Criptovalute e ransomware

Criptovalute e Ransomware, sono due concetti molto moderni che stanno evolvendo e diffondendo di pari passo, con una velocità allarmante.

• Di che cosa si tratta?

• I due fenomeni sono collegati?

• Come mai gli Hacker chiedono di pagare i riscatti in criptovalute?

• Senza questi metodi di pagamento esisterebbero ancora i ransomware?

A questa e a molte altre domande risponderemo in questo articolo.

1. Cosa sono le criptovalute e in cosa si differenziano dalle valute reali
2. Che cosa è un ransomware
3. Cosa le rende popolari per i ricatti ransomware
4. Ransomware e Criptovalute, fenomeni in espansione
5. Ransomware e Criptovalute, un’evoluzione correlata
6. Possibili misure di contrasto
7. Commenti conclusivi

Il termine criptovaluta, in inglese cryptocurrency, indica una moneta virtuale il cui valore e la cui identità del proprietario sono sconosciute a tutti, meno che, ovviamente, al proprietario stesso.

Le criptovalute non devono essere confuse con i metodi di pagamento elettronici come bonifici e carte di credito: non hanno nulla a che vedere con queste ultime. In realtà non si tratta di valute intese in senso comune, ma di un valore virtuale che due privati accettano liberamente di scambiarsi in cambio di un prodotto o di un servizio. Lo stesso valore della moneta virtuale non è definito ma segue la legge di mercato.

In breve, è come se si fosse in un mercatino dell’usato, dove tutti contrattano e quindi il valore di un’oggetto è dato da quanto l’acquirente è disposto a pagare per averlo e quanto il venditore è disposto ad accettare per cederlo.

Nel caso delle criptovalute è il potere di acquisto della moneta virtuale ad essere “contrattato”: una moneta vale molto se ci sono dei venditori disposti a fornire servizi sofisticati per averla ma può anche valere 0, nel caso in cui non ci siano venditori disposti ad accettarle.

Il mercato delle criptovalute è in continua espansione, sebbene non sia eccessivamente diffuso per gli scambi commerciali.
E’ il metodo principe utilizzato dai criminali per scambi finanziari legati a pratiche illegali di qualsiasi tipo.

Un ransomware è uno del malware più temibili.
Solitamente, gli utenti si infettano con i ransomware quando scaricano un allegato infetto all’interno di un’email, navigando o mentre navigano su un sito web compromesso.

Una volta presente ed installato sul dispositivo, il software malevolo cripta in tutto l’archivio documentale presente sul dispositivo. La vittima viene informata dell’avvenuto attacco e riceve una richiesta di riscatto (ransomware note) al fine di riottenere una chiave che decripti i suoi file e riabiliti l’accesso al dispositivo.

In caso di mancato pagamento del malcapitato, i dati vengono eliminati o peggio, rivenduti.

Aziende di ogni dimensione sono rimaste vittima di questo tipo di attacco ed hanno reagito con strategie diverse.
I dati però confermano un trend di aumento allarmante del numero di attacchi ransomware ogni anno.
Sono attacchi estremamente remunerativi e quindi molto usati dai malintenzionati, anche se non proprio alla portata di tutte le organizzazioni criminali. Addirittura, esistono delle vere e proprie aziende che si occupano della stesura del codice ransomware al solo fine di venderli come prodotto sul dark web, sono i cosiddetti RaaS (Ransomware as a Service).

Ad essere attaccate, oltre alle aziende produttive sono anche ospedali, università, privati cittadini e associazioni umanitarie, segno che questi criminali non si fermano davanti a nulla pur di ottenere un profitto.

Le criptovalute hanno come caratteristiche:

• Garanzia di sicurezza ed anonimato
• Facilità, rapidità è irreversibilità delle operazioni
• Economicità
• Assenza di leggi e regolamentazioni.

L’insieme di queste peculiarità le rende ideali per i pagamenti di pratiche illecite e quindi anche per i riscatti dei ransomware.

L’identità dell’hacker è protetta, la transazione non può essere annullata a posteriori e non è possibile risalire all’identità delle persone che hanno scambiato il denaro virtuale. In breve tempo, il malintenzionato o l’organizzazione criminale può incassare il ricavato delle sue azioni illecite.

I ransomware sono la piaga informatica più diffusa in questi ultimi anni.

Il numero di attacchi si moltiplica costantemente, con la guerra in Ucraina che ha spinto ancora di più verso un ulteriore incremento questa minaccia.
Nei primi mesi del 2022 secondo il rapporto di Sophos, è stata rilevata una crescita del 78% degli attacchi di questo tipo rispetto al 2020.
Nello stesso periodo il 66% delle aziende intervistate aveva subito un attacco, con un riscatto medio che è quintuplicato rispetto ai tempi antecedenti la pandemia.

Di pari passo, assistiamo all’era d’oro delle criptovalute.
Tanto che l’ex capo del organismo americano per il controllo della validità legale delle transazioni finanziarie, ritiene che gli investitori legali in moneta virtuale siano indirettamente responsabili del dilagare della minaccia Ransomware. La facilità degli investimenti in criptovalute sembra incentivare le azienda a pagare il riscatto invece di imbarcarsi un una controffensiva.

Ciò nonostante sia oramai noto che pagare i criminali, non solo non garantisce l’effettivo ripristino dei sistemi ma espone l’azienda ad ulteriori attacchi.

Ci si potrebbe chiedere se l’evoluzione dei due fenomeni ransomware e criptovalute sia correlata.

Ai tempi di Wannacry, nel 2017, l’obbiettivo principale del malware era il sabotaggio, non tanto il guadagno.
A 5 anni di distanza la fioritura delle monete virtuali permette ai cybercriminali un netto cambio di mentalità: guadagnare tanto e in modo così sistematico modo non è mai stato tanto facile e sicuro per il loro anonimato.

Di conseguenza, secondo il Chainalysis 2021, tra il 2020 e il 2021 gli introiti in criptovalute a seguito di Ransomware sono quadruplicati.

Questo cambio prospettiva ha fatto si che nascessero numerosi gruppi di RaaS, organizzazioni che si comportano come delle “normali aziende”.
Addirittura alcune investono parte dei loro guadagni in opere di beneficienza.

Esistono alcuni rari casi in cui è stato annunciato il recupero una parte del riscatto, ad esempio nel caso della Colonial Pipeline e in cui è stato possibile il sequestro di alcuni borsellini elettronici, operazione annunciata da Israele contro Hamas.

Questi due casi e l’intenzione della commissione Europea di avviare un controllo più stretto sulle transazioni sospette, fanno ben sperare per il futuro anche se c’è da sottolineare che gli esiti di questi tentativi sono incerti e anche i casi sopra citati non sono verificabili.

Esistono alcune nazioni che per ovviare a questi problemi hanno deciso di mettere al bando qualsiasi tipo di criptovaluta . E’ quanto fatto per esempio da Algeria, Marocco e Nepal.

Tuttavia, è opportuno riflettere sul fatto che:

1. Il mondo virtuale è diverso da quello reale, i confini nazionali sono ben concreti nella realtà ma in rete non esistono confini netti.
   Specialmente nel caso di hacker e di sistemi crittografati e anonimi, potrebbe essere molto difficile far rispettare davvero questo divieto.
2. Il divieto non riguarda tutte le criptovalute ma solo quelle che garantiscono l’anonimato il che potrebbe essere percepito come una limitazione della libertà personale
3. Qualora anche tutte le nazioni dovessero decidere di bandirle, questo aumenterebbe nettamente le difficoltà per gli attaccanti e i fornitori di RaaS ma di sicuro non sarebbe la fine dei crimini informatici.

E’ evidente ormai che la diffusione delle criptovalute e l’esplosione degli attacchi ransomware sono fenomeni intensamente connessi.
Le prime, diffondendosi forniscono alle seconde un terreno fertile per espandere i loro affari.

Inoltre, si rischia di approdare ad una nuova era di terrorismo in cui diverse società o enti statali “combattono” per i temi che più gli stanno a cuore a colpi di infezioni malware, con conseguenze che sfociano anche nella vita reale delle persone. Come nel caso dell’attacco al Colonial Pipeline.

L’effettiva efficienza di questi sistemi di contrasto alla criminalità informatica non è prevedibile ma di sicuro nei prossimi anni il tema sarà sempre più dibattuto e ci sarà la necessità di interventi specifici.