Attacchi ransomware: cosa sono e come difendersi

di Andrea Broglia


L’evoluzione degli attacchi

La recente pubblicazione della mappa live degli attacchi ransomware su questa Rivista conferma quello che tante notizie ci ricordano quotidianamente: il cybercrime è in costante crescita, evolve e si perfeziona, crea minacce generalizzate ma anche sofisticate e mirate.

L’ultimo Rapporto del Clusit, l’Associazione italiana per la sicurezza informatica, si apre con un’affermazione che lascia poco spazio all’immaginazione: “Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità … dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata.”[2]

I dati del rapporto confermano che, se da un lato diminuiscono, rispetto al 2020, le attività riferibili alla categoria “Hacktivism” (-58,3%) e Cyber Espionage (-17,8%), aumentano invece gli attacchi riferibili all’”Information Warfare” (+11,4%) e, soprattutto, quelli dovuti al “Cybercrime” (+16,1%); quest’ultimi ultimi sono caratterizzati da un’incidenza percentuale, sul totale degli attacchi gravi di dominio pubblico, addirittura dell’86%[3].

Non si tratta di affermazioni isolate[4]: la recente Relazione 2021 sulla politica dell’informazione per la sicurezza curata dal Comparto Intelligence, con cui il Governo riferisce al Parlamento, definisce il rischio cyber come il “paradigma” della minaccia[5].

Questi e altri studi[6] sottolineano una significativa diversificazione delle modalità di attacco e, insieme, l’evoluzione delle capacità organizzative delle associazioni criminali, sempre più simili alle tradizionali forme di stampo criminale ed estorsivo.

I modelli rilevati confermano che se nel passato gli attacchi ransomware erano prevalentemente eseguiti mediante la criptazione dei dati delle vittime[7], oggi, invece, le dinamiche sono caratterizzate dalla più affidabile tecnica della c.d. “double extortion”.

Questa modalità perfeziona e massimizza severity e remuneratività dell’attacco: non solo la vittima subisce la criptazione, ma, a motivo della precedente copia dei dati, l’ulteriore minaccia della pubblicazione del leak nel dark web consente ai criminali di “bypassare” l’eventuale backup effettuato della vittima, aumentando il pericolo aziendale per le possibili conseguenze del mancato pagamento del riscatto[8].

L’estensione del perimetro di sicurezza da monitorare, l’aumento della complessità infrastrutturale delle aziende, l’interconnessione della supply chain, l’implementazione spesso non adeguatamente presidiata del cloud, il remote working degli ultimi due anni pandemici, le antiche, quanto sempre proficue attività di social engineering, sono tutti fattori che causano e al contempo consentono una pervasiva distribuzione di malware[9].

Una volta che il ransomware è stato predisposto, consegnato e installato nei sistemi della vittima, l’attaccante acquisisce il controllo delle risorse target; prima ancora di criptare i dati e le informazioni, ne estrae copia che, come visto, viene utilizzata per la seconda fase del progetto estorsivo: la minaccia di rendere pubblici l’incidente e la sottrazione dei dati convincono spesso le vittime ad un secondo versamento.

Le richieste di riscatto (ransom) riguardano quindi non solo le somme necessarie alla decriptazione dei dati (per fronteggiare la quale molte aziende hanno ormai “imparato” quanto sia necessaria una adeguata politica di backup dei sistemi), ma anche, ulteriormente, altre somme per evitare il rilascio o la pubblicazione delle informazioni rubate.

L’altra accennata, significativa e preoccupante indicazione degli studi citati, evidenzia il proliferare di vere e proprie organizzazioni, perfettamente strutturate, pronte a fornire tipologie e modalità di attacco confezionate “su misura”: il c.d. Ransomware as a Service (RaaS, sul modello dei più conosciuti e legittimi SaaS).

Proprio come noti provider di servizi, i gruppi criminali, organizzati in corporate dotate di organigrammi e dipartimenti (R&D, HR, Comunicazione, PR, ecc.) forniscono ai clienti “parti” e/o servizi dedicati a specifici attacchi: da chi si occupa della ricerca degli obiettivi mediante apposite soluzioni[10], a chi realizza la c.d. “weaponization”, la preparazione dello specifico vettore di attacco e, via via, attraverso le altre fasi, fino al personale specializzato nei contatti con le vittime, in grado di aiutare nell’acquisto di moneta virtuale per eseguire i pagamenti[11].

I dati e le analisi che abbiamo solo parzialmente citato confermano una situazione di gravità del pericolo cybercrime che non è il caso sottovalutare.

I recenti e drammatici sviluppi del conflitto Russia – Ucraina hanno, se possibile, aumentato ed enfatizzato il problema.

Insieme alla guerra cinetica, infatti, si sta svolgendo anche una sotterranea e pericolosa guerra cibernetica: diversi eserciti, composti da truppe eterogenee si affrontano, spesso sotto coperture di sola facciata.

L’Agenzia per la Cybersicurezza Nazionale[12] e il CSIRT[13], non mancano di seguire attentamente gli sviluppi del conflitto e di fornire indicazioni agli operatori[14]. Mentre infuriano le azioni militari di tipo “classico” e i soldati si confrontano sul campo, ci sono altri eserciti che si affrontano in una diversa tipologia di guerra[15].

E’ confermato infatti da molte autorevoli fonti che gli attacchi informatici russi siano cominciati ben prima dell’effettivo inizio delle operazioni militari sul campo. D’altro canto l’esercito informatico che si oppone all’avanzata russa è costituito da gruppi come Anonymous e da altri soggetti, talvolta in azione solo con pochi strumenti o per fornire supporto tecnologico. Da oltre due mesi risultano attacchi DDoS[16], ma anche una aumentata diffusione di malware del tipo “wiper”, che cancellano dati e informazioni dalle reti e dai dispositivi.

Le conseguenze e gli impatti in termini di produttività (si pensi all’impossibilità di consegna di commesse o prodotti, di perfezionare servizi) e di costi di gestione incidono non solo sulla business continuity, ma anche su necessità di disaster recovery, su eventuali responsabilità organizzative, legali e di compliance, senza dimenticare l’enorme pericolo derivante dalla possibile perdita della reputazione aziendale.

E’ dunque opportuno avere consapevolezza dei rischi che tutti corriamo, ogni giorno.

Cosa è un ransomware e come agisce

Ransomware deriva dall’unione di “ransom”, riscatto, e software: è un software malevolo, parte della più ampia categoria dei “malware”[17].

In passato veniva attivato aprendo un file infetto che lo conteneva. Oggi, invece, esistono e sono diffuse tipologie che si attivano anche senza aprire un file o eseguire un comando: sono forme particolarmente insidiose[18].

Si tratta di un tentativo di estorsione mediante sequestro di dati e di informazioni: con la cifratura i dati sono resi inaccessibili e spesso, come visto sopra, prima ancora copiati per chiedere un ulteriore riscatto.

L’utente che abbia subito l’attacco vedrà comparire, sullo schermo, un messaggio che spiega cosa è avvenuto (ossia perché è impossibile avere accesso ai propri dati e informazioni) e fornisce le istruzioni per pagare il riscatto.

In genere il riscatto deve essere pagato tramite criptovalute e, quindi, necessita di una certa esperienza per creare un portafoglio a partire da denaro “classico” e successivamente essere pagato mediante particolari piattaforme. E’ questo, anche, uno dei motivi per i quali si è sottolineato come i criminali prevedano, nei loro organigrammi, anche persone che parlano e scrivono correttamente nella lingua delle vittime e possano, così, “aiutarle” nella a volte complessa procedura di pagamento.

Non mancano, nell’ottica prettamente commerciale di queste organizzazioni (oltre che, ovviamente, per ottenere in fretta il denaro e subito dopo far sparire ogni traccia, anche telematica, di tali attività), sconti e “promozioni” in caso di pagamenti veloci e a breve termine, accompagnati da timer che ricordano la scadenza.

Come difendersi dai ransomware

L’evoluzione e l’aumento degli attacchi dovuti al ransomware non sono un pericolo solamente per le grandi aziende ma per tutti, piccole e medie imprese, così come professionisti e Studi professionali.

Il principale veicolo del ransomware, infatti, rimane sempre il phishing, modalità che conosce certamente attacchi mirati a grandi target, ma anche campagne massive, in cui i criminali sono sicuri che una certa percentuale di essi avrà comunque successo[19].

Senza voler interferire nel campo dei professionisti della sicurezza, cui è bene demandare consigli e, soprattutto, soluzioni, indichiamo qui di seguito alcune pratiche che possono certamente aiutare a proteggersi dal ransomware[20].

  1. Eseguire regolarmente i backup. Effettuare regolarmente i backup dei propri sistemi è la prima e più importante pratica da rendere un’abitudine irrinunciabile. Avere a disposizione una o più copie, possibilmente non connesse alla rete aziendale o di studio è imprescindibile in caso di compromissione dei sistemi[21].
  2. Aggiornare i sistemi e i servizi. L’aggiornamento del sistema operativo e dei software, comprese le applicazioni sui dispositivi mobili è essenziale: i vendor aggiornano costantemente i prodotti e i servizi e non è il caso di rimandare la sincronizzazione o l’applicazione di patch solo perché, come capita spesso, si ritiene di non averne il tempo o, peggio, ci si fa prendere dalla pigrizia. Se a livello aziendale è opportuno consultare il tecnico o il settore IT per prevenire ed evitare eventuali incompatibilità con i servizi in essere, da un punto di vista più privato e personale è certamente opportuno procedere senza ritardi.
  3. Consapevolezza, conoscenza e formazione. La consapevolezza e la conoscenza devono essere sviluppate e ricercate soprattutto dalla dirigenza. Senza una adeguata conoscenza dei pericoli e senza una vera tensione verso la protezione di asset così importanti per ogni attività di business, sarà inevitabile che anche coloro che per tale business lavorano perdano la sensibilità e l’attenzione che sono invece imprescindibili in questi contesti[22].
  4. Gestione delle credenziali. L’argomento meriterebbe approfondimenti di ben altro spessore. Ovvio, però, che le chiavi di accesso a sistemi, servizi e applicativi abbiano, oggi più che mai, un’importanza determinante. Pratiche come l’utilizzo di password manager, policy di creazione, gestione, modifica e aggiornamento delle password dovrebbero avere una costante e particolare supervisione da parte dei soggetti incaricati della sicurezza. Sistemi di autenticazione forti (MFA/2FA), ormai obbligatori in certi settori (come i servizi bancari online, ma disponibili oggigiorno anche per i social media) dovrebbero diventare la regola. Servizi disponibili con tutti i sistemi operativi per la criptazione dei dispositivi, fissi e mobili, dovrebbero attentamente essere previsti almeno per le macchine e i dispositivi più esposti.
  5. Gestire attentamente la promiscuità dei dispositivi aziendali e di lavoro. E’ oggigiorno inevitabile, in molte realtà, che vi sia, in qualche modo, un utilizzo di macchine e dispositivi che “mescolano” informazioni e dati privati con informazioni e dati aziendali. Senza entrare nel complesso tema delle disposizioni in materia di diritto del lavoro e di protezione dei dati personali dei dipendenti, è opportuno che le aziende censiscano tali dispositivi e creino policy adeguate[23].
  6. Coltivare il dubbio. E’ necessario fare sempre estrema attenzione, da un lato nei confronti di email contenenti degli allegati, di qualsiasi tipologia e, dall’altro, anche nei confronti di link, sia negli email sia nei messaggi SMS, che provengano (anche) da sconosciuti, non siano attesi, o, facendo leva su presunte necessità di fare in fretta, chiedano di inserire credenziali, affermino che vi sia stata una qualche violazione di dati che richieda il cambiamento di credenziali e così via. Parimenti è importante evitare di collegare le proprie macchine a dispositivi di archiviazione (dischi, usb, flash drive, ecc.) che potrebbero contenere materiale malevolo, così come prestare particolare attenzione ai siti “non sicuri” (privi del “lucchetto” prima dell’indirizzo e, quindi, che non siano protetti mediante la crittografia https[24]).
  7. Creare piani di risposta e testarli. Gli esperti sottolineano a gran voce che quando si verificano situazioni di attacco o di perdita di dati e informazioni, le aziende che non vi si siano adeguatamente preparate vanno nel panico; in tal modo si rischia di peggiorare le cose. Prevedere piani di risposta agli incidenti e mettere in atto procedure tese alla business continuity è fondamentale[25]. Altrettanto importante è testare tali piani al fine di verificare se essi funzionino realmente.

[1] https://www.cyberlaws.it/cybersecurity-cybercrime/mappa-attacchi-live/ransomware-map/

[2] https://clusit.it/rapporto-clusit/ (ultima visualizzazione: 8 maggio 2022, ore 18:00).

[3] Cfr. Rapporto Clusit, cit. alla nota precedente, alle pagine 15 e ss..

[4] Enisa, l’Agenzia europea per la sicurezza informatica, pubblica periodicamente report e analisi del medesimo tenore: gli attacchi ransomware, coordinati da organizzazioni criminali, aumentano costantemente: https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021: v. pagg. 40 e ss..

[5] https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2022/02/RELAZIONE-ANNUALE-2021.pdf (ultima visualizzazione: 9 maggio 2022, ore 10:00).

[6] Si vedano anche: https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022: “il lavoro da remoto e i processi aziendali trasferiti in cloud hanno introdotto nuovi rischi; tra questi, ransomware sofisticati, attacchi alla supply chain digitale e vulnerabilità profondamente integrate hanno evidenziato lacune tecnologiche e carenze di competenze” (trad. dal testo; ultima visualizzazione: 8 maggio 2022, ore 18:00); https://www.ibm.com/security/data-breach (ultima visualizzazione: 8 maggio 2022, ore 18:00): lo studio condotto a livello globale quantifica i costi per incidenti alle aziende in una media di circa 4,24 milioni di dollari, tenendo conto di interruzioni all’attività, perdite di ricavi da fermo del sistema, costo dei clienti persi e mancata acquisizione di nuovi clienti, perdite di reputazione e di valore dell’azienda; l’aumento medio del costo di una violazione tra il 2020 e il 2021 è cresciuto del 10%; 252 sono i giorni medi necessari a identificare e contenere una violazione nel cloud; 1,07 milioni di dollari è il maggior corsto di una violazione a causa del “remote working”.

[7] Con conseguente irrecuperabilità degli stessi, salvo il pagamento del riscatto, in diverse occasioni addirittura inutile.

[8] Si vedano ad esempio i risvolti della recente vicenda che ha colpito Ferrovie dello Stato: https://www.redhotcyber.com/post/hive-ransomware-colpisce-ferrovie-dello-stato-5-milioni-di-riscatto/ (ultima visualizzazione: 8 maggio 2022, ore 18:00).

[9] Il maggior vettore del malware rimane il phishing, ma molti attacchi sono portati per il tramite dello sfruttamento delle vulnerabilità del remote access, di molti software e applicazioni, oltre che di architetture e sistemi non adeguatamente configurati.

[10] Anche con ricerche OSINT, Open Source INTelligence: esistono siti “specializzati”, anche nel web indicizzato, come ad esempio shodan.io, maltego.com che consentono ricerche e analisi anche estremamente dettagliate.

[11] Le usuali fasi di un attacco vengono solitamente suddivise dagli esperti e studiosi della materia come segue: reconaissance, weaponization, delivery, exploitation, installation, command & control, action on objectives. Per interessanti, per quanto inquietanti aspetti dell’organizzazione dei criminali, si veda anche https://www.wired.it/article/conti-ransomware-leak-messaggi-interni/ (ultima visualizzazione: 8 maggio 2022, ore 18:00).

[12] https://www.acn.gov.it/

[13] Computer Security Incident Response Team Italia: v. ad esempio, in materia di risposta al ransomware, la pagina https://www.csirt.gov.it/pubblicazioni?tags=Ransomware,Prevenzione,Resilienza (ultima visualizzazione 9 maggio 2022, ore 11:00).

[14] https://www.csirt.gov.it/

[15] Si vedano le note polemiche in merito al diffuso utilizzo di noti software antivirus e antispam da parte di molti Enti Pubblici Italiani, oltre che da una moltitudine di aziende private: https://www.wired.it/article/kaspersky-disinstalla-italia-uffici-pubblici-guerra-russia-ucraina-cybersecurity/ (ultima visualizzazione: 9 maggio 2022, ore 10:00), fatti sui quali è intervenuto anche il Garante per la Protezione dei Dati Personali italiano:  https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9754469 (ultima visualizzazione: 9 maggio 2022, ore 10:00).

[16] DDoS: Distributed Denial of Services: attacchi che, puntando sul sovraccarico di richieste, mandano offline i servizi.

[17] Cfr. https://it.wikipedia.org/wiki/Malware

[18] Le tipologie più note e diffuse di ransomware sono veicolate mediante email o sms di phishing; oggigiorno, peraltro, è disponibile una varietà davvero preoccupante di vettori di ransom. Si veda https://www.giorgiosbaraglia.it/ransomware-la-guida-completa/ (ultima visualizzazione: 9 maggio 2022, ore 10:00), che ricorda ad esempio come altre modalità siano quelle del “drive by download”, del “baiting”, del bundle con altri software con i quali il malware viene scaricato, dell’utilizzo del RDP, remote desktop protocol e di altri sfruttamenti delle molte vulnerabilità presenti sui sistemi.

[19] E’ noto come il phishing possa essere suddiviso in mass scale, ossia distribuito su grande scala, ma anche in spear phishing, da “fiocina”, ossia destinato specificamente a determinati soggetti aziendali e, ulteriormente, teso al grande colpo: il c.d. whale phishing. Cfr.: https://cybersecurityguide.org/resources/phishing/ (ultima visualizzazione: 9 maggio 2022, ore 11:00).

[20] In tema di protezione dal phishing, si veda, ad esempio: https://cert-agid.gov.it/glossario/phishing/ (ultima visualizzazione: 9 maggio 2022, ore 11:00).

[21] Altrettanto importante è che le copie siano recuperabili agevolmente e velocemente, perché in caso di emergenza si possono risolvere molti problemi. Ovvio, poi, che tutto dipenderà dal concreto contesto in cui si opera.

[22] In pari tempo la dirigenza deve essere in grado di trasmettere al personale l’importanza e la delicatezza di quanto stiamo esaminando, così da creare e soprattutto mantenere un costante percorso di formazione, di apprendimento e di aggiornamento di tutti coloro che hanno a che fare con asset rilevanti.

[23] Essere estremamente attenti, preparati e sicuri in ufficio potrebbe non avere alcuna utilità laddove un laptop aziendale non adeguatamente protetto andasse perduto in occasione di una trasferta o, per restare al tema in discorso, non avesse le protezioni adeguate per fare fronte alle minacce che abbiamo visto. Ancora, se l’utilizzo privato non fosse accompagnato dalla consapevolezza che un vettore malevolo, transitando sul dispositivo o per il dispositivo personale, potrebbe infettare i sistemi aziendali, a nulla servirebbero le campagne di formazione cui pure abbiamo accennato.

[24] HTTPS è l’acronimo per HyperText Transfer Protocol Secure e rappresenta la versione “sicura” (ma non al 100%!) del protocollo HTTP. Per meglio dire si tratta del protocollo Transport Layer Security (TLS) applicato all’HTTP. Questo sistema consente la crittografia delle informazioni scambiate tra il sito stesso e il client che lo contatta.

[25] Le metodologie e i processi di risposta agli incidenti sono molteplici e dipendono da diversi fattori, che fanno sostanzialmente capo alle scelte aziendali. E’ generalmente comune la previsione di una sorta di Response Team, composto non solo da componenti dell’organizzazione, ma talvolta, necessariamente, anche dai fornitori, oltre che del reparto IT, dell’eventuale DPO – RPD, dei responsabili della comunicazione; altrettanto presenti sono generalmente i fornitori IT esterni, che si occupano della gestione dei sistemi loro affidati, nonché del CISO, che si occupa della sicurezza IT e degli eventuali incidenti di sicurezza sui sistemi. Innumerevoli framework, standard e metodologie tendono a realizzare processi di gestione che rispondano alle necessità di detect, respond, recover.


Autore:

Andrea Broglia

en_US