Gli attacchi ransomware rappresentano una sfida significativa per le organizzazioni, che spesso causano perdite finanziarie sostanziali e interruzioni operative. La pubblicazione "How Does One Negotiate with Ransomware Attackers?" di Sonia Boticiu e Fabian Teichmann, pubblicata sull'International Cybersecurity Law Review, affronta la questione critica degli attacchi ransomware e le complessità della negoziazione con gli aggressori. Lo studio fornisce una panoramica completa del processo di negoziazione del ransomware, concentrandosi sul periodo che va dal verificarsi di un attacco alla decisione di pagare il riscatto, e include un'analisi approfondita delle tattiche di negoziazione del gruppo Conti ransomware. Il documento esplora i primi passi della valutazione della situazione e della negoziazione, fino alle raccomandazioni sulle misure da adottare per ridurre al minimo i danni e i rischi.
Il primo passo è distinguere la natura dell'attacco ransomware. Gli attacchi ransomware sono diventati una minaccia significativa, sfruttando la mancanza di sicurezza di molte organizzazioni. Questi attacchi comportano un malware che nega alle vittime l'accesso ai propri dati o sistemi, chiedendo un riscatto per la loro restituzione. L'ascesa del ransomware-as-a-service (RaaS) ha ulteriormente aggravato il problema, consentendo agli aggressori di distribuire facilmente malware personalizzato attraverso il dark web. Ad esempio, attacchi di alto profilo come quelli a Colonial Pipeline e all'Università della California San Francisco hanno evidenziato il grave impatto del ransomware, spingendo molte organizzazioni a pagare il riscatto per ridurre al minimo le interruzioni. Tuttavia, questo approccio è pieno di rischi, tra cui potenziali attacchi futuri.
Le aziende dovrebbero adottare misure pre-attacco, con piani di risposta solidi, basati su framework come quelli del CISA, del NIST e del SANS Institute. Questi piani comprendono in genere cinque fasi: preparazione, identificazione, contenimento, eliminazione e recupero. Azioni immediate come la disconnessione dei dispositivi colpiti e l'identificazione del tipo di ransomware sono fondamentali per mitigare la diffusione e i danni.
Gli incidenti di ransomware possono richiedere la segnalazione obbligatoria agli enti normativi, a seconda delle leggi nazionali. Ad esempio, la Direttiva 2.0 sulla sicurezza delle reti e delle informazioni dell'Unione Europea prevede tale obbligo di segnalazione. Inoltre, le aziende devono assicurarsi che il pagamento del riscatto non violi le sanzioni internazionali, poiché molti gruppi di criminali informatici sono soggetti a sanzioni finanziarie. Inoltre, il pagamento dei riscatti può essere considerato un finanziamento alle organizzazioni terroristiche.
La decisione di pagare o meno il riscatto richiede il contributo di diverse parti interessate, tra cui il consulente legale generale, il direttore delle operazioni e, infine, l'amministratore delegato. Tuttavia, spesso si tratta di stabilire se l'assicurazione informatica dell'azienda coprirà il pagamento del riscatto. La preparazione prevede la registrazione di tutte le comunicazioni con gli aggressori e la comprensione del loro comportamento passato e della loro affidabilità. Le organizzazioni dovrebbero richiedere la prova della chiave di decrittazione. L'analisi della storia dell'attaccante può aiutare a determinare la sua credibilità e la probabilità di ridurre il riscatto.
Durante la negoziazione, assicuratevi che tutte le prove e le comunicazioni siano documentate e conservate. Questi specialisti sono abili nel negoziare con gli aggressori e spesso possono ridurre significativamente il riscatto. La comunicazione con gli aggressori avviene in genere attraverso canali criptati e il processo di negoziazione può prevedere più fasi di estorsione. Le trattative devono essere affrontate come transazioni commerciali, mantenendo la calma ed evitando qualsiasi indicazione di disperazione. Le organizzazioni non dovrebbero rivelare i dettagli della loro assicurazione informatica e dovrebbero chiedere più tempo per esplorare le opzioni di recupero. Anche dimostrare di avere difficoltà finanziarie può aiutare a negoziare un riscatto più basso.
Un esempio di caso citato dall'autore è Conti, noto per le sue tattiche aggressive, che utilizza un modello RaaS per distribuire il ransomware. Il loro doppio metodo di estorsione prevede non solo la crittografia dei file delle vittime, ma anche la minaccia di pubblicare o vendere i dati. Il processo di negoziazione con Conti include richieste iniziali, prove di capacità di decriptazione e potenziali minacce di intensificare l'attacco se le richieste non vengono soddisfatte.
Sebbene sia importante riconoscere che si tratta di un processo difficile, esistono misure preventive come l'educazione dei dipendenti sui rischi della cybersecurity, l'implementazione di solide politiche di sicurezza, l'investimento in un'assicurazione per la cybersecurity e il mantenimento di aggiornamenti software regolari.
Per ulteriori informazioni su questo argomento, si veda International Cybersecurity Law Review, 06.12.2023 (Fabian M. Teichmann & Sonia R. Boticiu). https://link.springer.com/article/10.1365/s43439-023-00106-w.