I professionisti della sicurezza informatica che dovrebbero negoziare con gli aggressori ransomware sono ora accusati di facilitare gli attacchi ransomware. Il Dipartimento di Giustizia degli Stati Uniti ha annunciato le accuse contro due dipendenti di una società di negoziazione di sicurezza informatica e un co-cospiratore per hacking e distribuzione di ransomware.
Le persone lavoravano per DigitalMint, una società specializzata nella negoziazione con i criminali informatici per conto delle organizzazioni colpite dal ransomware. Un terzo sospetto, in precedenza responsabile della risposta agli incidenti presso un’altra azienda, è accusato di aver partecipato allo schema. L’accusa sostiene che i sospetti hanno hackerato aziende, rubato dati aziendali riservati e utilizzato ransomware sviluppato dal gruppo noto come ALPHV/BlackCat per estorcere alle vittime.
Secondo le accuse, i dipendenti di DigitalMint hanno abusato del loro ruolo di fiducia infiltrandosi nelle reti delle vittime, ottenendo informazioni sensibili e quindi lanciando ransomware contro questi stessi obiettivi. I pubblici ministeri descrivono questo come un grave tradimento della fiducia che le organizzazioni ripongono nei partner di sicurezza informatica. Il Dipartimento di Giustizia ha osservato che la condotta includeva “hacking non autorizzato, furto di dati e distribuzione di ransomware” con il pretesto di servizi di negoziazione.
Questo caso evidenzia una tendenza inquietante, in quanto attori posizionati come consiglieri difensivi o negoziatori sono implicati in operazioni offensive. Le organizzazioni che si rivolgono a società terze per negoziare con gli avversari del ransomware potrebbero dover rivalutare le proprie dipendenze e i propri controlli. Il doppio ruolo di difensore e attaccante complica i quadri di fiducia e supervisione nella catena di fornitura della sicurezza informatica.
La negoziazione del ransomware è intrinsecamente ad alto rischio. Le vittime che interagiscono con gli aggressori tramite intermediari in genere sperano di ridurre al minimo i danni, recuperare i sistemi crittografati e prevenire le fughe di dati. Ma quando la parte negoziale è complice della catena di attacco, crea un conflitto di interessi e introduce nuovi rischi. Le ipotesi tradizionali sui mediatori di fiducia non sono più sempre valide.
L’atto d’accusa non rivela il numero di organizzazioni delle vittime o le perdite totali causate dal presunto schema. Tuttavia, sottolinea che la variante di ransomware utilizzata, BlackCat/ALPHV, è uno strumento prolifico nelle campagne di caccia grossa. Gli analisti hanno monitorato il gruppo estorcendo pagamenti multimilionari e minacciando l’esposizione dei dati se le richieste non vengono pagate.
Per le organizzazioni che si affidano ai servizi di negoziazione in caso di incidenti ransomware, emergono diverse misure precauzionali. In primo luogo, la due diligence sulle società di negoziazione deve includere valutazioni dell’indipendenza, delle autorizzazioni di accesso e delle storie di risposta agli incidenti. In secondo luogo, i controlli contrattuali e tecnici dovrebbero limitare l’accesso del negoziatore ad ambienti sensibili fino a quando il suo ruolo non sarà chiaramente definito e limitato. In terzo luogo, i piani di risposta agli incidenti dovrebbero prendere in considerazione scenari in cui i servizi di negoziazione stessi potrebbero essere compromessi.
In un contesto più ampio, l’evoluzione del ruolo delle società di negoziazione riflette come gli ecosistemi ransomware stiano diventando sempre più complessi. Gli aggressori non si limitano a crittografare i dati e a richiedere un pagamento. Ora possono fare affidamento su partner fidati, addetti ai lavori o attori esterni che si atteggiano a difensori per ottenere l’accesso iniziale, muoversi lateralmente e lanciare campagne di estorsione. Ciò aumenta il rischio organizzativo oltre l’intrusione iniziale per includere la catena di approvvigionamento intermedia della risposta agli incidenti e della negoziazione.
I difensori devono concentrarsi sul rafforzamento della visibilità di tutte le parti coinvolte in un incidente ransomware, non solo l’avversario ma anche la rete di soccorritori e negoziatori. Ciò comporta la verifica delle credenziali delle società di negoziazione, il monitoraggio delle loro attività in tempo reale e il mantenimento di strutture di governance degli incidenti che separano i ruoli di negoziazione da quelli di accesso e correzione.
Le accuse del Dipartimento di Giustizia sottolineano la necessità di un controllo normativo e di standard professionali nel settore della negoziazione del ransomware. Man mano che il ruolo degli intermediari negoziali diventa più formalizzato, possono sorgere questioni relative alle licenze, alla supervisione e all’etica. Il caso potrebbe costituire un precedente per il modo in cui i governi e l’industria regolano il più ampio mercato della risposta agli incidenti.
Il ransomware rimane una minaccia importante, ma questo sviluppo sposta parte della superficie delle minacce nell’ambito dei servizi affidabili. Le organizzazioni dovrebbero trattare i servizi di negoziazione come parte dell’ecosistema di risposta agli incidenti che richiede lo stesso livello di controllo e sicurezza di qualsiasi altro fornitore con accesso privilegiato. In caso contrario, una risorsa della Guida potrebbe trasformarsi in un vettore di minaccia.