Il pagamento di riscatti rafforza l’infrastruttura degli attacchi DDoS

19.11.2015 - Attualmente l’estorsione è uno dei metodi privilegiati dai criminali cibernetici che mirano a realizzare un rapido guadagno finanziario. Per estorcere denaro a una vittima possono essere utilizzati diversi tipi di attacchi, tra i quali figurano anche gli attacchi DDoS («Distributed Denial of Service»), che mirano a limitare la disponibilità di siti o servizi in rete. Quest’anno MELANI ha informato a più riprese sulla realtà di simili attacchi e sulle conseguenti estorsioni operate dai gruppi Armada Collective e DD4BC, i quali hanno destato l’attenzione dei media in Svizzera. MELANI sconsiglia vivamente di cedere alle richieste degli estorsori.

Gli attacchi DDoS sono un fenomeno conosciuto da tempo e finora i motivi alla loro base erano per lo più legati all’attivismo politico o all’intenzione di danneggiare un concorrente. Quest’anno sono invece aumentati gli attacchi a fini prettamente finanziari. Gli estorsori si sono infatti concentrati principalmente su imprese con modelli aziendali per i quali la reperibilità del sito Internet è particolarmente importante e quindi presentano un elevato potenziale di estorsione. Messe sotto pressione dalle minacce di inaccessibilità del loro sito Internet e nella speranza di risolvere velocemente la situazione, alcune imprese prendono in considerazione la possibilità di pagare un riscatto. In questo modo non soltanto si permette agli estorsori di farla franca, ma si mettono anche a loro disposizione mezzi finanziari per intensificare gli attacchi e potenziarne l’infrastruttura. I criminali cibernetici utilizzano sovente i cosiddetti servizi booter o stresser, ovvero strumenti informatici che scatenano attacchi DDoS a pagamento (una sorta di «DDoS as a service»). La quantità di denaro a disposizione dell’estorsore è direttamente proporzionale al volume degli attacchi (sia in termini di intensità che di durata) che potrà sferrare tramite un fornitore di servizi simile. Per contro, se le vittime non cedono al ricatto, il modello degli estorsori non funziona più. MELANI sconsiglia il pagamento di riscatti per le ragioni seguenti:

  1. Pagare il riscatto non garantisce che l’attacco non venga comunque sferrato.
  2. Non vi è alcuna garanzia che l’attacco non venga ripetuto con un’altra richiesta o tramite un altro gruppo.
  3. Il pagamento di un riscatto rivela le debolezze della vittima e induce l’estorsore a testare altri vettori di attacco.
  4. I criminali cibernetici sono ben organizzati. La disponibilità di una vittima a pagare un riscatto è un’informazione che si diffonde velocemente. Di conseguenza aumenta la probabilità di subire attacchi anche da altri gruppi.
  5. Il pagamento di riscatti finanzia e rafforza l’infrastruttura DDoS dei criminali. Con il denaro ottenuto potranno permettersi un’infrastruttura migliore e gli attacchi successivi saranno quindi ancora più forti. In tal modo aumentano anche i costi per difendersi efficacemente.
  6. Il pagamento di un riscatto incoraggia l’estorsore, poiché ne accresce la determinazione.
  7. Le risorse finanziarie impiegate per pagare il riscatto sono risorse sottratte a misure di protezione adeguate.

Alla luce di quanto esposto finora, il pagamento di riscatti è tuttalpiù un palliativo temporaneo e senza garanzia. In tal modo non si contribuisce a rafforzare la propria infrastruttura a lungo termine né a proteggere Internet dagli attacchi DDoS. Al contrario, la sicurezza finanziaria degli estorsori aumenta le loro possibilità di sferrare attacchi duraturi ed efficaci e indebolisce sempre di più la capacità di resistenza della vittima e di tutti gli altri utenti.

In caso di estorsione, MELANI raccomanda di sporgere denuncia al posto di polizia più vicino o quanto meno di comunicare l’accaduto al Servizio nazionale di coordinazione per la lotta contro la criminalità su Internet (SCOCI). Più sono gli indizi su una banda di estorsori a disposizione, maggiori saranno le possibilità che un’indagine vada a buon fine.

Abbiamo riassunto le misure preventive per la protezione dagli attacchi DDoS in una lista di controllo. Idealmente un’impresa si confronta con questa problematica prima che si verifichi un attacco nel quadro della gestione dei rischi generale a livello di direzione e prepara l’azienda a difendersi dagli attacchi DDoS. Un attacco DDoS può colpire qualsiasi organizzazione! Contattate il vostro fornitore di servizi Internet per discutere delle vostre esigenze e dei provvedimenti adeguati:

Per una sintesi tecnica visitate anche il post pubblicato in data odierna sul blog GovCERT.ch:  

Informazioni supplementari: 

https://www.melani.admin.ch/content/melani/it/home/dokumentation/bollettino-d-informazione/ddos_extortion.html