Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Costruire la resilienza al ransomware: una strategia proattiva per aziende e regolatori
L’aumento degli attacchi ransomware ha spinto la comunità internazionale a esplorare una serie di approcci per scoraggiare questi attacchi, compreso l’uso di sanzioni, l’ulteriore sviluppo e l’implementazione di norme che regolano gli attacchi informatici e la promozione delle migliori pratiche di sicurezza informatica.
Le sanzioni sono state una parte importante del toolkit utilizzato dalle agenzie governative per imporre costi agli autori di ransomware. Nel febbraio 2023, le autorità di regolamentazione del Regno Unito e l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti hanno sanzionato sette membri della banda di criminali informatici TrickBot con sede in Russia, associata ai servizi segreti russi, per aver distribuito ransomware per prendere di mira infrastrutture critiche in entrambi i paesi. Nell'agosto 2022, l'OFAC ha sanzionato Tornado Cash, un mixer decentralizzato di criptovalute, per aver presumibilmente facilitato il riciclaggio di 7 miliardi di dollari in valuta virtuale (VC). Con una mossa simile, nel settembre 2021, l'OFAC ha designato SUEX OTC, SRO (SUEX), un exchange di criptovalute russo, come entità inclusa nell'elenco Specially Designated Nationals and Blocked Persons, che limita i rapporti degli Stati Uniti con determinate entità che rappresentano minacce alla sicurezza nazionale. Allo stesso tempo, l’OFAC ha emesso un avviso di ransomware (avviso di settembre 2021) evidenziando i rischi di sanzioni associati ai pagamenti di ransomware in relazione ad attività dannose abilitate al cyber. Si è scoperto che SUEX ha spostato centinaia di milioni di dollari in criptovaluta da fonti illecite, inclusi più di 160 milioni di dollari da autori di ransomware.
Sebbene queste designazioni siano importanti, è necessario un approccio globale per continuare a scoraggiare e degradare le reti ransomware. Questo approccio proattivo e ad ampio raggio può comportare sanzioni mirate, condivisione di informazioni, partenariati pubblico-privato e capacità di aziende e individui di proteggersi dagli attacchi ransomware. Concentrandosi sulle autorità di regolamentazione straniere che enfatizzano la conformità ai crimini finanziari, questo approccio potrebbe supervisionare in modo più efficace i fornitori di servizi di asset virtuali (VASP) nelle loro giurisdizioni per ridurre i rischi durante l’elaborazione dei pagamenti per gli autori di ransomware.
I. Comprendere l'ecosistema ransomware
Il ransomware è una forma di software dannoso (malware) progettato per bloccare l'accesso a dati o sistemi informatici, spesso crittografando dati o programmi. Gli autori informatici richiedono il pagamento di un riscatto, solitamente in VC, in cambio di una chiave per decrittografare i file e ripristinare l'accesso delle vittime alle proprie informazioni. Negli ultimi anni, l’OFAC ha preso di mira vari attori nell’ecosistema ransomware, tra cui:
II. Advisory di settembre 2021 dell'OFAC
Oltre a designare una serie di attori coinvolti nell’ecosistema ransomware, l’OFAC ha anche pubblicato linee guida sulla conformità per aiutare le aziende a gestire i rischi legati alle transazioni ransomware in particolare e alle transazioni VC in generale. L'Advisory di settembre 2021 dell'OFAC rileva che il governo degli Stati Uniti "scoraggia fortemente tutte le società private e i cittadini dal pagare richieste di riscatto o di estorsione". L’avviso di settembre 2021 spiega che, ai sensi dell’International Emergency Economic Powers Act o del Trading with the Enemy Act, le imprese possono essere ritenute responsabili per aver infranto le regole dell’OFAC pagando riscatti a persone sanzionate, anche se non erano consapevoli di farlo. Inoltre, per evitare violazioni delle sanzioni, l’OFAC suggerisce alle aziende di implementare un “programma di conformità basato sul rischio per mitigare l’esposizione alle violazioni legate alle sanzioni”, che può essere integrato attraverso formazione, backup offline, piani di risposta e altri sforzi per proteggere l’infrastruttura tecnica di un’azienda. L'OFAC sottolinea inoltre l'importanza di una segnalazione tempestiva, sottolineando che considera una "segnalazione completa e autoavviata di un attacco ransomware alle forze dell'ordine" come un fattore attenuante significativo in un contesto di applicazione della legge. Questa guida è coerente con la guida più ampia dell'OFAC su come le aziende dovrebbero costruire programmi di conformità efficaci basati sul rischio.
***
Nel complesso, la campagna di sanzioni dell’OFAC riflette il suo impegno nella lotta al ransomware attraverso sanzioni mirate e partnership con altre agenzie governative e partner internazionali.