sicurezza delle infrastrutture critiche
e
crimine informatico
e
La criminalità informatica come servizio
Europol: arresto del servizio VPN per la cooperazione e il coordinamento
VPN Lab, uno dei servizi di rete privata virtuale più longevi, noto per il suo presunto uso diffuso da parte di attori di minacce ransomware, è stato chiuso. Secondo Europol, quindici server collegati a VPNLab.net sono stati violati o disabilitati sulla base di molteplici indagini internazionali che collegano il provider di servizi VPN alle operazioni di criminalità informatica. I crimini informatici associati vanno dalla distribuzione di malware alle operazioni di ransomware di alto valore.
Guarda anche: Webinar dal vivo | I 7 rischi più importanti per i tuoi dati sensibili nel 2022 e come trattarli
Alcuni esperti di sicurezza ritengono che il processo evidenzi la complessità di assicurare i criminali informatici alla giustizia. Aggiungono che anche i fornitori di servizi che evitano qualsiasi contatto con le campagne di ransomware si sono rivelati una sfida, anche se l’indagine dell’UE ha prodotto risultati tangibili.
secondo Dichiarazione dell’Europol, l’agenzia di contrasto dell’Unione europea, la chiusura è avvenuta lunedì sotto gli auspici della Piattaforma multidisciplinare europea contro le minacce criminali, oppure Impatto.
Le autorità hanno sostituito i messaggi della home page di VPNLab con una dichiarazione che il sito era stato violato. Il promemoria afferma che le autorità tedesche hanno condotto “un’indagine prolungata” e “sono riuscite ad accedere ai server e a confiscare i dati dei clienti archiviati all’interno”.
La piattaforma, che è stata ampiamente associata alla criminalità informatica, in particolare a 150 attacchi ransomware, è una delle più longeve, creata nel 2008. Costa anche meno di $ 60 all’anno, fornendo ai criminali informatici un modo conveniente per nascondere la propria ubicazione.
VPNLab è stata anche una “scelta popolare” per i criminali informatici, secondo Europol, che afferma che la doppia VPN ha server in più paesi.
Le autorità affermano anche nel mandato di sequestro che le loro indagini sui dati dei clienti per questa rete continueranno.
Le forze dell’ordine di 10 paesi hanno partecipato al sequestro, tra cui Germania, Paesi Bassi, Canada, Repubblica Ceca, Francia, Ungheria, Lettonia, Ucraina, Stati Uniti e Regno Unito, e hanno tenuto 60 riunioni di coordinamento.
Insegui i criminali informatici
Una sfida importante per gli sforzi di contrasto deriva dalle numerose bande di ransomware che operano all’interno dei confini della Federazione Russa, afferma Gareth Owenson, Chief Technology Officer e co-fondatore della società di monitoraggio della darknet Searchlight Security. Spesso, quando si verifica una repressione, il gruppo riemerge con “un certo grado di impunità”, ha detto.
Owenson afferma che questa acquisizione è un chiaro segno che le autorità internazionali stanno identificando e prendendo di mira le operazioni dei criminali informatici, anche concentrandosi su come possono trarre vantaggio da strumenti come le VPN per proteggere le loro identità.
“Se sei coinvolto in criminalità nel dark web, è molto difficile nasconderti completamente: devi solo fare un errore delle forze dell’ordine per farti catturare”, dice Owenson.
“La messa a punto della sicurezza viene ora inserita nel mondo online come chip di poker internazionale; non è più un ripensamento”, afferma Neil Jones, cybersecurity evangelist di Egnyte. “Come abbiamo visto qui, ci vuole coordinamento, trasparenza e diplomazia”.
Jones afferma che l’evento ha anche attirato l’attenzione dei fornitori di tecnologia, descrivendolo come una “bocca d’aria fresca” per vedere le autorità chiudere un servizio che ha facilitato i crimini di blocco delle criptovalute.
Steve Moore, Senior Security Strategist di Exabeam, aggiunge che è fondamentale avere il supporto delle forze dell’ordine internazionali per affrontare adeguatamente la criminalità informatica.
“I grandi attacchi richiedono il coinvolgimento di difensori delle forze dell’ordine”, afferma. “I team di sicurezza devono rendere la loro leadership consapevole di ciò che significa, soprattutto perché influisce sulla tempistica di risposta”.
Diversità di ruoli nella criminalità informatica
Tuttavia, alcuni esperti ritengono che non ci sia sufficiente attenzione ai fornitori di tecnologia che hanno dimostrato di essere ransomware.
“In questo caso, sembra che il provider VPN abbia un alto tasso di criminali e potrebbe non aver collaborato con le richieste delle forze dell’ordine”, afferma Owenson di Searchlight Security. “Anche facilitare la criminalità è spesso considerato un reato anche se non si contaminano direttamente le mani”.
Poiché a volte alcuni fornitori di servizi hanno dimostrato la loro capacità di eludere la legge, operano in gran parte “senza alcun timore di ripercussioni”, afferma John Pampnik, capo della ricerca sulle minacce per la società di sicurezza Netenrich.
E Owenson afferma che i provider VPN, se non lo hanno già fatto, dovrebbero prestare maggiore attenzione alla loro base di clienti.
“Coloro che fanno pubblicità attivamente in luoghi in cui si verificano molti crimini si mettono a rischio di essere perseguiti”, afferma.
Le prossime mosse degli operatori di ransomware
Chiudendo VPNLab, dozzine di “attacchi informatici deliberati” avrebbero potuto essere mitigati, afferma Austin Merritt, analista di intelligence sulle minacce informatiche presso Digital Shadows.
Tuttavia, Merritt avverte che i gruppi di ransomware sono pronti a riorganizzare le loro operazioni e sono costantemente alla ricerca di nuovi strumenti.
“VPNLab è solo uno dei tanti servizi VPN che gli aggressori utilizzano frequentemente per attività illegali di criminali informatici”, afferma Merritt, aggiungendo che le rimozioni di alto profilo, come DoubleVPN nel giugno 2021, stanno spingendo i criminali informatici a “passare rapidamente alle VPN criminali”. Servizi.
Merritt afferma che i criminali informatici spesso affollano i forum online e pubblicizzano servizi VPN che possono ospitare l’ingegneria del ransomware. Dice che questo presenta un altro dilemma per le forze dell’ordine, perché le tattiche di attacco informatico si stanno espandendo.
“Prima di questa rimozione, avevamo visto alcuni attori delle minacce abbandonare VPNLab semplicemente perché negli ultimi mesi si era comportato male. È realisticamente possibile che i criminali informatici stessero già acquistando nuovi servizi VPN e, se non l’hanno ancora fatto, è possibile che Lo cercano a breve termine”, dice Merritt.
Lotta globale contro il ransomware
Nonostante la prevalenza di attacchi ransomware negli ultimi 12 mesi, l’amministrazione Biden, inclusa la Cyber and Infrastructure Security Agency degli Stati Uniti, ha continuato a concentrarsi sul contenimento degli attacchi di criptovalute, in parte mediante l’emissione di Raccomandazioni per la sicurezza VPN nel 2021.
Gli Stati Uniti hanno imposto sanzioni su piattaforme di criptovaluta – che sono spesso utilizzate per riciclare guadagni illeciti legati alla criminalità informatica – come Suex e Chatex in Russia (vedi: Il Tesoro degli Stati Uniti inserisce nella lista nera lo scambio di criptovalute russo).
La scorsa settimana, le autorità russe hanno arrestato le accuse di Operatori di ransomware REvil associati. Resta da vedere se questo processo cambierà i modelli della criminalità informatica russa.
“Un arresto o una rimozione una tantum non è sufficiente per fermare il crimine informatico, che genera miliardi di dollari all’anno”, afferma Bampnik di Nittenrich. Aggiunge che per apportare un cambiamento a lungo termine, le rimozioni come quelle di VPNLab dovranno avvenire frequentemente.
“Se [large-scale crackdowns] Continuando a confrontarsi con altri fornitori, la capacità degli operatori di ransomware di persistere è ostacolata perché hanno bisogno di questi servizi”, afferma.
“Esploratore. Appassionato di bacon. Social mediaholic. Introverso. Gamer. Studente esasperatamente umile.”