Forse avrete letto qualche titolo qua e là lo scorso anno sul calo di incidenza dei ransomware, che alle rilevazioni di metà anno sembravano presentare una flessione. Ad una analisi più attenta, i fatti si sono rivelati ben diversi. Il numero di organizzazioni colpite dal ransomware lo scorso anno è risultato si relativamente basso, ma questo non vuole affatto dire che gli attaccanti facciano meno uso di questo tipo di malware, bensì che i criminali scelgono attentamente i loro obiettivi per lanciare un ransomware mirato, cercando di ottenere una gravità dell’attacco molto più elevata ed estorcere il massimo delle entrate possibili (Fonte Cyber Security Report 2020 di Check Point ).
Questo è tanto più vero se si analizzano i report basati sugli ultimi sei mesi del 2019, che facevano presagire per il 2020 aumenti degli attacchi di ransomware verso dispositivi mobili veicolati da phishing sempre più strutturati ed inviati anche via SMS, e una evoluzione del l’ecosistema del Cybercrime caratterizzata da maggiori collaborazioni tra criminali digitali per sofisticare questo tipo di minaccia, adottando la versione ransomware-as-a-service, veicolata a mezzo spear-phishing.
Non stupisce, quindi, che un po’ tutti i report previsionali per il 2020 sull’andamento della minaccia pubblicati dei maggiori vendor di sicurezza informatica, concordino sul “tenersi pronti” alle bordate di attacchi di ransomware estese non più solo a reti di PC e computer di singoli e organizzazioni pubbliche e private, ma anche agli ambiti Cloud, ai devices in ambito clinico sanitario e alle infrastrutture critiche di livello nazionale.
Ad aggravare il quadro poco entusiasmante, anche la malsana abitudine di continuare ad adottare PC e sistemi operativi non aggiornati, non patchati o giunti a EoS (End of Support), che sono quindi maggiormente vulnerabili e per questo esposti in misura maggiore ai rischi di attacchi ransomware. In particolare, su questo tema Veritas Technologies prevede che il 26% dei computer funzionerà ancora con il software Microsoft Windows 7, dopo che l’azienda avrà sospeso il supporto per patch e correzioni di bug.
Già nel 2017 la campagna Wannacry ha dimostrato la pericolosità della vulnerabilità a ransomware nei PC che utilizzano software senza supporto. Europol ha stimato che circa 200.000 dispositivi in 150 paesi, dotati di software vecchi e non più supportati, sono stati infettati da WannaCry. E se consideriamo i 130.000 dollari cumulativi pagati di riscatto è opinione comune che l’impatto sul business sia stato di milioni di dollari, a causa della perdita di produttività correlata ai dati persi e agli hardware danneggiati. Più di recente l’attacco ransomware all’azienda Travelex Wire evidenzia la difficoltà di rimanere resilienti parallelamente al mantenimento di un’appropriata reputazione. Infatti, Fabio Pascali, Country Manager Italia di Veritas, ha spiegato come in questo caso sembrerebbe siano stati proprio i presunti hacker a portare la storia alla stampa esponendo l’azienda a rischio di incorrere in multe pari a circa sei volte il valore del riscatto richiesto (secondo il GDPR). A circa un mese dall’attacco l’azienda non è ancora tornata al business “normale” perché il servizio di trasferimento internazionale di denaro non è ancora pienamente operativo ma soprattutto ci sono volute due settimane per capire quali dati fossero stati crittografati dagli hacker e se qualcuno di essi fosse stato esfiltrato.
La prevenzione possibile
Non tutto è perduto. Esistono diverse azioni preventive che si possono adottare per scongiurare una disfatta, contenendo gli eventuali danni o minimizzandone le conseguenze (fonte Veritas Technologies):
- Educare i dipendenti al rispetto delle best practice relative al luogo digitale in cui salvare i dati in modo che possano essere al sicuro perché il rischio maggiore da scongiurare riguarda il salavataggio dei dati in ambiti non protetti. È bene assicurarsi che gli utenti seguano sarebbe opportuno anche eseguire delle simulazioni. Salvare dati preziosi su server centralizzati, data center o su cloud debitamente protetti può aiutare a ridurre i rischi.
- Valutare i rischi imparando a conoscere i propri dati: per le aziende, è necessario classificare i propri dati, identificare dove si trovino i dati importanti e garantire che siano applicate le misure di sicurezza conformi alle policy aziendali e alle normative del settore. Questo è un fattore importante non solo al fine di individuare le criticità, ma anche per dare priorità al processo di recovery.
- Considerare un upgrade dei software: questa non sarà una soluzione pratica per le grandi aziende nel poco tempo a disposizione, ma potrebbe essere parte di una strategia a più lungo termine. Per le piccole-medie imprese, la soluzione migliore potrebbe essere semplicemente quella di fare l’upgrade dei sistemi operativi, adottandone uno che sia ancora supportato.
- Installare le patch finché si può: stando ai dati del Ponemon Insititute, il 60% di coloro che hanno subito una violazione dei dati, è stata vittima nonostante le patch disponibili, (a volte le patch non vengono installate a causa di sistemi customizzati n.d.r.). Gli utenti potranno anche acquistare aggiornamenti “ESU” da Microsoft in modo da poter accedere alle patch anche durante il periodo di migrazione verso un nuovo software.
- Assicurarsi di aver eseguito il backup dei dati: gli attacchi ransomware si basano sull’idea che pagare il riscatto sia il più economico se non l’unico metodo per ottenere nuovamente l’accesso ai propri dati, ma le ricerche mostrano come meno della metà di coloro che pagano siano effettivamente in grado di recuperare i propri file dai cyber criminali. Si raccomanda di applicare la “regola del 3-2-1“, secondo la quale è bene che chi possiede dei dati importanti ne abbia tre copie, due delle quali salvate su due dispositivi di diversa tipologia e una custodita in “air gap” in un altro luogo. Con una soluzione di backup in air gap, le aziende hanno un’alternativa molto più sicura ed affidabile per recuperare i propri dati.
Ian Wood, Senior Director, EMEA Cloud & Governance Business Practice di Veritas descrive WannaCry come un esempio di attacco ransomware con effetti smisurati sulle organizzazioni che meno si possono permettere di pagare il riscatto (che comunque ricordiamo sarebbe vietato per non alimentare il crimine n.d.r.). È quindi fondamentale che le aziende assicurino una gestione delle informazioni affinché siano archiviate in luoghi adeguati, dove possano essere protette e rese disponibili quando necessario.
In caso di minori disponibilità economiche per realizzare tutti i task di prevenzione sopraccitati, i tre requisiti minimi che non si possono disattendere sono almeno:
- Garantire la disponibilità per essere rapidamente in grado di tornare operativi da un’altra posizione.
- Avere copie protette dei dati (con Recovery Point Objective ,RPO e Recovery Time Objective, RTO minimi) per poter ripristinare una copia pulita e sicura il prima possibile.
- Saper determinare ciò che è stato compromesso e in che modo, per ripristinare prontamente il controllo sulla situazione in relazione ai clienti e alle autorità di controllo.
