Nicola Buonanno, SEMEA Sr Regional Director di Chainalysis, spiega come catturare i responsabili degli attacchi ransomware grazie alla tracciabilità delle criptovalute.
Funzionalità di monitoraggio più sofisticate, una migliore istruzione delle forze dell’ordine e un aumento degli investimenti nella sicurezza informatica delle aziende renderanno le criptovalute fondamentali nella guerra alla criminalità informatica.
Quando si tratta di ransomware, le criptovalute hanno un problema di immagine. Sebbene i ransomware esistano da più tempo rispetto alle criptovalute, i Bitcoin sono attualmente lo strumento di pagamento più utilizzato per queste attività illecite. Inoltre, molti aggressori operano impunemente perché i benefici superano i costi e fino a quando questa equazione non cambierà, vedremo più attacchi: non a caso nessun’altra categoria di criminalità basata sulle criptovalute ha avuto un tasso di crescita più elevato.
La nostra ricerca ha dimostrato che la cifra pagata dalle vittime di ransomware è aumentata del 344% nel 2020 e non ha mostrato alcun segno di rallentamento: ad agosto 2021, gli aggressori ransomware hanno sottratto alle vittime almeno 250 milioni di dollari in criptovaluta.
Sebbene questi numeri siano sbalorditivi e rappresentino un’enorme sfida da vincere, in futuro le criptovalute verranno riconosciute come uno strumento inestimabile per limitare gli attacchi informatici ed eliminare le attività illecite.
Infatti, uno dei più grandi equivoci sulle criptovalute è che siano anonime e non rintracciabili. Ma, operando su registri blockchain pubblici e immutabili, questi asset sono più trasparenti rispetto alla maggior parte di altri metodi di pagamento. Grazie allo sviluppo della conoscenza e delle capacità di tracciamento digitale, le criptovalute stanno rapidamente diventando un alleato fondamentale per il tracciamento e la prevenzione della criminalità informatica.
Possiamo imparare moltissimo sulle operazioni degli attori ransomware seguendo le loro movimentazioni sulla blockchain. Sappiamo che le organizzazioni di ransomware utilizzano un modello Ransomware as a Service (RaaS), in cui gli aggressori, noti come affiliati, “affittano” un particolare ceppo di ransomware dai suoi creatori o amministratori in cambio di una parte del furto.
Queste organizzazioni dipendono anche da servizi di terze parti, che possono aiutare i criminali informatici a eseguire attacchi più efficaci. Questi strumenti, disponibili sui mercati darknet, includono bulletproof web hosting, servizi di registrazione di domini, botnet, servizi proxy e servizi di posta elettronica, strumenti di hacking e strumenti per ottenere gli accessi di vittime che sono già state compromesse. Si aggiungono marketplace di dati rubati, comprese password e informazioni di identificazione personale e persino credenziali compromesse e servizi post-attacco come call center sotterranei.
L’analisi della blockchain rivela che questi fornitori di servizi illeciti sono essenziali per l’ecosistema ransomware e che il modo migliore per sconfiggere questi crimini è interrompere la catena di approvvigionamento del ransomware, composta da sviluppatori, aggressori, fornitori di servizi, riciclatori e punti di prelievo. E l’unico modo per identificare le attività questi attori è proprio attraverso uno studio della blockchain.
Seguendo questo approccio è stato possibile combattere il ransomware NetWalker. Nonostante il passaggio dalla criptovaluta a opzioni meno trasparenti possa rendere più difficili le indagini sul ransomware, l’analisi proattiva dei dati blockchain è comunque in grado di identificare e mappare attori e servizi ransomware, portando alla prevenzione di future campagne.
Si è discusso sul fatto che i criminali si potrebbero rivolgere alle cosiddette privacy coin come Monero, ma queste presentano degli svantaggi: infatti, non sono liquide come Bitcoin e altre monete, soprattutto perché i mercati di criptovalute si sono rifiutati di scambiarli e li hanno cancellati dalle loro liste a causa di problemi normativi. In definitiva, la criptovaluta è utile ai criminali solo se possono utilizzarla per acquistare e vendere beni e servizi o incassare e questo è molto più difficile con le monete private.
Oltre ai vantaggi della trasparenza della criptovaluta, il panorama finanziario è in rapida evoluzione e la maggiore esperienza di forze dell’ordine e aziende potrebbe portare a una riduzione degli attacchi ransomware nel prossimo periodo.
I legislatori, le autorità di regolamentazione e le forze dell’ordine stanno rapidamente imparando che una migliore educazione in questo ambito è essenziale per le loro operazioni.
In Chainalysis abbiamo scoperto che, una volta che queste organizzazioni capiranno come meglio utilizzare le criptovalute a proprio vantaggio, queste si trasformeranno in strumenti effettivamente utili per limitare i crimini informatici.
Allo stesso modo, le aziende che aumentano i propri budget per la sicurezza informatica sono in grado di ridurre la loro vulnerabilità digitale: secondo la ricerca di Gartner, la spesa mondiale per la sicurezza e la gestione del rischio nel 2021 ha superato i 150 miliardi di dollari. Tuttavia, ciò dipenderà dal fatto che la curva di spesa per la sicurezza sia più ripida della curva di crescita di nuovi attori e campagne di ransomware.
Nel complesso, sappiamo che il ransomware è qui per restare ma, supponendo che l’adozione globale delle criptovalute continui ad aumentare, che l’istruzione delle forze dell’ordine migliori e che aumentino gli investimenti nella sicurezza informatica aziendale, la sua minaccia sarà molto meno preoccupante.
