Minder trovo presto piu lavoro. A volte era un’azienda importante che doveva far fronte a una richiesta di riscatto multimilionaria e la trattativa richiedeva settimane. A volte era una piccola impresa o un’organizzazione no profit che assumeva pro bono e cercava di concludere durante il fine settimana.
Ma GroupSense raramente ha guadagnato soldi dai negoziati. Alcuni negoziatori di ransomware addebitano una percentuale dell’importo scontato del riscatto. “Ma quegli approcci davvero redditizi sono maturi per la frode o per le accuse di frode”, ha affermato Minder. Invece, ha addebitato una tariffa oraria e sperato che alcune delle organizzazioni che ha aiutato si iscrivessero al prodotto principale di GroupSense, il software di monitoraggio della sicurezza.
Lo scorso marzo, dopo la chiusura dell’ufficio di GroupSense, Minder ha camminato in tondo nel suo appartamento di quattrocentosettanta piedi quadrati. “Ero, tipo, ho bisogno di fare un’escursione”, ha detto. Ha rimorchiato due motociclette in una casa in affitto a Grand Junction, in Colorado. Mentre il mondo andava in pezzi, i casi di ransomware continuavano ad arrivare. Minder ha gestito personalmente i negoziati; non voleva distrarre i suoi dipendenti e scopri che il lavoro richiedeva una certa finezza emotiva. “La maggior parte dei nostri dipendenti sono davvero tecnici e questa non e un’abilita tecnica, e una competenza trasversale”, mi ha detto. “E difficile addestrare le persone per questo.”
Lo scambio iniziale di messaggi e stato fondamentale. Le persone che sostenevano per proprio conto avevano la tendenza a rimproverare gli hacker, ma questo li irritava. Minder mirava a trasmettere una sorta di calorosa condiscendenza: “Tipo, siamo amici, ma non sai davvero cosa stai facendo”, ha spiegato. La sua ragazza, che parla rumeno, russo, ucraino e un po’ di lituano, lo ha aiutato a trovare colloquialismi che avrebbero dato il giusto tono. Gli piaceva chiamare gli hacker kuznechik , che in russo significa “cavalletta”.
Di tanto in tanto, Minder veniva chiamato per cercare di salvare le trattative che erano andate fuori dai binari. Se gli hacker sentivano che una trattativa si stava muovendo troppo lentamente, o sentivano di essere stati ingannati, potevano interrompere la comunicazione. Seguendo il consiglio di Chris Voss, un ex negoziatore di ostaggi dell’FBI che ora e un consulente di negoziazione, Minder ha cercato di stabilire “empatia tattica” rispecchiando i modelli linguistici dell’hacker.
Il piu delle volte, Minder si e ritrovato a trattare con un rappresentante di uno dei sindacati. “La prima persona con cui parli e, tipo, un supporto di livello uno”, mi ha detto. “Diranno qualcosa del tipo ‘Voglio lavorare con te, ma devo ottenere l’approvazione del mio manager per concedere questo tipo di sconto.’ “
GroupSense ha collaborato con CipherTrace, una societa di analisi blockchain, che ha permesso a Minder di vedere che era stato creato un particolare criptowallet e di tracciarne le transazioni. Determinare i pagamenti medi che fluiscono in un portafoglio gli ha dato un’idea del tasso corrente, quindi ha potuto evitare di pagare in eccesso. E arrivato a capire che i sindacati stavano lavorando da un copione. “Spesso possiamo andare dal cliente e dire come andra prima che inizi”, mi ha detto.
I clienti stessi potrebbero essere piu impegnativi. Minder gestiva tutte le comunicazioni da parte loro, attraverso un portale sicuro. Alcuni volevano modificare ogni messaggio agli hacker. “E come un gioco di spionaggio per loro”, ha detto Minder. Altri sono esplosi con rabbia o frustrazione. “A volte stai negoziando in due direzioni contemporaneamente: con l’hacker e con la vittima”, ha detto. “Devi avere un tipo di personalita in cui puoi essere empatico ma anche dare indicazioni in un modo che non sia conflittuale”.
Minder ha gia visto aumentare le tattiche di pressione e le richieste di riscatto. Nel 2018, il pagamento medio e stato di circa settemila dollari, secondo lo specialista di recupero di ransomware Coveware. Nel 2019 e cresciuto fino a quarantunmila dollari. Quell’anno, un grande sindacato di ransomware annuncio che si stava dissolvendo, dopo aver incassato due miliardi di dollari in pagamenti di riscatto in meno di due anni. “Siamo una prova vivente che puoi fare il male e andartene senza problemi”, ha scritto il sindacato in un messaggio di addio. Entro il 2020, il pagamento medio del riscatto era di oltre duecentomila dollari e alcune compagnie di assicurazione informatica hanno iniziato a uscire dal mercato. “Non credo che gli assicuratori capissero davvero il rischio che stavano correndo”, mi ha detto Reiner. “I numeri nel 2020 erano davvero pessimi, ma, alla fine del 2020, tutti si sono guardati intorno e hanno detto:
Nel 1971, un manager britannico di un impianto di confezionamento della carne argentino fu sequestrato da un gruppo di guerriglie. Diverse settimane dopo, dopo che il suo datore di lavoro ha pagato un riscatto di duecentocinquantamila dollari, e stato liberato. L’anno successivo, una societa di elettronica ha pagato il doppio per recuperare un dirigente rapito. Nel 1973, uomini d’affari in Centro America continuavano a essere rapiti, ei loro riscatti aumentarono a un ritmo allarmante: la Coca-Cola pago un milione di dollari; Kodak ha pagato $ 1,5 milioni; British American Tobacco ha pagato $ 1,7 milioni; Firestone ha pagato tre milioni. Un CEO ha guadagnato 2,3 milioni di dollari; quando fu rapito di nuovo, due anni dopo, il prezzo era salito a dieci milioni. Poi Juan e Jorge Born, eredi di un conglomerato multinazionale di trasformazione alimentare, sono stati catturati in uno schema che coinvolgeva segnali stradali falsi e agenti travestiti da operatori telefonici e agenti di polizia. Alla fine furono riscattati per sessanta milioni di dollari, piu un milione di dollari di vestiti e cibo da distribuire ai poveri. Assumersi il rischio del rapimento era “parte di cio che significa essere un dirigente”, ha detto a Gustavo Curtis, un manager americano che lavora in Colombia, il suo datore di lavoro poco prima del suo rapimento, nel 1976.
Per gran parte della storia umana, il rapimento e stato in gran parte un affare locale, governato da una certa quantita di rituali e reciprocita. La globalizzazione, la destabilizzazione politica e la crescente disuguaglianza hanno ribaltato queste norme. In Italia bande criminali rapivano stranieri facoltosi e figli di contadini; un anno, ottanta persone furono trattenute per un riscatto. John Paul Getty ha rifiutato di pagare di piu per il riscatto del nipote rapito di quanto potesse detrarre dalle sue tasse, secondo quanto riferito, tre milioni di dollari.
L’assicurazione contro il rapimento e il riscatto, un campo sorto dopo il rapimento e l’omicidio del bambino Lindbergh, nel 1932, aumento. Nel 1970 la dimensione del mercato era di circa centocinquantamila dollari; nel 1976 erano settanta milioni di dollari. La maggior parte delle polizze sono state sottoscritte dai Lloyd’s di Londra, il principale mercato mondiale delle assicurazioni specializzate. Presto ci furono analisti del rischio, che consigliarono agli assicurati come prevenire i rapimenti; societa di sicurezza private che offrivano protezione sul campo; e negoziatori specializzati, che subentravano se le cose andavano male.
Control Risks e stata fondata nel 1975, da ex membri delle forze speciali britanniche, per aiutare il settore assicurativo ad affrontare il problema del rapimento. I suoi dirigenti svolgevano il loro lavoro con discrezione patrizia. Quando, nel 1977, due dei suoi membri fondatori furono arrestati in Colombia – nessuno era abbastanza sicuro se la nascente industria della negoziazione fosse legale – trascorsero le dieci settimane di detenzione scrivendo un codice di condotta per la loro azienda. (I membri sono stati successivamente esonerati.)
Circa tre quarti delle societa Fortune 500 alla fine hanno investito in assicurazioni contro rapimenti e riscatti, ma c’era un certo disagio con un’industria che ha realizzato profitti incanalando denaro verso la mafia, i gruppi terroristici e le bande criminali. “C’e la sensazione che non dovresti guadagnare troppi soldi”, ha detto al Times un co-fondatore di Control Risks , nel 1979. Italia, Colombia e Regno Unito hanno tutti bandito l’assicurazione contro il rapimento e il riscatto.
Ma Anja Shortland, professoressa di economia politica al King’s College di Londra, mi ha detto che gli intermediari privati dei rapimenti sono stati fondamentali nell’istituire quella che lei chiama “disciplina del riscatto”. Control Risks non si e limitato a negoziare riscatti; ha anche fornito audit di sicurezza, consigliando le aziende su come evitare che il personale venisse rapito in primo luogo. Gli assicuratori hanno offerto premi ridotti alle compagnie che hanno rafforzato la loro sicurezza, riducendo i tassi complessivi di rapimento. Quando i rapimenti sono avvenuti, abili negoziatori hanno impedito alle richieste di riscatto di perdere il controllo. Al giorno d’oggi, circa il novanta per cento dei rapimenti viene risolto, in genere attraverso il pagamento di un riscatto; quando sono coinvolti specialisti, il tasso di successo sale al novantasette per cento. I paesi che hanno vietato l’assicurazione contro i rapimenti hanno spinto i negoziati sottoterra.
Shortland e specializzato in economia del crimine. “Molti aspetti economici sono: assumiamo tutte le complessita in modo da poter trovare un problema trattabile”, mi ha detto. “E sto solo abbracciando le complessita.” Per comprendere meglio l’industria del rapimento per riscatto, ha studiato da vicino il mercato della pirateria e dei rapimenti in Somalia, dove ha visto come assicuratori privati, consulenti e negoziatori hanno favorito una certa prevedibilita in un commercio che e generalmente descritto come indisciplinato. “C’e un ritmo, un ritmo in queste cose”, come le ha detto un negoziatore.
L’ordine, che si basa su un presupposto reciproco della buona fede, giova a tutte le parti, mi ha detto Shortland. I rapitori ricevono un tasso di ritorno previsto; i rapiti possono ragionevolmente aspettarsi di essere rilasciati intatti; le aziende in aree pericolose possono presumere che il loro personale non verra rapito, ma, se lo sono, quasi certamente non verranno uccisi. E le compagnie di assicurazione e i consulenti possono riscuotere i loro compensi.
Il ransomware ha un “impatto cinetico” minore rispetto al rapimento, mi ha detto Bill Siegel, il co-fondatore di Coveware, cioe nessuno invia le orecchie mozzate nella posta. Ma, per un economista, le differenze sono piccole. “Stanno creando tipi di istituzioni molto simili a quelli creati dalla comunita di rapimenti e riscatti”, ha detto Shortland. “Ma sono indietro di circa ottant’anni.”
Quando e diventato chiaro che i casi di ransomware non stavano rallentando, Minder ha addestrato due dei suoi dipendenti a gestire le negoziazioni; uno di loro era Mike Fowler, un ex detective della narcotici della Carolina del Nord. Lavorare sotto copertura aveva insegnato a Fowler come entrare nel personaggio, che, mi ha detto, “e parte integrante dell’essere un negoziatore efficace”.
Lo scorso novembre, Fowler e stato il negoziatore designato per l’impresa di ingegneria edile. Quando si e connesso al sito dark-web, ha notato che il timer mostrava che erano gia trascorsi tre giorni dalle trattative. Nella finestra della chat era in corso una conversazione. “E stato scioccante per me”, ha detto Fowler. “Questa e un’intera trattativa – mal fatta, ma tutta una trattativa – che sto guardando.”