Il nuovo disegno di legge cerca di forzare la divulgazione del pagamento del ransomware

Questa settimana è stato presentato un nuovo disegno di legge statunitense, come sforzo bicamerale, proposto dalla senatrice Elizabeth Warren e dalla rappresentante Deborah Ross. La proposta legislativa si chiama Ransom Disclosure Act e ha suscitato un po' di scalpore.

Il disegno di legge mira a rendere obbligatoria, regolamentata e molto più immediata la divulgazione delle informazioni da parte delle vittime di ransomware. In base alle modifiche proposte, le vittime del ransomware dovrebbero rivelare qualsiasi pagamento effettuato all'attore della minaccia coinvolto nell'attacco, l'importo richiesto dagli hacker e la valuta specifica utilizzata nello scambio di pagamento del riscatto.

Il disegno di legge è presentato come uno strumento tanto necessario per comprendere la portata e i dettagli degli attacchi ransomware, ma è stato considerato da alcuni come un passo per mettere le vittime del ransomware in una posizione ancora più ristretta e causare loro maggiore preoccupazione.

Mentre la divulgazione delle informazioni sembra una buona cosa, e anche se il disegno di legge non prevede l'inclusione di dettagli aziendali dai rapporti che devono essere prodotti dal Dipartimento per la sicurezza interna, secondo gli analisti i dati presentati non sono ancora adeguatamente protetti dalle richieste di divulgazione ai sensi del Freedom of Information Act, nonché ulteriori forme di possibile divulgazione.

La situazione è ulteriormente complicata dal fatto che quasi tutti gli attori di minacce ransomware hanno adottato più sedi di estorsione. Le bande di ransomware ora minacciano comunemente di far trapelare quantità significative di informazioni sensibili sulla vittima esfiltrate nel caso in cui la vittima contatti le autorità. Se il disegno di legge viene approvato, ciò non lascerebbe altra scelta alle vittime del ransomware e senza dubbio porterebbe a perdite significative di informazioni sensibili in attacchi futuri.

Si potrebbe sottolineare che le vittime di crimini quotidiani più comuni come i furti con scasso non sono obbligate per legge a denunciare il crimine alla polizia. Come estensione di questa linea di pensiero, alcuni ritengono che le vittime di ransomware a cui non sono stati esfiltrati dati dalla loro rete non dovrebbero essere costrette a segnalare anche l'attacco. Tuttavia, negli ultimi mesi, quasi ogni singolo attacco ransomware è stato accompagnato da furto ed esfiltrazione di dati, quindi questa è una possibilità che non è molto comune nella realtà. Il ransomware è in aumento da diversi anni ormai, con rapporti che affermano che nel corso della pandemia globale di Covid-19 iniziata all'inizio del 2020, gli attacchi ransomware sono cresciuti di un incredibile 72%.