Lo scacco agli attacchi DDoS cambia davvero le regole di ingaggio in materia di estorsioni informatiche?

La proliferazione di violazioni degli account, attacchi DDoS (Distributed Denial of Service), ransomware e vere e proprie estorsioni informatiche ai danni di persone ed enti non solo sta sovvertendo lo scenario degli attacchi di hacking, ma solleva anche dubbi sulle nostre regole di ingaggio. Come possiamo pensare di affrontare tutto questo sapendo che i criminali informatici giocano la partita seguendo regole tutte loro?

Il primo elemento che ha suscitato questa considerazione è il recente arresto di persone sospettate di far parte del gruppo di estorsione informatica DD4BC (DDoS for Bitcoin). Nonostante la gang di cybercriminali abbia accusato il colpo di questi arresti, una nuova ondata di ransomware ha immediatamente colpito il cloud. In altre parole, anche se questi soggetti sono forzatamente usciti di scena c’era subito qualcun altro pronto a prenderne il posto, perché convinto che la ricompensa (dei riscatti pagati) valesse di gran lunga il rischio (di essere acciuffati).

Il secondo aspetto, che è per me ancor più rilevante dell’intercambiabilità dei soggetti coinvolti negli attacchi di ransomware e in altri crimini online correlati, è l’osservazione avanzata da Al Pascual, responsabile delle procedure antifrode e di sicurezza presso Javelin Strategy & Research. Pascual suggerisce che se da un lato questi recenti arresti dimostrano chiaramente che gli autori delle estorsioni DDoS possono essere individuati, assicurati alla giustizia e perseguiti legalmente, dall’altro c’è carenza di cooperazione internazionale tra i vari Paesi, così come mancano trattati di estradizione. Fermare questi tipi di crimini nei loro percorsi virtuali è semplicemente irrealistico, dal momento che alcune località in cui nasce il ransomware si trovano prevalentemente appena oltre i confini di applicazione della legge e perseguibilità.

Lotta convenzionale e scontro asimmetrico

È la considerazione di Pascual, per sua parte, a sottolineare le regole di ingaggio a cui accennavo in precedenza.

Nonostante queste “regole” possano essere assimilabili al contesto dei conflitti armati (pensiamo all’obbligatoria Convenzione di Ginevra o a come l’America emani disposizioni ad hoc per ridurre il numero di caduti civili nelle zone di guerra), quando si tratta di fermare gli autori di estorsioni come il gruppo DD4BC tali norme si concretizzano nel nostro modo di percepire e contrastare questi criminali su base continua.

La percezione (che personalmente ritengo veritiera) è che i criminali di questo tipo sappiano agire in modo più rapido e siano più scaltri dei nostri protocolli di sicurezza semplicemente perché hanno la possibilità di acquistare gli strumenti necessari e condividere le informazioni in modo estremamente semplice e veloce. Diversamente dall’approccio di molti alle proprie misure di sicurezza (un dubbio mix di patch, applicazioni antivirus e imprudenza fondata su un’estrema fiducia nella sorte), gli autori delle estorsioni informatiche non sono vincolati a confini geo-politici, policy aziendali o regolamenti governativi.

Al contrario, colludono e cospirano gli uni con gli altri secondo regole di ingaggio adottate fin dal primissimo attacco DDoS sferrato ai nostri danni: nel sottobosco del crimine informatico, nella parte oscura del web e sui social media. Nel contempo, molti enti del settore privato e pubblico devono affidarsi a una condivisione delle informazioni che non sempre genera con la dovuta tempestività o non fornisce affatto i tipi di dati e nozioni approfondite necessari per contrastare con sufficiente efficacia gli odierni attacchi dei cybercriminali (ad esempio, gli attacchi zero-day), per non parlare dei sempre più frequenti e spietati attacchi DDoS.

In altri termini, qualunque sia il decalogo a cui ci siamo attenuti finora rispetto a come fronteggiare questo genere di minacce, si tratta di regole obsolete o che presto saranno tali.

Il valore della condivisione dell’intelligence

Come possiamo quindi sperare di combattere questi tipi di minacce in futuro? Senza dubbio possiamo continuare ad auspicarci un numero maggiore di arresti e pensare di adottare una policy uniforme che impedisca indistintamente a tutti i business di pagare un riscatto per i propri dati. Nel frattempo però c’è molto da fare nell’ottica di una condivisione dell’intelligence globale più approfondita e coerente tra tutti i settori. Colmare le lacune di informazioni è l’unico modo certo per riparare tutte le falle del proverbiale sistema di sicurezza e mantenerne l’integrità a lungo termine.

Indubbiamente, già da tempo Internet ha bypassato i firewall, i confini, i regolamenti e perfino le misure di sicurezza che abbiamo implementato per tutelare noi stessi e gli enti da cui ormai dipendiamo e in cui riponiamo fiducia. Questo non vuol dire che dovremmo arrenderci e continuare a sborsare risorse per le estorsioni informatiche e gli attacchi DDoS. Al contrario, ciò dovrebbe spingerci ancor più a collaborare con professionisti della sicurezza e organizzazioni internazionali di vari settori per riunire l’intelligence necessaria per continuare a proteggere il nostro business.

Ricordiamoci che dalle conseguenze scaturiscono i comportamenti, giusti o sbagliati che siano, e che senza delle reali conseguenze le regole di ingaggio non cambieranno mai.

Per saperne di più sulle frodi e sulla Risk Intelligence RSA, segui @RSAFraud

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments