În noiembrie 2021, Departamentul de Trezorerie al SUA a anunțat un parteneriat cu Israelul pentru a combate ransomware-ul. Pe măsură ce atacatorii de ransomware construiesc organizații globale din ce în ce mai colaborative, este încurajator să vedem că apărătorii săi colaborează și ei peste granițe. Volumul atacurilor ransomware, în special asupra infrastructurii critice, a sporit atenția guvernului și supravegherea industriei. Chiar dacă eforturile coordonate de aplicare a legii au înăbușit pe termen scurt bandele de ransomware, nu există niciun motiv să credem că ransomware-ul va dispărea prea curând.
Ransomware a apărut ca una dintre cele mai mari amenințări la adresa securității cibernetice în ultimii ani. Potrivit Ransomware Task Force, în 2020 au avut loc cel puțin 2.400 de atacuri ransomware, iar victimele ransomware au plătit 350 de milioane de dolari - o creștere de 311% față de anul precedent. Va fi interesant de observat cum se vor modifica aceste statistici când se va încheia anul 2021, având în vedere câte atacuri ransomware de profil înalt au avut loc în ultimul an.
De exemplu, atacul ransomware Colonial Pipeline a fost, fără îndoială, cel mai mediatizat atac ransomware din ultimul an, deoarece a provocat o întrerupere a serviciilor timp de o săptămână pentru compania energetică, pe lângă o răscumpărare de aproape 5 milioane de dolari. Atacul a fost condus de DarkSide, o bandă de ransomware care a afirmat: "Suntem apolitici, nu participăm la geopolitică, nu trebuie să ne legați de un guvern definit și să ne căutați motivele".
Bandele de ransomware, cum ar fi DarkSide, au evoluat în ultimii ani pentru a deveni mai organizate în operațiunile lor și mai bine direcționate în atacurile lor (așa-numita "vânătoare de vânat mare" pentru plăți financiare mai mari). Pe rețeaua întunecată, există un subteran infracțional înfloritor de parteneri slab afiliați, fiecare cu propriile roluri și responsabilități.
Brokerii de acces inițial sunt specializați în furtul acreditărilor de acces, pe care le vând altor infractori. Odată ce o victimă este compromisă, multe bande de ransomware oferă un personal de asistență care negociază răscumpărarea sau oferă instrucțiuni privind modul de plată. Ransomware-as-a-service (RaaS) a banalizat atacurile ransomware pentru infractorii care nu dispun de mai multă expertiză tehnică, o oglindă întunecată a soluțiilor de securitate cibernetică menite să le oprească. Ideea este că atacatorii de ransomware operează ca organizații internaționale care colaborează cu infractori din întreaga lume.
Un răspuns internațional
După atacul de la Colonial Pipeline, administrația Biden a emis un ordin executiv privind îmbunătățirea securității cibernetice a națiunii, prin care a solicitat sectorului privat să colaboreze cu guvernul federal pentru a promova îmbunătățirea securității cibernetice. O lună mai târziu, în iunie 2021, Departamentul de Justiție a confiscat 2,3 milioane de dolari de la DarkSide prin urmărirea plăților efectuate de acesta. DarkSide s-a prăbușit sub presiune și a anunțat că își va înceta operațiunile, ceea ce a determinat mulți cercetători în domeniul securității să creadă că a avut loc o eliminare coordonată a infrastructurii sale.
Ordinul executiv al președintelui Biden a pregătit terenul pentru o serie de anunțuri în materie de securitate cibernetică în 2021, inclusiv un Memorandum de securitate națională privind îmbunătățirea securității cibernetice pentru sistemele de control al infrastructurilor critice, precum și dezvoltarea unui model de maturitate de încredere zero. Guvernul îndeamnă la o mai mare colaborare, dar, potrivit unui oficial de rang înalt de la Casa Albă, "Ideea pe care dorim să o subliniem este următoarea: Guvernul federal nu poate face acest lucru de unul singur.Securizarea infrastructurii noastre critice necesită un efort la nivel național, iar industria trebuie să își facă partea sa".
Pe lângă parteneriatele public-privat, guvernul se implică și cu țările aliate. Parteneriatul recent anunțat de Departamentul de Trezorerie al SUA cu Israelul pentru combaterea ransomware este în beneficiul ambelor țări, având în vedere că ransomware-ul și atacurile cibernetice operează fără frontiere.
Unele dintre cele mai avansate soluții de securitate cibernetică din comunitatea internațională sunt prezente atât în Israel, cât și în Statele Unite. Unul dintre motivele pentru care Israelul produce atât de multe soluții de securitate cibernetică este faptul că serviciul militar național este obligatoriu pentru toți cetățenii săi; metodologiile de securitate cibernetică ofensivă și defensivă ale Forțelor de Apărare Israeliene au dus la crearea multor tehnologii inovatoare. Prin urmare, acest nou parteneriat ar trebui să permită un schimb bilateral de cele mai bune practici și de tehnologii de ultimă oră.
În plus, Direcția națională israeliană de apărare cibernetică a lansat recent o doctrină de apărare cibernetică revizuită. Această doctrină se bazează pe un cadru comun de securitate (CSF) de la Institutul Național de Standarde și Tehnologie al SUA (NIST). Aceasta înseamnă că momentul ales pentru parteneriatul dintre Statele Unite și Israel este ideal pentru a permite un schimb de informații, pe baza controalelor actualizate ale Israelului în materie de securitate cibernetică, care includ recomandări specifice pentru combaterea ransomware.
Pe măsură ce frecvența atacurilor ransomware crește și au ajuns să vizeze infrastructuri critice, acest grup operativ comun este însărcinat cu prevenirea atacurilor ransomware înainte de producerea unor daune care nu mai pot fi reparate. Având în vedere succesul recent în ceea ce privește închiderea cel puțin temporară a REvil, BlackMatter și DarkSide, ar trebui să ne așteptăm ca aceste grupuri să revină cu o nouă răzbunare și ca noi grupuri să apară pentru a le umple golul, inclusiv actori de amenințare puternici sprijiniți de state naționale.
Având în vedere aspectul de stat-națiune al atacurilor ransomware, acest grup operativ comun are, de asemenea, potențialul de a întrerupe finanțarea organizațiilor teroriste internaționale și a altor entități ostile. Există deja multe programe internaționale de schimb de informații stabilite, astfel încât acest nou grup operativ reprezintă o oportunitate pentru apărători de a "schimba direcția spre stânga" prin tăierea ransomware-ului ca sursă de finanțare a terorismului și a altor regimuri opresive.
În domeniul securității cibernetice, nu există un "glonț de argint" care să protejeze organizațiile, motiv pentru care colaborarea este atât de importantă. Încurajarea colaborării între industria și guvernele din întreaga lume permite sinergii mai mari, astfel încât aceste organizații să dispună de cele mai bune contramăsuri pentru a-și proteja operațiunile. Pe măsură ce atacatorii de ransomware continuă să își avanseze operațiunile, este imperativ ca industriile critice să își avanseze și ele protecția. Pe măsură ce atacatorii de ransomware continuă să își avanseze operațiunile, industriile critice trebuie să își avanseze și ele protecția.
