Pagare o non pagare il riscatto ai cyber criminali?

La CNA Financial Corp. fattura quasi 12 miliardi di dollari, è quotata a Wall Street e figura costantemente nei primi dieci posti della classifica delle più grandi assicurazioni degli Stati Uniti. Qualche settimana fa ha prima contattato la FBI e il Dipartimento del Tesoro (Office of Foreign Assets Control, OFAC) con i quali ha condiviso le informazioni sul cyber attacco di cui era stata vittima e le (scarsissime) informazioni in suo possesso sull'identità del cyber criminale che la teneva sotto scacco; ha poi pagato il riscatto di 40 milioni di dollari per liberare i propri computer dal virus, preoccupandosi di precisare bene che la società ha rispettato, nella gestione di questa crisi, "tutte le leggi, i regolamenti e le linee guida pubblicate, comprese le linee guida 2020 dell'OFAC". Una nota che tenta di mitigare la reazione del legislatore e del governo: è vero, infatti, che la divulgazione dell'avvenuto pagamento di un riscatto non può che incoraggiare ulteriori attacchi.

La Rubrica - Intrusioni di Maskelyne

È altrettanto vero, però, che questa forma di criminalità informatica può determinare conseguenze drammatiche (proprio nel momento in cui scriviamo questo articolo, gli ospedali irlandesi e neozelandesi sono sotto attacco) i cui costi possono superare di gran lunga il valore del riscatto. Tra l'altro, la (sempre più frequente) presenza di una polizza assicurativa a copertura di Cyber Risk può mitigare l'effettivo esborso finale.

Le cronache sono molto ricche di notizie che trattano di attacchi cyber tramite ransomware e delle pesantissime conseguenze che stanno subendo molte organizzazioni (statali e private). Più raramente si discute dell'evoluzione economica del fenomeno e delle eventuali contromisure, tematiche che vorremmo affrontare nelle prossime righe.

Partiamo quindi da alcuni numeri, senza dimenticare di puntualizzare che gli attacchi ransomware, e in particolare i pagamenti dei relativi riscatti, vengono comunicati raramente, da qui la difficoltà nel raccogliere informazioni precise. Fatta questa premessa, secondo una stima di Palo Alto Networks (società californiana leader nel settore della Cyber Security), nel corso del 2020 il riscatto mediamente pagato è stato di circa 300.000 dollari, con una crescita del 171% rispetto all'anno precedente. Come già anticipato sopra, non mancano però i pagamenti milionari, come nel caso della Colonial Pipeline (il maggiore gasdotto di rifornimento degli USA) che ha confermato 4,4 milioni di dollari di riscatto corrisposto.

Naturalmente, negli ultimi anni sono stati compiuti sforzi significativi per mitigare ed affrontare la minaccia del ransomware, ma gli aggressori continuano ad avere successo. Per modificare queste dinamiche è indispensabile un approccio globale che possa influenzare il comportamento di tutti gli attori coinvolti.

Un ottimo spunto viene da quanto recentemente pubblicato dalla Ransomware Task Force, un gruppo di superesperti americani di Cyber Security.

Il loro report delinea un quadro completo composto da ben quarantotto azioni , funzionali a interrompere in modo significativo il modello di business del ransomware e mitigarne l'impatto, e organizzato attorno a quattro obiettivi principali:

• Definire e applicare una strategia globale coordinata a livello internazionale per "disincentivare" gli Stati dal garantire "paradisi sicuri" per i cyber criminali;
• Incentivare le organizzazioni con finanziamenti ad hoc e agevolazioni fiscali destinati ad aumentare la capacità di resilienza rispetto agli attacchi ransomware;
• Imporre la maggior trasparenza degli scambi in criptovaluta, in linea con le leggi esistenti per contrastare il finanziamento al terrorismo, l'antiriciclaggio, ecc.;
• normare e organizzare la capacità di reazione tramite agenzie governative in grado di reagire contrattaccando, anzi …

Contrastare il ransomware non sarà facile, non esiste un "silver bullet" per risolvere il problema rapidamente e alla radice. È però certo che la strategia attuale non ha portato a nessun buon risultato.