FacebookTwitterLinkedIn

Segnalare gli attacchi da ransomware alle autorità

Sommario

  1. In caso di segnalazione di incidenti ransomware?
  2. Altri motivi.
  3. Come segnalare un incidente di ransomware?
  4. Se sei vittima di ransomware, segnala l'incidente alle autorità locali.

Cadere vittima di un attacco informatico, per non parlare di un attacco ransomware, richiede diverse decisioni difficili. È chiaro da un recente report di Europol che denunciare l'incidente alle autorità è una di queste decisioni difficili. Il rapporto ha evidenziato come gli incidenti ransomware siano sottostimati e spesso le autorità sentono parlare di incidenti solo attraverso i media piuttosto che le vittime.

È facile chiedere alle vittime dei crimini di denunciarli per numerosi motivi legali ed etici, per non parlare di aiutare le autorità a catturare coloro che perpetrano i crimini. La realtà è che cadere vittima di un crimine comporta un livello di stigmatizzazione. Può essere imbarazzante ammettere di essere stato ingannato o truffato. Per le organizzazioni vittime di attacchi ransomware, questo stigma sembra essere uno dei motivi principali per cui il crimine specifico non viene denunciato.

segnalazione di incidenti ransomware alle autorità

L'attuale panorama delle minacce ransomware si è evoluto fino a includere diverse bande di ransomware o persino gang che hanno formato dei “cartelli” che si rivolgono specificamente a grandi organizzazioni, siano esse società private o agenzie governative. Questo cambiamento, che si è verificato seriamente verso l'inizio del 2019, ha fatto si che enormi organizzazioni, alcune aziende Fortune 500, siano state aggiunte all'elenco delle vittime. Garmin, Canon, e Konica Minolta sono solo alcune delle vittime di alto profilo che sono state massicciamente colpite da una banda di ransomware.

Lo stigma di cadere vittima del ransomware ha assunto un nuovo significato poiché le aziende temono l'impatto che un tale attacco avrà sui loro rapporti con i clienti e le parti interessate. Questa potrebbe essere una delle ragioni alla base della sottostima del crimine. Qualsiasi incidente informatico non solo influisce sui profitti ed il recupero può essere costoso, ma ci si può aspettare un danno alla reputazione. Gli esperti ritengono che essere trasparenti in merito a un incidente di ransomware possa aiutare a riparare il danno alla reputazione in modo più efficace rispetto a quando si tenta di spazzare via la questione sotto il tappeto. Il resto di questo articolo è dedicato al motivo per cui gli incidenti di ransomware dovrebbero essere segnalati alle autorità e, soprattutto, a come farlo.

In caso di segnalazione di incidenti ransomware?

La risposta breve è , ma le risposte brevi fanno poco per trasmettere l'importanza della domanda. La risposta più semplice da dare è che per molte organizzazioni che sono tenute ad aderire a determinati atti legislativi di conformità o a una serie di standard, le violazioni dei dati devono essere segnalate. Un anno fa, si poteva sostenere che un incidente di ransomware non equivaleva a una violazione dei dati o in modo diverso un incidente informatico in cui sono state compromesse informazioni sensibili appartenenti a clienti o utenti registrati di un servizio. L'inizio del 2020 ha mandato in frantumi il dibattito accademico sul fatto che un attacco ransomware costituisse o meno una violazione dei dati.

A Gennaio 2020, iniziarono ad emergere notizie secondo cui la banda di ransomware Maze minacciava di rilasciare i dati rubati alle vittime prima che il ransomware fosse eseguito ed i dati crittografati.

Gli attacchi ransomware includono l'esfiltrazione di dati

Ben presto le minacce divennero realtà quando Maze iniziò a rilasciare dei dati, che erano stati rubati tramite quello che sarebbe stato chiamato un "sito Leak", tipicamente ospitato in uno degli angoli del dark web. Ciò collocava gli incidenti ransomware specifici nella categoria di una violazione dei dati e dovevano essere trattati come tali. Per molti atti legislativi e standard di conformità, esiste l'obbligo di segnalare gli incidenti alle autorità competenti specificate nella legislazione.

È importante notare che, nonostante l'evoluzione degli attacchi ransomware che ora includono l'esfiltrazione di dati, a volte definita "doppia estorsione", non tutti gli attacchi ransomware sono anche violazioni dei dati. Il fattore determinante sarà se i dati sono stati esfiltrati o meno. L'evoluzione più recente nella tattica è rappresentata dalle bande di ransomware che impiegano call center per minacciare ulteriormente le vittime, in molti paesi questo livello elevato di abuso può essere considerato un crimine e quindi dovrebbe anche essere segnalato alle autorità.

Altri Motivi

Se una vittima è obbligata a segnalare il ransomware a causa della legislazione, esiste un valido argomento per denunciare l'incidente. Ci sono molti altri motivi per segnalare incidenti di ransomware indipendentemente dalle leggi che stabiliscono che dovrebbero essere segnalati. In primo luogo, le informazioni che i funzionari delle forze dell'ordine ottengono dalla segnalazione dell'incidente ai fatti forniti dagli specialisti della sicurezza informatica forense fanno molto per aiutare a catturare le persone coinvolte.

A causa degli elevati livelli di anonimato garantiti ai criminali informatici attraverso l'uso di tecnologie come il Dark Web e altri servizi di anonimizzazione, catturare le persone coinvolte può essere un compito difficile. O quasi impossibile. Tuttavia, nel tempo i ricercatori possono ricostruire chi c'è dietro l'attacco o in molti casi una serie di attacchi. La segnalazione dell'incidente consente agli investigatori di accedere alle informazioni vitali necessarie per fare esattamente questo.

maggiore è il numero di dati raccolti sull'incidente del ransomware, meglio è

In secondo luogo, più dati vengono raccolti, meglio è in termini di consapevolezza ed educazione. Questo è il caso delle forze dell'ordine e di altre autorità incaricate di difenderci dalla criminalità informatica in grado di emettere avvisi. In genere, questi avvisi contengono informazioni sulle tattiche utilizzate da bande specifiche, vettori di compromissione favoriti e misure che possono essere adottate da altre organizzazioni per aiutare a evitare di cadere vittima dello specifico ceppo ransomware coperto dall'avviso. Per rendere questi avvisi efficaci nella lotta alle bande di ransomware, le informazioni devono essere della massima qualità e le vittime che segnalano gli incidenti aiutano a garantire la diffusione di informazioni corrette.

Infine, è importante discutere la natura internazionale della criminalità informatica. Le organizzazioni criminali informatiche come le gang di ransomware prenderanno di mira le organizzazioni al di fuori del loro paese di origine per diversi motivi. In Russia, come è stato ben documentato, il governo chiude un occhio sui cybercriminali che prendono di mira organizzazioni straniere poiché gli attacchi non danneggiano la politica delle relazioni estere del governo, o potrebbero anche perseguire obiettivi specifici.

Tali influenze geopolitiche possono rendere difficile per le forze dell'ordine assicurarli alla giustizia, ma non è impossibile. Molte forze dell'ordine lavorano insieme per combattere la criminalità informatica, comprese organizzazioni internazionali come Interpol e Europol. Gli incidenti segnalati aiutano a chiudere il cerchio sui criminali informatici che portano al sequestro dei server e agli arresti se i cardini dell'organizzazione viaggiano all'estero. I governi possono anche applicare sanzioni agli stati che si ritiene ospitino i criminali informatici.

Le ragioni di cui sopra suggeriscono sicuramente che la segnalazione di incidenti di ransomware avvantaggia le forze dell'ordine, ma che dire dell'organizzazione interessata? Quando vengono segnalati incidenti, le forze dell'ordine sono in grado di fornire preziosi consigli di riparazione che potrebbero facilmente rivelarsi vantaggiosi per il rapido ritorno alla normalità di un'organizzazione. Inoltre, diverse forze dell'ordine hanno stabilito partnership con società di sicurezza private per mettere a disposizione delle persone coinvolte decryptor gratuiti. La segnalazione di un incidente può aiutare i leader aziendali a ottenere il decryptor di cui hanno bisogno per riprendersi da un attacco. Partnership come No More Ransom stanno cercando di creare un database di informazioni sul ransomware insieme a decryptor per aiutare tutte le persone colpite.

Come segnalare un incidente di ransomware?

Per segnalare un incidente, sarà necessario contattare l'autorità locale competente. Questo perchè è necessario raccogliere molti dati forensi relativi all'incidente. Questo può essere fatto da personale IT qualificato. Tieni presente che le informazioni necessarie per segnalare un attacco ransomware saranno diverse a seconda del fatto se stai segnalando un attacco alla tua azienda o semplicemente come utente di un personal computer. In generale, alle organizzazioni può essere chiesto di fornire le seguenti informazioni quando segnalano l'incidente:

  • Le informazioni dell'organizzazione (settore, tipo di attività, dimensioni) e chi è nella posizione migliore per comunicare con le autorità in futuro.
  • Data e ora approssimative dell'attacco ransomware.
  • Come si è verificato l'attacco (tramite un collegamento o un allegato email, vulnerabilità sfruttata, porta RDP configurata in modo errato, ecc.)
  • Una copia o una foto della richiesta di riscatto o della schermata di blocco.
  • Nome della variante del ransomware (solitamente incluso nella richiesta di riscatto o nell'estensione del file crittografato aggiunta dopo la crittografia).
  • Qualsiasi indirizzo IP pertinente connesso alla tua rete che non riconosci.
  • L'estensione dei file crittografati.
  • Indirizzo email, URL o qualsiasi altro metodo di comunicazione fornito dall'attore della minaccia.
  • Copie elettroniche di qualsiasi comunicazione che hai avuto con l'attore della minaccia.
  • L'indirizzo del portafoglio bitcoin dell'attore della minaccia, questo viene spesso fornito nella richiesta di riscatto o nelle comunicazioni successive con l'attaccante.
  • Importo del riscatto richiesto e importo del riscatto pagato.
  • Perdite complessive associate all'attacco ransomware, incluso l'importo del riscatto.

Se sei vittima di ransomware, segnala l'incidente alle autorità locali:

Australia Australia
ACSC
Austria Austria
Polizei
Belgium Belgio
Police
Brazil Brazile
Polícia Federal
Bulgaria Bulgaria
CyberCrime
Canada Canada
Centre for Cyber Security
Croatia Croazia
Ministry of the Interior
Cyprus Cipro
Cyber Crime Police
Czech Republic Repubblica Ceca
Policie
Denmark Danimarca
Politi
United Kingdom Inghilterra
Action Fraud
Estonia Estonia
Politsei
Finland Finlandia
Poliisi
France Francia
Ministère de l'Intérieur
Germany Germania
Polizei
Greece Grecia
Hellenic Police
Hong Kong Hong Kong
Hong Kong Police
Hungary Ungheria
Rendőrség
India India
Cyber Crime Cell
Iran Iran
Cyber Police
Ireland Irlanda
Garda Síochána
Israel Israele
Nomoreransom project
Italy Italia
Polizia di Stato
Japan Giappone
Cybercrime Project
Latvia Lettonia
Policija
Lithuania Lituania
ePolicija
Luxembourg Lussemburgo
Police
Malta Malta
Pulizija
Netherlands Paesi Bassi
Politie
New Zealand Nuova Zelanda
Police
Russia Russia
Ministry of Internal Affairs
Scotland Scozia
Police Scotland
Singapore Singapore
Singapore Police Force
Slovakia Slovacchia
Ministerstvo Vnútra
Slovenia Slovenia
Policija
South Korea Corea del Sud
National Police Agency
Spain Spagna
Policía Nacional
Sweden Svezia
Polisen
Ukraine Ucraina
Cyber Police
United States Stati Uniti
IC3
   
Chi siamo

PCrisk è un portale di sicurezza informatica, il suo scopo è informare gli utenti di Internet sulle ultime minacce digitali. I nostri contenuti sono forniti da esperti di sicurezza e ricercatori professionisti di malware. Leggi di più su di noi.

Rimozione di Virus e Malware

Questa pagina fornisce informazioni su come evitare infezioni da malware o virus.

Rimozione di Malware