questa nuova task force rappresenta un'opportunità per i difensori di "spostarsi a sinistra", eliminando il ransomware come fonte di finanziamento per il terrorismo e altri regimi oppressivi.
Nel campo della sicurezza informatica, non esiste una "pallottola d'argento" in grado di proteggere le organizzazioni, per questo la collaborazione è così importante. Incoraggiare la collaborazione tra l'industria e il governo di tutto il mondo consente di creare maggiori sinergie in modo che queste organizzazioni dispongano delle migliori contromisure per proteggere le loro operazioni. Poiché gli aggressori di ransomware continuano ad avanzare nelle loro operazioni, è imperativo che anche le industrie critiche avanzino nella loro protezione. Poiché gli aggressori di ransomware continuano ad avanzare nelle loro operazioni, anche le industrie critiche devono migliorare la loro protezione.
