Evoluzione del ransomware:come i criminali informatici prendono di mira le criptovalute

Nel maggio 2023, il governo della città di Dallas è stato gravemente sconvolto da un attacco ransomware. Gli attacchi ransomware sono così chiamati perché gli hacker dietro di loro crittografano dati vitali e richiedono un riscatto per poter decrittografare le informazioni.

L'attacco a Dallas ha posto fine alle udienze, ai processi e ai compiti della giuria, e alla fine alla chiusura del tribunale municipale di Dallas. Ha avuto anche un effetto indiretto sulle attività di polizia più ampie, con risorse limitate che hanno influito sulla capacità di fornire, ad esempio, programmi estivi per i giovani. I criminali hanno minacciato di pubblicare dati sensibili, comprese informazioni personali, casi giudiziari, identità di prigionieri e documenti governativi.

Si potrebbe immaginare che un attacco al governo cittadino e alle forze di polizia, causando disagi diffusi e prolungati, sarebbe una notizia da prima pagina. Ma gli attacchi ransomware sono ormai così comuni e di routine che la maggior parte passa senza nemmeno un briciolo di attenzione. Un'eccezione degna di nota si è verificata tra maggio e giugno 2023, quando gli hacker hanno sfruttato una vulnerabilità nell'app di trasferimento file Moveit che ha portato al furto di dati da centinaia di organizzazioni in tutto il mondo. Quell'attacco ha conquistato i titoli dei giornali, forse a causa delle vittime di alto profilo, tra cui la British Airways, la BBC e la catena di farmacie Boots.

Secondo un recente sondaggio, i pagamenti per i ransomware sono quasi raddoppiati raggiungendo 1,5 milioni di dollari (1,2 milioni di sterline) nell’ultimo anno, con le organizzazioni che guadagnano di più quelle che hanno maggiori probabilità di pagare gli aggressori. Sophos, una società britannica di sicurezza informatica, ha scoperto che il pagamento medio del ransomware è aumentato rispetto agli 812.000 dollari dell’anno precedente. Il pagamento medio da parte delle organizzazioni del Regno Unito nel 2023 è stato addirittura superiore alla media globale, pari a 2,1 milioni di dollari.

Nel frattempo, nel 2022 il National Cyber Security Center (NCSC) ha pubblicato nuove linee guida che invitano le organizzazioni a rafforzare le proprie difese nel timore di ulteriori attacchi informatici sponsorizzati dallo stato legati al conflitto in Ucraina. Ne consegue una serie di attacchi informatici in Ucraina che si sospetta abbiano coinvolto la Russia, cosa che Mosca nega.

Questo articolo fa parte di Approfondimenti sulla conversazione
Il team Insights genera giornalismo di lunga durata derivato dalla ricerca interdisciplinare. Il team sta lavorando con accademici di diversa estrazione impegnati in progetti volti ad affrontare le sfide sociali e scientifiche.

In realtà, non passa settimana senza che attacchi colpiscano governi, scuole, ospedali, imprese ed enti di beneficenza, in tutto il mondo. Questi attacchi hanno costi finanziari e sociali significativi. Possono colpire le piccole imprese, così come le grandi aziende, e possono essere particolarmente devastanti per le persone coinvolte.

Il ransomware è ormai ampiamente riconosciuto come una grave minaccia e sfida per la società moderna.

Puoi ascoltare altri articoli da La conversazione, narrati da Noa, qui.

Eppure dieci anni fa non era altro che una possibilità teorica e una minaccia di nicchia. Il modo in cui si è evoluto rapidamente, alimentando la criminalità e causando danni indicibili, dovrebbe essere motivo di grande preoccupazione. Il "modello di business" del ransomware è diventato sempre più sofisticato grazie, ad esempio, ai progressi nei vettori di attacco malware, nelle strategie di negoziazione e nella struttura stessa dell'impresa criminale.

Ci si aspetta che i criminali continuino ad adattare le proprie strategie e a causare danni diffusi per molti anni a venire. Ecco perché è fondamentale studiare la minaccia ransomware e prevenire queste tattiche in modo da mitigare la minaccia a lungo termine – ed è esattamente ciò che sta facendo il nostro team di ricerca.

Previsione dei costi globali dei danni da ransomware - fonte:Cyber Security Ventures

Alpesh Bhudia, CC BY-ND

Per molti anni la nostra ricerca ha cercato di prevenire questa minaccia in evoluzione esplorando nuove strategie che i criminali ransomware possono utilizzare per estorcere le vittime. L'obiettivo è avvisare ed essere in vantaggio, senza identificare elementi specifici che potrebbero essere utilizzati dai criminali. Nella nostra ultima ricerca, che è stata sottoposta a revisione paritaria e sarà pubblicata nell'ambito della Conferenza internazionale su disponibilità, affidabilità e sicurezza (ARES), abbiamo identificato una nuova minaccia che sfrutta le vulnerabilità delle criptovalute.

Che cos'è il ransomware?

Il ransomware può significare cose leggermente diverse in contesti diversi. Nel 1996, Adam Young e Mordechai “Moti” Yung della Columbia University descrissero la forma base di un attacco ransomware come segue:

I criminali violano le difese di sicurezza informatica della vittima (attraverso tattiche come e-mail di phishing o utilizzando un dipendente interno/canaglia). Una volta che i criminali hanno violato le difese della vittima, distribuiscono il ransomware. La cui funzione principale è crittografare i file della vittima con una chiave privata (che può essere pensata come una lunga stringa di caratteri) per bloccare la vittima fuori dai propri file. La terza fase dell’attacco inizia ora con la richiesta di riscatto da parte del criminale per la chiave privata.

La semplice realtà è che molte vittime pagano il riscatto, con riscatti potenzialmente dell'ordine di milioni di dollari.

Utilizzando questa caratterizzazione di base del ransomware è possibile distinguere diversi tipi di attacco. A un estremo ci sono gli attacchi di “basso livello” in cui i file non vengono crittografati o i criminali non tentano di estorcere riscatti. Ma all'estremo opposto, gli aggressori compiono sforzi considerevoli per massimizzare i disagi ed ottenere un riscatto.

L’attacco ransomware WannaCry del maggio 2017 ne è un esempio. L’attacco, collegato al governo nordcoreano, non ha fatto alcun tentativo reale di estorcere un riscatto alle vittime. Tuttavia, ciò ha portato a disagi diffusi in tutto il mondo, compreso il servizio sanitario nazionale del Regno Unito, con alcune organizzazioni che creano modelli di rischio per la sicurezza informatica addirittura affermando che le perdite economiche globali ammontano a miliardi.

È difficile discernere il motivo in questo caso, ma, in generale, l'intento politico o un semplice errore da parte degli aggressori possono contribuire alla mancanza di un'estrazione coerente di valore attraverso l'estorsione.

La nostra ricerca si concentra sul secondo estremo degli attacchi ransomware in cui i criminali cercano di estorcere denaro alle loro vittime. Ciò non esclude una motivazione politica. Esistono infatti prove di legami tra i principali gruppi di ransomware e lo Stato russo. Possiamo distinguere il grado in cui gli attacchi ransomware sono motivati ​​da un guadagno finanziario osservando lo sforzo investito nella negoziazione, la volontà di sostenere o facilitare il pagamento del riscatto e la presenza di servizi di riciclaggio di denaro. Investendo in strumenti e servizi che facilitano il pagamento del riscatto e la sua conversione in valuta fiat, gli aggressori segnalano le loro motivazioni finanziarie.

L'impatto degli attacchi

Come dimostra l'attacco al governo della città di Dallas, gli impatti finanziari e sociali degli attacchi ransomware possono essere diversi e gravi.

Gli attacchi ransomware ad alto impatto, come quello che ha preso di mira Colonial Oil nel maggio 2021 e ha messo fuori servizio un importante oleodotto statunitense, sono ovviamente pericolosi per la continuità dei servizi vitali.

Nel gennaio 2023 si è verificato un attacco ransomware contro la Royal Mail nel Regno Unito che ha portato alla sospensione delle consegne internazionali. Ci è voluto più di un mese perché i livelli di servizio tornassero alla normalità. Questo attacco avrebbe avuto un impatto diretto significativo sulle entrate e sulla reputazione della Royal Mail. Ma, cosa forse ancora più importante, ha avuto un impatto su tutte le piccole imprese e sulle persone che fanno affidamento su di esso.

Nel maggio 2021, il servizio sanitario nazionale irlandese è stato colpito da un attacco ransomware. Ciò ha influenzato ogni aspetto della cura del paziente con diffuse cancellazioni degli appuntamenti. Il Taoiseach Micheál Martin ha dichiarato:“È un attacco scioccante contro un servizio sanitario, ma fondamentalmente contro i pazienti e il pubblico irlandese”. Secondo quanto riferito, sarebbero trapelati anche dati sensibili. L’impatto finanziario dell’attentato potrebbe raggiungere i 100 milioni di euro. Ciò, tuttavia, non tiene conto dell'impatto sanitario e psicologico sui pazienti e sui medici colpiti dall'interruzione.

Oltre ai servizi sanitari, anche l’istruzione è stata un obiettivo primario. Ad esempio, nel gennaio 2023 una scuola a Guilford, nel Regno Unito, ha subito un attacco da parte dei criminali che minacciavano di pubblicare dati sensibili, inclusi rapporti di salvaguardia e informazioni sui bambini vulnerabili.

Gli attacchi sono inoltre programmati per massimizzare i disagi. Ad esempio, un attacco nel giugno 2023 contro una scuola a Dorchester, nel Regno Unito, ha impedito alla scuola di utilizzare la posta elettronica o accedere ai servizi durante il periodo degli esami principali. Ciò può avere un profondo impatto sul benessere e sui risultati scolastici dei bambini.

Questi esempi non sono affatto esaustivi. Molti attacchi, ad esempio, prendono di mira direttamente aziende ed enti di beneficenza che sono troppo piccoli per attirare l’attenzione. L’impatto su una piccola impresa, in termini di interruzione dell’attività, perdita di reputazione e costo psicologico derivante dall’affrontare le conseguenze di un attacco, può essere devastante. Ad esempio, un sondaggio del 2021 ha rilevato che il 34% delle aziende del Regno Unito che hanno subito un attacco ransomware ha successivamente chiuso i battenti. Inoltre, molte delle aziende che hanno continuato a operare hanno dovuto licenziare il personale.

Tutto è iniziato con i floppy disk

Le origini del ransomware vengono solitamente fatte risalire al virus AIDS o PC Cyborg Trojan negli anni '80. In questo caso, le vittime che inserirono un floppy disk nel proprio computer vedrebbero successivamente i propri file crittografati e richiesto un pagamento. I dischi venivano distribuiti ai partecipanti e alle persone interessate a conferenze specifiche, che avrebbero poi tentato di accedere al disco per completare un sondaggio, venendo invece infettati dal trojan. I file sui computer interessati sono stati crittografati utilizzando una chiave archiviata localmente su ciascun computer di destinazione. In linea di principio, una vittima potrebbe ripristinare l'accesso ai propri file utilizzando questa chiave. La vittima, tuttavia, potrebbe non sapere di poterlo fare, poiché anche adesso la conoscenza tecnica della crittografia non è comune tra la maggior parte degli utenti di PC.

Alla fine, le forze dell’ordine fecero risalire i floppy disk a un biologo evoluzionista di Harvard di nome Joseph Popp, che all’epoca stava conducendo ricerche sull’AIDS. È stato arrestato e accusato di molteplici casi di ricatto e alcuni gli hanno attribuito il merito di essere l'inventore del ransomware. Nessuno sa esattamente cosa abbia spinto Popp a fare ciò che ha fatto.

Il messaggio sullo schermo dopo l'attivazione del ransomware AIDS Trojan Horse. Wikipedia

Molte delle prime versioni del ransomware erano sistemi crittografici piuttosto basilari che soffrivano di vari problemi relativi alla facilità con cui era possibile trovare le informazioni chiave che il criminale stava cercando di nascondere alla vittima. Questo è uno dei motivi per cui il ransomware ha raggiunto la maggiore età con l'attacco CryptoLocker nel 2013 e nel 2014.

CryptoLocker è stato il primo virus di attacco ransomware tecnicamente valido ad essere distribuito in massa. Migliaia di vittime hanno visto i propri file crittografati da ransomware che non potevano essere decodificati. Le chiavi private, utilizzate nella crittografia, erano detenute dall'aggressore e senza di esse le vittime non potevano ripristinare l'accesso ai propri file. Sono stati richiesti riscatti di circa 300-600 dollari e si stima che i criminali siano riusciti a farla franca con circa 3 milioni di dollari. Cryptolocker è stato infine chiuso nel 2014 a seguito di un'operazione che ha coinvolto diverse forze dell'ordine internazionali.

CryptoLocker è stato fondamentale nel dimostrare che i criminali potevano guadagnare grandi quantità di denaro dal ransomware. Successivamente c'è stata un'esplosione di nuove varianti e nuovi tipi. Si è verificata anche un'evoluzione significativa nelle strategie utilizzate dai criminali.

Off-the-shelf e doppia estorsione

Uno sviluppo importante è stato l’emergere del ransomware-as-a-service. Questo è un termine per i mercati del dark web attraverso i quali i criminali possono ottenere e utilizzare ransomware “pronti all’uso” senza la necessità di competenze informatiche avanzate mentre i fornitori di ransomware si prendono una parte dei profitti.

La ricerca ha dimostrato come il dark web sia il “selvaggio West non regolamentato di Internet” e un rifugio sicuro per i criminali in cui comunicare e scambiare beni e servizi illegali. È facilmente accessibile e, con l’aiuto della tecnologia di anonimizzazione e delle valute digitali, lì prospera un’economia nera globale. Secondo l'Agenzia dell'Unione europea per le forze dell'ordine, solo nei primi nove mesi del 2019 è stato speso circa 1 miliardo di dollari.

Con il ransomware as a service (Raas) la barriera all’ingresso per gli aspiranti criminali informatici, sia in termini di costi che di competenze, è stata abbassata.

Secondo il modello Raas, la competenza è fornita dai fornitori che sviluppano il malware mentre gli stessi aggressori possono essere relativamente inesperti. Ciò ha anche l'effetto di compartimentare il rischio:l'arresto di criminali informatici che utilizzano ransomware non minaccia più l'intera catena di approvvigionamento, consentendo la continuazione degli attacchi lanciati da altri gruppi.

Abbiamo anche assistito ad un allontanamento dagli attacchi di phishing di massa, come CryptoLocker, che ha raggiunto più di 250.000 sistemi, verso attacchi più mirati. Ciò ha significato una crescente attenzione verso le organizzazioni con le entrate necessarie per pagare riscatti ingenti. Organizzazioni multinazionali, studi legali, scuole, università, ospedali e operatori sanitari sono diventati tutti obiettivi primari, così come molte piccole e microimprese ed enti di beneficenza.

Uno sviluppo più recente nei ransomware, come Netwalker, REvil/Sodinokibi, è stata la minaccia di doppia estorsione. È qui che i criminali non solo crittografano i file ma esfiltrano anche i dati copiandoli. Hanno quindi il potenziale per divulgare o pubblicare informazioni potenzialmente sensibili e importanti.

Un esempio di ciò si è verificato nel 2020, quando una delle più grandi società di software, Software AG, è stata colpita da un ransomware a doppia estorsione chiamato Clop. È stato riferito che gli aggressori avevano richiesto un riscatto eccezionalmente elevato di 20 milioni di dollari (circa 15,7 milioni di sterline) che Software AG si è rifiutata di pagare. Ciò ha portato gli aggressori a rilasciare dati aziendali riservati sul dark web. Ciò fornisce ai criminali due fonti di influenza:possono chiedere un riscatto per ottenere la chiave privata per decrittografare i file e possono chiedere un riscatto per interrompere la pubblicazione di dati sensibili.

La doppia estorsione cambia il modello di business del ransomware in modi interessanti. In particolare, con il ransomware standard, esiste un incentivo relativamente semplice per una vittima a pagare un riscatto per l'accesso alla chiave privata se ciò consente la decrittografia dei file e non può accedere ai file con nessun altro mezzo. La vittima deve “solo” avere fiducia che il criminale informatico le darà la chiave e che funzionerà.

‘Onore’ tra i ladri?

Nel caso dell’esfiltrazione dei dati, invece, non è chiaro cosa otterrà la vittima in cambio del pagamento del riscatto. I criminali hanno ancora i dati sensibili e potrebbero comunque pubblicarli ogni volta che vogliono. Potrebbero, infatti, chiedere successivi riscatti per non pubblicare i file.

Pertanto, affinché l’esfiltrazione dei dati diventi una strategia aziendale praticabile, i criminali devono costruirsi una reputazione credibile nel “onorare” i pagamenti di riscatto. Ciò ha probabilmente portato a un ecosistema ransomware normalizzato.

Ad esempio, i negoziatori del riscatto sono appaltatori privati e in alcuni casi, come parte di un accordo di assicurazione informatica, sono tenuti a fornire competenze nella gestione delle situazioni di crisi che coinvolgono il ransomware. Ove richiesto, faciliteranno la negoziazione del pagamento del riscatto. All'interno di questo ecosistema, alcune bande criminali di ransomware hanno sviluppato la reputazione di non pubblicare dati (o almeno di ritardare la pubblicazione) se viene pagato un riscatto.

Più in generale, la crittografia, la decrittografia o l'esfiltrazione dei file è in genere un compito difficile e costoso da portare a termine per i criminali. È molto più semplice eliminare i file e poi dichiarare che sono stati crittografati o esfiltrati e chiedere un riscatto. Tuttavia, se le vittime sospettano che non riceveranno la chiave di decrittazione o i dati crittografati, non pagheranno il riscatto. E coloro che pagano un riscatto e non ottengono nulla in cambio potrebbero rivelare questo fatto. Ciò potrebbe avere un impatto sulla “reputazione” dell’aggressore e sulla probabilità di futuri pagamenti di riscatto. In poche parole, conviene comportarsi in modo "leale" nel mondo delle estorsioni e degli attacchi di riscatto.

Quindi, in meno di dieci anni abbiamo visto la minaccia ransomware evolversi enormemente da CryptoLocker, su scala relativamente bassa, a un business multimilionario che coinvolge bande criminali organizzate e strategie sofisticate. Dal 2020 in poi gli episodi di ransomware, e le conseguenti perdite, sembrano essere aumentati di un altro ordine di grandezza. Il ransomware è diventato troppo grande per essere ignorato e ora rappresenta una delle principali preoccupazioni per i governi e le forze dell'ordine.

Minacce di estorsione tramite criptovaluta

Per quanto devastante sia diventato il ransomware, la minaccia inevitabilmente si evolverà ulteriormente, poiché i criminali sviluppano nuove tecniche di estorsione. Come già accennato, un tema chiave nella nostra ricerca collettiva negli ultimi dieci anni è stato quello di cercare di anticipare le probabili strategie che i criminali possono impiegare per essere in vantaggio.

La nostra ricerca è ora focalizzata sulla prossima generazione di ransomware, che riteniamo includerà varianti incentrate sulla criptovaluta e sui "meccanismi di consenso" utilizzati al loro interno.

Un meccanismo di consenso è qualsiasi metodo (solitamente algoritmico) utilizzato per raggiungere accordo, fiducia e sicurezza attraverso una rete di computer decentralizzata.

Il prossimo obiettivo potrebbe essere la crittografia. Shutterstock/domenica mattina

Nello specifico, le criptovalute utilizzano sempre più un cosiddetto meccanismo di consenso “proof-of-stake”, in cui gli investitori investono ingenti somme di valuta, per convalidare le transazioni crittografiche. Questi interessi sono vulnerabili alle estorsioni da parte dei criminali ransomware.

Le criptovalute si basano su una blockchain decentralizzata che fornisce una registrazione trasparente di tutte le transazioni che hanno avuto luogo utilizzando quella valuta. La blockchain è gestita da una rete peer-to-peer piuttosto che da un’autorità centrale (come con la valuta convenzionale). In linea di principio, i record delle transazioni inclusi nella blockchain sono immutabili, verificabili e distribuiti in modo sicuro attraverso la rete, offrendo agli utenti la piena proprietà e visibilità dei dati delle transazioni. Queste proprietà della blockchain si basano su un "meccanismo di consenso" sicuro e non manipolabile in cui i nodi indipendenti nella rete "approvano" o "concordano" quali transazioni aggiungere alla blockchain.

Fino ad ora, le criptovalute come Bitcoin si sono basate su un cosiddetto meccanismo di consenso “proof-of-work” in cui l’autorizzazione delle transazioni implica la risoluzione di complessi problemi matematici (il lavoro). Nel lungo termine questo approccio è insostenibile perché comporta una duplicazione degli sforzi e un uso evitabile di energia su larga scala.

L’alternativa, che ora sta diventando realtà, è un meccanismo di consenso “proof of stake”. Qui, le transazioni vengono approvate dai validatori che hanno scommesso denaro e vengono ricompensati finanziariamente per la convalida delle transazioni. Il ruolo del lavoro inefficiente è sostituito da un interesse finanziario. Sebbene ciò risolva il problema energetico, significa che grandi quantità di denaro investito vengono coinvolte nella convalida delle transazioni crittografiche.

Ethereum

L’esistenza di questo denaro investito rappresenta una nuova minaccia per alcune criptovalute proof-of-stake. Abbiamo concentrato la nostra attenzione su Ethereum, una criptovaluta decentralizzata che stabilisce una rete peer-to-peer per eseguire e verificare in modo sicuro il codice dell'applicazione, noto come contratto intelligente.

Ethereum è alimentato dal token Ether (ETH) che consente agli utenti di effettuare transazioni tra loro attraverso l'uso di questi contratti intelligenti. Il progetto Ethereum è stato cofondato da Vitalik Buterin nel 2013 per superare le carenze di Bitcoin. Il 15 settembre 2022, The Merge, ha spostato la rete Ethereum da proof-of-work a proof-of-stake, rendendola una delle prime importanti criptovalute proof-of-stake.

Il meccanismo di consenso Proof-of-Stake in Ethereum si basa su “validatori” per approvare le transazioni. Per impostare un validatore è necessaria una puntata minima di 32ETH, che attualmente è di circa 60.000 dollari USA (circa 43.000 sterline). I validatori possono quindi guadagnare un ritorno finanziario sulla loro puntata gestendo un validatore in conformità con le regole di Ethereum. Al momento in cui scrivo ci sono circa 850.000 validatori.

Molte speranze vengono riposte nella soluzione "puntata" della convalida, ma gli hacker cercheranno sicuramente di capire come infiltrarsi nel sistema.

Nel nostro progetto, finanziato dalla Ethereum Foundation, abbiamo identificato i modi in cui i gruppi di ransomware potrebbero sfruttare il nuovo meccanismo di prova di posta a scopo di estorsione.

Taglio

Abbiamo scoperto che gli aggressori potrebbero sfruttare i validatori attraverso un processo chiamato “slashing”. Mentre i validatori ricevono ricompense per aver rispettato le regole, sono previste sanzioni finanziarie per i validatori che agiscono in modo dannoso. L'obiettivo fondamentale delle sanzioni è impedire lo sfruttamento della blockchain decentralizzata.

Esistono due forme di sanzioni, la più grave delle quali è la tagliola. Il taglio avviene per azioni che non dovrebbero avvenire per caso e che potrebbero mettere a repentaglio la blockchain, come proporre l'aggiunta di blocchi in conflitto alla blockchain o tentare di cambiare la cronologia.

Le sanzioni di riduzione sono relativamente severe in quanto il validatore perde una quota significativa della propria puntata, almeno 1ETH. Infatti, nel caso più estremo, il validatore potrebbe perdere tutta la propria puntata (32ETH). Il validatore sarà inoltre costretto ad uscire e non fungerà più da validatore. In breve, se un validatore viene tagliato ci sono grandi conseguenze finanziarie.

Per eseguire azioni, ai validatori vengono assegnate chiavi di firma univoche, che, in sostanza, dimostrano chi sono alla rete. Supponiamo che un criminale sia entrato in possesso della chiave per firmare? Quindi, potrebbero ricattare la vittima costringendola a pagare un riscatto.

Diagramma di flusso che mostra quanto diventa complicato quando si verifica un attacco di estorsione contro i validatori proof-of-stake, come Ethereum

Alpesh Bhudia, CC BY-ND

Un "contratto intelligente"

La vittima potrebbe essere riluttante a pagare il riscatto a meno che non vi sia la garanzia che i criminali non prenderanno i suoi soldi e non restituiranno/rilasceranno la chiave. Dopotutto, cosa impedirà ai criminali di chiedere un altro riscatto?

Una soluzione che abbiamo trovato, che ricorda il fatto che il ransomware è di fatto diventato un tipo di attività gestita da criminali che vogliono dimostrare di avere una reputazione "onesta", è uno smart contract.

Questo contratto automatizzato può essere scritto in modo che il processo funzioni solo se entrambe le parti “onorano” la propria parte dell’accordo. Quindi, la vittima potrebbe pagare il riscatto ed essere sicura che questo risolverà la minaccia di estorsione diretta. Ciò è possibile attraverso Ethereum perché tutti i passaggi richiesti sono pubblicamente osservabili sulla blockchain:il deposito, il segno di uscita, l’assenza di tagli e la restituzione della puntata.

Funzionalmente, questi contratti intelligenti sono un sistema di deposito a garanzia in cui il denaro può essere trattenuto fino al rispetto delle condizioni prestabilite. Ad esempio, se i criminali forzano il taglio prima che il validatore sia completamente uscito, il contratto garantirà che l’importo del riscatto venga restituito alla vittima. Tali contratti, tuttavia, sono soggetti ad abusi e non vi è alcuna garanzia che un contratto creato da un utente malintenzionato possa essere considerato attendibile. Esiste la possibilità che il contratto venga automatizzato in modo completamente affidabile, ma dobbiamo ancora osservare tale comportamento ed emergono sistemi.

La minaccia delle staking pool

Questo tipo di strategia “paga ed esci” è un modo efficace per i criminali di estorcere alle vittime se riescono a ottenere le chiavi di firma del validatore.

Quindi, quanti danni arrecherebbe un attacco ransomware come questo a Ethereum? Se un singolo validatore venisse compromesso, la sanzione ridotta – e quindi la richiesta massima di riscatto – sarebbe dell’ordine di 1ETH, ovvero circa 1.800 dollari USA (circa 1.400 sterline). Per sfruttare maggiori quantità di denaro, i criminali, quindi, devono prendere di mira le organizzazioni o i pool di staking responsabili della gestione di un gran numero di validatori.

Ricorda, dati gli elevati costi di ingresso per i singoli investitori, la maggior parte della convalida su Ethereum verrà gestita in “staking pool” in cui più investitori possono scommettere collettivamente denaro.

Per mettere questo in prospettiva, Lido è il più grande staking pool di Ethereum con circa 127.000 validatori e il 18% dello stake totale; Coinbase è il secondo più grande con 40.000 validatori e il 6% della quota totale. In totale, ci sono 21 pool di staking che gestiscono più di 1.000 validatori. Ciascuno di questi pool di staking è responsabile di decine di milioni di dollari di puntata e quindi anche le richieste di riscatto praticabili potrebbero essere dell'ordine di milioni di dollari.

I meccanismi di consenso Proof of Stake sono troppo giovani per poter sapere se l’estorsione degli staking pool diventerà una realtà attiva. Ma la lezione generale dell'evoluzione del ransomware è che i criminali tendono a gravitare verso strategie che incentivano i pagamenti e aumentano i guadagni illeciti.

Il modo più semplice con cui gli investitori e gli operatori delle pool di stake possono mitigare la minaccia di estorsione che abbiamo identificato è proteggere le loro chiavi di firma. Se i criminali non riescono ad accedere alle chiavi di firma, non esiste alcuna minaccia. Se i criminali riescono ad accedere solo ad alcune delle chiavi (per gli operatori con più validatori), la minaccia potrebbe non essere redditizia.

Pertanto i pool di staking devono adottare misure per proteggere le chiavi di firma. Ciò comporterebbe una serie di azioni tra cui:partizionare i validatori in modo che una violazione abbia un impatto solo su un piccolo sottoinsieme; rafforzare la sicurezza informatica per prevenire le intrusioni e solidi processi interni per limitare la minaccia interna rappresentata dalla divulgazione delle chiavi di firma da parte di un dipendente.

Cosa succede quando gli hacker ottengono l'accesso alle chiavi segrete? Shutterstock/Andrii Yalanskyi

Il mercato dello staking pool per criptovalute come Ethereum è competitivo. Esistono molti pool di staking, tutti offrono servizi relativamente simili e competono sul prezzo per attirare gli investitori. Queste forze competitive e la necessità di ridurre i costi possono portare a misure di sicurezza relativamente permissive. Alcune pool di staking potrebbero quindi rivelarsi un bersaglio relativamente facile per i criminali.

In definitiva, questo problema può essere risolto solo con la regolamentazione, una maggiore consapevolezza e la richiesta da parte degli investitori di staking pool di elevati livelli di sicurezza per proteggere la propria partecipazione.

Sfortunatamente, la storia del ransomware suggerisce che sarà necessario individuare attacchi di alto profilo prima che la minaccia venga presa abbastanza sul serio. È interessante considerare le conseguenze di una violazione significativa di uno staking pool. La reputazione dello staking pool sarebbe presumibilmente gravemente compromessa e quindi la fattibilità dello staking pool in un mercato competitivo è discutibile. Un attacco potrebbe anche avere implicazioni per la reputazione della valuta.

Nella peggiore delle ipotesi, potrebbe portare al collasso della valuta. Quando ciò accade, come è successo con FTX nel 2022 in seguito a un altro attacco hacker, si verificano effetti a catena sull'economia globale.

Qui per restare

Il ransomware rappresenterà una sfida per gli anni, se non decenni, a venire.

Una potenziale visione del futuro è che il ransomware diventi semplicemente parte della normale vita economica con le organizzazioni che affrontano la costante minaccia di attacchi, con poche conseguenze per le bande di criminali informatici, in gran parte anonime, dietro le truffe.

Per prevenire tali conseguenze negative abbiamo bisogno di una maggiore consapevolezza della minaccia. Quindi gli investitori possono prendere decisioni più informate su quali staking pool e valute in cui investire. È inoltre logico avere un mercato con molti staking pool, piuttosto che un mercato dominato solo da pochi grandi pool, poiché ciò potrebbe isolare la valuta da possibili attacchi.

Al di là delle criptovalute, la prevenzione implica investimenti nella sicurezza informatica in una serie di forme, dalla formazione del personale a una cultura organizzativa che supporti la segnalazione degli incidenti. Implica anche investimenti in opzioni di ripristino, come back-up efficaci, competenze interne, assicurazioni e piani di emergenza collaudati.

Sfortunatamente, le pratiche di sicurezza informatica non stanno migliorando come si potrebbe sperare in molte organizzazioni e questo lascia la porta aperta ai criminali informatici. In sostanza, se vogliamo avere una possibilità contro la prossima generazione di aggressori ransomware, tutti devono migliorare nel nascondere e proteggere le proprie chiavi digitali e le informazioni sensibili.

Per te:altro dalla nostra serie Approfondimenti:

• L'Artico che si scioglie è una scena del crimine. I microbi che studio ci avvertono da tempo di questa catastrofe, ma sono anche loro a provocarla

• Le famose storie di Beatrix Potter affondano le loro radici nelle storie raccontate dagli africani ridotti in schiavitù, ma lei era molto riservata riguardo alle loro origini

• Invisible Windrush:come sono state dimenticate le storie dei lavoratori indiani a contratto dei Caraibi

Per conoscere i nuovi articoli di Insights, unisciti alle centinaia di migliaia di persone che apprezzano le notizie basate sull'evidenza di The Conversation. Iscriviti alla nostra newsletter .