Più cresce il valore dei bitcoin, e di conseguenza aumenta l’interesse del pubblico per le criptovalute, più i cybercriminali approfittano delle opportunità che si creano per attirare potenziali vittime e generare profitti illeciti.
I ricercatori di Barracuda hanno recentemente analizzato gli attacchi BEC (business email compromise) e di impersonation lanciati tra l’ottobre 2020 e il maggio 2021, scoprendo che il volume di attacchi legati alle criptovalute segue fedelmente l’aumento del prezzo dei bitcoin. Tra ottobre 2020 e aprile 2021, il prezzo dei bitcoin è cresciuto di quasi il 400% e, nello stesso periodo, gli attacchi di impersonation sono aumentati del 192%.
Di seguito, un’analisi dei metodi con cui i criminali sfruttano le criptovalute con attacchi di spear phishing, business email compromise e ransomware, nonché le soluzioni che possono aiutare a individuare, bloccare e rimediare agli attacchi.
La minaccia
Criptovalute e minacce email
Le criptovalute sono un tipo di valuta che esiste solo in format digitale. Grazie alla natura decentralizzata delle criptovalute e all’assenza di regole, sono diventate le valute preferite dai cybercriminali.
Tradizionalmente sono usate negli attacchi ransomware e nelle estorsioni, ma recentemente i cybercriminali hanno iniziato a usarle anche in altri tipi di attacchi, come spear phishing, impersonation e business email compromise.
Fino a poco tempo fa, non era possibile usare le criptovalute nel mondo reale per pagare beni e servizi. Eppure, il fatto che alcune aziende abbiano annunciato l’intenzione di accettare pagamenti in bitcoin ha generato molto interesse nelle criptovalute facendone crescere il valore. Il valore dei bitcoin è aumentato così di quasi il 400% tra ottobre 2020 e aprile 2021 e i cyberattacchi hanno seguito il trend con una crescita del 192% degli attacchi di impersonation nello stesso periodo.
I dettagli
Gli hacker chiedono un pagamento in bitcoin nelle estorsioni, quando ad esempio dichiarano di essere in possesso di video o di informazioni compromettenti che saranno resi pubblici se la vittima non pagherà. Questo schema non è nuovo ma con l’aumento del valore dei bitcoin i criminali hanno messo a punto sistemi più sofisticati per approfittare della situazione.
Negli ultimi otto mesi, il numero di attacchi di impersonation e business email compromise legati alle criptovalute ha seguito da vicino l’aumento di prezzo dei bitcoin. Gli hacker fingevano di essere borsellini digitali o altre app legate alle criptovalute, segnalando finte allerte di sicurezza per impossessarsi delle credenziali di accesso. In pratica, la stessa tattica usata in passato quando fingevano di essere la banca della vittima per rubare i dati di accesso al conto corrente.
I cybercriminali hanno anche iniziato a usare i bitcoin negli attacchi di business email compromise in cui fingono di essere dipendenti di una qualche organizzazione. Le email sono mirate e personalizzate in modo da spingere le vittime ad acquistare bitcoin, donarli a qualche falsa organizzazione benefica o pagare con criptovaluta le fatture di un finto fornitore.
I ricercatori hanno utilizzato le funzionalità di elaborazione del linguaggio naturale dell’intelligenza artificiale di Barracuda per analizzare il linguaggio usato in questo genere di attacchi e individuare le frasi chiave e le call to action usate per convincere le vittime. Analogamente ai tipici attacchi BEC, i cybercriminali tendono a creare un senso di urgenza con frasi tipo “rispondi subito” prima che “scadano i termini”. La call to action in genere tende a portare le vittime alla ‘bitcoin machine più vicina’. Gli hacker giocano anche sulla sensibilità delle persone sollecitando donazioni a favore di organizzazioni benefiche.
Criptovalute e ransomware
Data la rapida crescita del valore percepito dei bitcoin, gli attacchi ransomware creano più danno che mai. Le criptovalute sembrano essere la valuta perfetta per le attività criminose: sono difficili da tracciare, non regolamentate e sempre più costose, tutti elementi che forniscono ai criminali validi motivi per utilizzarle.
Nell’ultimo anno, la trasformazione digitale ha subito una forte accelerazione con la maggior parte delle persone costrette a lavorare da remoto. Di conseguenza, oggi vengono creati e memorizzati nelle app collaborative molti più dati: molte più informazioni sono quindi esposte agli attacchi, diventando un obiettivo interessante per i cybercriminali.
Inoltre, non serve essere un genio della tecnologia per lanciare un attacco ransomware. Nel dark web si sta rapidamente diffondendo il Ransomware-as-a-Service, in cui chiunque può assoldare un gruppo di hacker per condurre un attacco per proprio conto. Questo fa sì che il ransomware sia molto più accessibile ai cybercriminali, generando un numero crescente di attacchi.
Il numero di attacchi ransomware è sempre cresciuto di anno in anno e, di pari passo, sono cresciute le somme richieste. Nel 2019 le richieste di riscatto andavano da poche migliaia a 2 milioni di dollari, ma nei primi sei mesi di quest’anno la maggior parte delle richieste era nell’ordine dei milioni di dollari, con una percentuale significativa oltre i 20 milioni.
È difficile stabilire per quale motivo le richieste siano cresciute in questo modo, ma probabilmente ci sono un paio di motivi che possono contribuire a spiegarlo. In primo luogo, sempre meno aziende pagano il riscatto, preferendo correre il rischio. In secondo luogo, i pagamenti sono più tracciabili che in passato. Quando si parla di milioni di dollari, anche le forze di polizia sono più motivate a tracciare il denaro, restituirlo alle vittime e, talvolta, arrestare i colpevoli. Colonial Pipeline, ad esempio, è riuscita a recuperare una quota significativa del riscatto. È naturale quindi che le richieste di riscatto siano più alte, sia per essere convenienti per i cybercriminali sia per ‘ripagare’ il rischio. I cybercriminali potrebbero sempre chiedere le stesse cifre in bitcoin, ma al crescere del prezzo delle criptovalute, il costo per le vittime potrebbe essere non sostenibile.
Il futuro delle criptovalute e del cybercrimine
Le criptovalute hanno reso possibile e alimentato un’economia multimiliardaria di ransomware, cyberestorsioni e impersonation. Questi attacchi sono rivolti non solo ad aziende, ma anche a infrastrutture critiche, con seri rischi per la sicurezza nazionale. Dopo gli attacchi riusciti contro Colonial Pipeline e JBS – in entrambi i casi le organizzazioni hanno pagato il riscatto – gli hacker rivolgeranno le loro attenzioni ad altri settori critici, come l’energia e il rifornimento idrico.
Probabilmente, questi attacchi di alto profilo spingeranno i governi a regolamentare i bitcoin, rendendo la vita più difficile agli hacker. Il Dipartimento di Giustizia degli Stati Uniti d’America è già riuscito a tracciare il borsellino digitale degli hacker e a recuperare buona parte del riscatto pagato da Colonial Pipeline. Più cresce la popolarità dei bitcoin, più crescerà il loro valore, ma anche l’interesse dei governi a intervenire e regolamentare.
Come proteggersi dalle minacce legate alle criptovalute
- Proteggersi dagli attacchi fisici. Abbiamo ormai imparato che i cybercriminali sfruttano l’attualità per dare valore ai propri attacchi. Se in passato chiedevano bonifici e buoni regalo, ora cercano di spingere le vittime a comprare e vendere bitcoin. Le organizzazioni devono essere aggiornate su questi nuovi trend per proteggere i propri utenti.
- Insegnare agli utenti a riconoscere le nuove minacce. È fondamentale continuare a formare gli utenti affinché possano riconoscere le tattiche usate dagli hacker. Le simulazioni di attacchi di phishing dovrebbero essere una parte essenziale dei programmi di formazione per essere ragionevolmente sicuri che essi sappiano riconoscerli ed evitarli.
- Proteggere le applicazioni web. Le applicazioni online, come ad esempio i servizi di file sharing, i moduli web e i siti di ecommerce possono essere compromessi dagli attacchi e usati per introdurre il ransomware. È opportuno prendere in considerazione soluzioni WAF-as-a-Service o WAAP che offrono mitigazione dei bot, protezione DDoS, sicurezza API e protezione delle credenziali, assicurandosi che siano correttamente configurate.
- Backup dei dati. Nel caso in cui un attacco ransomware abbia successo, una soluzione cloud di backup può permettere di minimizzare il downtime, prevenire la perdita di dati e ripristinare velocemente i sistemi sia che i file si trovino su dispositivi fisici locali, in ambienti virtuali o nel cloud pubblico.
- Non pagare il riscatto. Quando sono vittime di un attacco ransomware, molte organizzazioni o semplici cittadini non sanno se ci sono alternative al pagamento del riscatto. Proprio su questo puntano gli hacker, che sono così incoraggiati a lanciare sempre più attacchi e a chiedere sempre più denaro. Meglio, se possibile, coinvolgere le forze di polizia per cercare una soluzione.