Prima della fine degli anni ’90, i gruppi terroristici erano spesso sotto la lente di ingrandimento delle forze dell’ordine come ordinaria criminalità, ma non erano percepiti come una priorità dal punto di vista della sicurezza nazionale. Negli Stati Uniti, venivano perseguiti dall’FBI in collaborazione con la polizia internazionale, con contributi anche da parte di unità operative dedicate specifiche sparse sul territorio e membri della comunità di intelligence. Gli attacchi dell’11 settembre hanno cambiato tutto; il terrorismo è stato di colpo elevato a principale minaccia per la sicurezza nazionale e questo suo nuovo status ha portato con sé misure senza precedenti: nuove strategie, tattiche, risorse, tecnologie e leggi appositamente create.
Oggi assistiamo a un cambiamento simile nel modo in cui il governo americano ha scelto di affrontare la criminalità informatica. Il Dipartimento di Giustizia ha dichiarato che il ransomware sarà trattato con lo stesso livello di vigilanza del terrorismo. Il direttore dell’FBI Christopher Wray ha di fatto paragonato l’attuale panorama delle minacce informatiche alla sfida imposta dalle conseguenze dell’11 settembre e diversi funzionari hanno seguito l’esempio nelle loro dichiarazioni.
Durante l’udienza di conferma della sua nuova nomina a National Cyber Director, Chris Inglis – probabilmente l’individuo con più esperienza nella lotta contro gli hacker di Stato e non – ha affermato che il governo degli Stati Uniti deve “riprendere in mano la situazione, dopo aver ceduto l’iniziativa per troppo tempo ai criminali e alle nazioni che li spalleggiano… e fare pagare le conseguenze a coloro che vogliono tenerci in un costante stato di rischio”.
Questo nuovo senso di urgenza si estende a tutti i centri di potere della sicurezza nazionale americana, in particolare alla comunità dell’intelligence, e porterà sicuramente a un cambiamento consistente nelle strategie dei criminali informatici, dal punto di vista del calcolo del rischio prima di condurre gli attacchi, nonché della loro capacità di operare liberamente.
Per quanto riguarda l’approccio strategico, l’approccio dell’antiterrorismo ben si adatta: “Seguire gli spostamenti di denaro, infiltrarsi e influenzare le comunicazioni e, infine, fare pressione su tutti i rifugi sicuri, sia online che geografici.”
Una strategia che è finalizzata a interrompere le attività dei Gruppi Ransomware, causando in primis una perdita di fiducia degli hacker nei meccanismi di pagamento e/o la necessità di richiedere più passaggi e impiegare maggiori risorse nell’amministrazione, distogliendo l’attenzione dalla conduzione delle operazioni di attacco.
In secondo luogo, ponendo dubbi sulle capacità delle proprie reti e accresce il timore che ci siano degli infiltrati e, di conseguenza, impone un impegno maggiore di tempo per controllare i contatti e scambiare comunicazioni piuttosto che condurre le operazioni.
Infine, con i continui traslochi, il cambiamento delle sedi fisiche e la necessità per i cybercriminali di ricostruire le infrastrutture confiscate, che rendono più difficile condurre le operazioni.
Tuttavia, anche se l’impegno dichiarato dal Dipartimento di Giustizia è lodevole, non sarà sufficiente per smantellare la criminalità informatica. La raccolta e l’analisi dell’intelligence necessarie per condurre con successo queste indagini non possono essere attivate in un istante e avranno un costo legato al personale dell’intelligence, esperti e risorse tecniche che oggi sono già troppo scarse.
Ci vorrà uno sforzo più ampio per fermare il ransomware e le sue future iterazioni, pensando ad una campagna di inseguimento accompagnata da uno sforzo difensivo che accomuni i settori pubblico e privato, per derubare gli attori del ransomware dei guadagni che finanziano la loro attività.
Christopher Wray recentemente ha sottolineato anche questo punto parlando di “una responsabilità condivisa” nel combattere il crimine informatico perché anche se le azioni offensive e le operazioni di intelligence possono mettere sotto pressione i gruppi ransomware, il vantaggio reale in questa battaglia si ottiene nella fase di difesa.
Le violazioni perimetrali, infatti, sono inevitabili; le organizzazioni che stanno contrastando efficacemente il ransomware sono quelle che sanno che la violazione avverrà e concentrano i propri sforzi sulla comprensione del comportamento dei propri sistemi. La differenza tra diventare una vittima di ransomware e interrompere un attacco è, infatti, nella capacità di rilevare e rispondere immediatamente alle azioni dannose interne all’ambiente aziendale. La tecnologia di sicurezza basata sull’intelligenza artificiale si è dimostrata efficace in questo senso, bloccando le minacce in modo mirato ed evitando costose interruzioni delle operazioni.
È incoraggiante vedere l’amministrazione statunitense elevare il crimine informatico a una priorità di sicurezza nazionale, anche se non potrà affrontarlo da solo. Mentre la comunità dell’intelligence affamerà queste bande criminali, difese migliori renderanno più difficile fin da subito estorcere i pagamenti. In sintesi, abbiamo bisogno che tutte le parti coinvolte accrescano le difese collettive, impedendo a questi gruppi di infliggere danni significativi, anche dopo che sono riusciti a penetrare i sistemi.
Di Marcus Fowler, Director of Strategic Threat di Darktrace
