Gli attacchi informatici con estorsione sono cresciuti a dismisura nella prima metà dell’anno oltre Atlantico. Ma anche in Italia… L’avvocato Mele (Gianni & Origoni): “Sempre più spesso sono un diversivo per coprire le tracce di un’offensiva per spionaggio. Serve una norma che vieti i pagamenti”
Analizzando i primi sei mesi del 2021, il Financial Crimes Enforcement Network, bureau del dipartimento del Tesoro degli Stati Uniti, ha individuato transizioni di bitcoin in uscita per un valore totale di circa 5,2 miliardi di dollari (pari a 4,5 miliardi di euro) che probabilmente sono legate alle prime dieci varianti di attacchi ransomware più comunemente segnalate.
Nel documento “Financial Trend Analysis” relativo al ransomware nel primo semestre del 2021, il bureau ha identificato 177 indirizzi di portafogli Cvc (moneta virtuale convertibile) utilizzati per i pagamenti legati a questo tipo di attacchi informatici dopo aver analizzato 2.184 Sar (rapporti di attività sospette) presentati tra il 1° gennaio 2011 e il 30 giugno 2021, e che riflettono 1,56 miliardi di dollari in attività sospette. È sulla base dell’analisi blockchain delle transazioni legate a questi 177 portafogli, che il bureau ha tratto la cifra di 5,2 miliardi di dollari.
Il Bureau ha anche collegato queste transazioni a un totale di 590 milioni di dollari esposti da 458 transazioni segnalate e 635 Sar presentate da istituzioni finanziarie nei primi sei mesi di quest’anno. “Secondo i dati generati dalle Sar legate al ransomware, la media dell’importo totale mensile sospetto medio delle transazioni ransomware era di 66,4 milioni di dollari”. Il bitcoin è “il metodo di pagamento più comune legato al ransomware nelle transazioni segnalate”.
Il valore totale delle Sar legate al ransomware dei primi sei mesi del 2021, 590 milioni di dollari, supera già i 416 milioni di dollari riportati per l’intero 2020. Anche le 635 Sar depositate fino a giugno 2021 sono in crescita rispetto alle 487 segnalate in tutto l’anno scorso. Dalle segnalazioni presentate nel periodo di tempo analizzato, il bureau ha anche identificato 68 varianti di ransomware attive (le più comunemente segnalate sono state REvil/Sodinokibi, Conti, DarkSide, Avaddon e Phobos), così come i primi dieci ransomware con più vittime e più alti riscatti richiesti.
Il rapporto del bureau è stato pubblicato a poche ore di distanza dalla Counter-Ransomware Initiative, riunione convocata dall’amministrazione statunitense di Joe Biden in occasione del mese della consapevolezza sulla sicurezza cibernetica e tenutasi la scorsa settimana con la partecipazione di 32 governi. Il documento finale suona come un avvertimento a Russia e Cina, come raccontato su Formiche.net.
Obiettivo: evitare altri attacchi come quelli che avvenuti tramite le vulnerabilità di SolarWinds (di matrice probabilmente russa) o la falla in Microsoft Exchange (i sospetti, in questo caso, portano in Cina), oppure ancora come l’attacco contro la Regione Lazio. Come fare? Colpendo lì dove fa più male, cioè al portafoglio. In questo senso è da segnalare che il mese scorso il dipartimento del Tesoro ha sanzionato la piattaforma Suex, con sede nella Repubblica Ceca ma operante in Russia, che avrebbe contribuito a riciclare più di 160 milioni di dollari in fondi illeciti per vari gruppi criminali specializzati negli attacchi ransomware.
Così, i governi partecipanti alla riunione hanno deciso di individuare alcune aree per un’azione comune: condivisione di informazioni su cyber-attacchi e indagini, resilienza delle reti (spingendo anche le aziende a fare la loro parte rafforzando la loro sicurezza), contrasto ai meccanismi finanziari utilizzati per riciclare i pagamenti dei riscatti e impegno diplomatico contro “paradisi” che ospitano gli hacker.
Tra i 32 riuniti via Zoom alla riunione convocata dalla Casa Bianca c’era anche l’Italia. Che, spiega l’avvocato Stefano Mele, partner dello studio Gianni & Origoni “come la maggior parte dei Paesi occidentali, vive una vera e propria emergenza a causa degli attacchi ransomware, in particolar modo da due anni a questa parte”. Anche nel nostro Paese, infatti, prosegue l’esperto, “continuano a crescere con percentuali spaventose. E soprattutto crescono non solo sotto il profilo della quantità, ma anche e soprattutto sotto quello della qualità dei soggetti attaccati. Peraltro, soprattutto nei casi in cui la vittima sia un attore di alto profilo, come per esempio un soggetto che eroga servizi essenziali per i cittadini o che svolge una funzione essenziale per gli interessi dello Stato, un attacco ransomware è sempre più spesso un semplice diversivo per coprire le tracce di un attacco informatico condotto per finalità di spionaggio, al fine di rendere più ancora più complicate le indagini”.
Sfogliando il rapporto del Tesoro statunitense, ma anche considerando la situazione italiana ed europea, l’avocato Mele osserva: “Ci si chiede se il legislatore non debba cominciare a pensare a una norma che vieti il pagamento dei riscatti derivanti dal ‘sequestro dei dati’, ovvero da attività estorsive svolte attraverso o in conseguenza di attacchi informatici, come già da tempo accade in Italia e non solo nel caso dei sequestri di persona. È un dibattito attualmente molto acceso negli Stati Uniti, forse è il momento che se ne cominci a discutere anche da noi”, conclude.