L’avanzata dei ransomware: come difendersi dalla minaccia

Dopo il colossale attacco che ha visto vittima la Colonial Pipeline, capace di provocare enormi disservizi e blocchi nella rete infrastrutturale energetica della East Coast degli Stati Uniti, arriva la notizia di un nuovo attacco. Anche in questo caso il colpo è stato inferto a un settore fondamentale dell’economia a stelle e strisce. Parliamo di quello alimentare: JBS, una delle principali società del Paese per quanto riguarda la macellazione e la distribuzione di carne, è stata costretta a bloccare temporaneamente le proprie operazioni a seguito di un attacco della cyber gang russa REvil.

Gli effetti sono stati significativi: secondo le prime stime, il calo di produzione di carne negli Stati Uniti sarà di almeno il 20%, con possibili rialzi dei prezzi dovuti alla riduzione dell’offerta. Questo ennesimo caso non fa altro che dimostrare che le infrastrutture fondamentali, anche del Paese più ricco del mondo, sono vulnerabili e possono subire grosse perdite a seguito di cyber attacchi. È possibile difendersi da tale minaccia? È necessario l’intervento del legislatore statale o si tratta semplicemente di una questione tecnologica?

Danni multimilionari e i ransomware

I costi legati a queste offensive sono altissimi. Nel 2020 sono stati pagati 350 milioni di dollari in riscatti, con un aumento del 300% rispetto al 2019. I costi complessivi derivanti da disservizi, danni di immagine, aumento di costi e altre voci, arriverebbero a 21 miliardi di dollari per il solo settore della Sanità. Le conseguenze di tali eventi sono sempre più visibili nel mondo reale, andando ben oltre il mero pagamento di un riscatto a seguito di estorsione.

Le istituzioni pubbliche non sembrano ancora pronte ad approcciare la questione con la necessaria forza. Solo recentemente il presidente entrante degli Stati Uniti, Joe Biden ha promulgato un ordine esecutivo volto a favorire lo scambio di informazioni e la messa in sicurezza delle catene di fornitura governative. Purtroppo tali misure non sembrano sufficienti e proporzionate agli enormi rischi legati ai ransomware.

LEGGI ANCHE > Una delle più grandi compagnie assicurative USA ha pagato 40 milioni per un ransomware

Colpire in profondità

Finora, gli unici interventi che sembrano aver determinato delle conseguenze positive tangibili sono quelli che hanno minato dall’interno la solidità delle organizzazioni criminali. Come nel caso di recenti indagini dell’Europol che hanno sgominato cyber gang arrestando le figure di spicco all’interno dell’organigramma. Proprio il corpo amministrativo sembra il più attento sul tema, con la campagna No More Ransom (Basta riscatti) che ha lo scopo di prevenire gli attacchi e sensibilizzare le aziende sui rischi dei ransomware.

In altri termini il potere giudiziario, storicamente nelle mani degli Stati, deve farsi sentire più forte nei confronti di hacker criminali che troppo spesso hanno la sensazione di poterla passare liscia. Se si considerano i potenziali ritorni economici di tale attività e i conseguenti danni, è fondamentale che ci sia una corretta proporzione della pena.

Dal punto di vista pratico, però, non è semplice a farsi. Le organizzazioni criminali non sono statiche e immutabili: hanno sempre più assunto forme dinamiche, simili in molti aspetti alle aziende che colpiscono (in termini di modus operandi, recruiting, ecc.).

In questo contesto, lo sviluppo del fenomeno “ransomware as a service” non ha fatto altro che rendere ancora più semplice porre in essere un attacco di questo tipo e, dall’altro lato, più complesso comprendere il fenomeno e consegnare alla giustizia i responsabili. Il modello è così funzionale, che viene applicato in più del 60% dei casi.

La tripla estorsione

Inizialmente gli schemi di riscatto seguivano traiettorie piuttosto semplici e lineari. Col passare del tempo e con l’affinarsi delle misure difensive, le cyber gang specializzate in quest’ambito, si sono viste costrette a investire in “R&D” creando nuove modalità operative.

La prima sostanziale evoluzione si è concretizzata con la doppia estorsione. Ovvero, oltre a cifrare i dati, quest’ultimi vengono esfiltrati dai sistemi informatici del target. Così, nel caso in cui la vittima decida di non pagare il riscatto, l’organizzazione criminale potrà anche minacciare di rendere pubblici i dati sottratti.

Negli ultimi mesi si è aggiunto un nuovo livello di complessità, quello della tripla estorsione. In questo caso, dopo aver sottratto i dati e non aver ricevuto il riscatto richiesto, i criminali si rivolgeranno a clienti, partner commerciali e altre entità esterne ma collegate all’azienda colpita per ottenere maggiori ritorni economici.

Come difendersi dalle gang dei ransomware?

Ad attacco ultimato, neanche strategie di disaster recovery e backup possono salvare la più preparata delle aziende da attacchi a tripla estorsione. Se l’attacco diventa pubblico, anche nel caso in cui non venga pagato il riscatto, ci sarà comunque un danno d’immagine (di valore variabile).

Per questo motivo la prevenzione è fondamentale. Applicazione costante di una patching policy adeguata, aggiornamento di tutti gli elementi hardware e software parte della rete informatica e formazione del personale sono i passaggi obbligati. A livello macro, sarebbe auspicabile una maggiore spinta da parte delle amministrazioni e dell’opinione pubblica. A riguardo la Convenzione di Budapest potrebbe segnare il punto di svolta, con la condivisione internazionale tramite trattato di standard comuni sulle indagini in tema di cybercrime. Non abbassiamo la guardia.

* Pierguido Iezzi si occupa da anni di cyberSecurity e Digital Innovation. Ha fondato e segue diverse start-up. Cybersecurity Director e CEO di Swascan.