Valore medio di un riscatto ransomware 220,000 $. Siccome il fenomeno è del tipo “a coda lunga” (pochi casi eclatanti e un lungo sciame di casi piccoli) la mediana è 78,000 $ (fonte Mandiant). Downtime medio 21 giorni. Si preferisce parlare di multifaceted extortion, concetto che combina il tradizionale ransomware con altre tattiche estorsive e coercitive. Pressione commerciale strutturata, utilizzo di siti e social network a sostegno dell’atto criminoso: le nuove frontiere. La prima cosa che salta all’occhio è che non bastano le tecniche basiche di disaster recovery contro questa forma criminale. Il primo fanciullesco ransomware attack è documentato nel 1989 per un valore di riscatto di $189…. Oggi si documentano riscatti (o almeno richieste) oltre i 500 M$.
Attori strutturati e con una loro criminale reputazione da mantenere come FIN11 hanno concepito e messo in esercizio il RaaS, ransomware-as-a-service per portare i loro attacchi. Hanno cioè terziarizzato le loro operazioni di sviluppo del codice di malware. È strategicamente correttissimo, ognuno deve attenersi alla propria competenza distintiva, loro hanno la competenza di delinquere, non di scrivere software, è la regola classica dello stick to the knitting. La competenza delinquenziale comporta la presenza di un Call Center (non sto scherzando) che può anche essere proattivo, sollecitare l’azione solutoria da parte della vittima, assieme a terze parti influencer in grado di corroborare l’azione con pressioni esterne. Esiste un “sales department” che coordinerà la vendita del codice di sblocco per rientrare in controllo dei propri dati. La vendita sarà perfezionata in criptovaluta e quindi comporterà anche competenze finanziarie: va ricordato che le criptovalute, tra grandi e piccole, sono oltre 9000 (novemila).
Per completare il paradosso, va tenuto presente che, nel momento in cui si decide di pagare, l’estorsore diventa un business partner, va quindi verificato e bisogna capire quanto più possibile di lui, come si farebbe con uno che ci vuole vendere una casa o un’auto. È vero da un lato che stiamo parlando di mascalzoni ma è anche vero che se vogliono stare sul mercato non possono permettersi di dare fregature ai clienti-vittime, se no poi nessun altro li pagherà. Prima o poi, se questo fenomeno continua con la progressione attuale, la legge dovrà intervenire e verosimilmente avverrà quanto accadde con i sequestri di persona nel nostro Paese negli anni 1970: blocco dei beni della famiglia, nel caso l’azienda o istituzione, per rendere improduttivo l’attacco. Negli USA, il Dipartimento del Tesoro già esige che le richieste di cyberriscatto gli siano riportate: pagare un delinquente schedato (anche se la cosa non è nota) è favoreggiamento quando non concorso o associazione a delinquere e l’ignoranza della legge non scusa.
Business is business, quindi tutta la rete dei partner e dei fornitori/clienti strategici deve in qualche modo essere coinvolta nell’attacco ransomware. In particolare, un ruolo importantissimo viene giocato dalle assicurazioni: spesso la quantificazione dell’attacco dipende dalla conoscenza di quanto può essere coperto dall’assicurazione della vittima. Infine, la collateralità dell’estorsione-coercizione può scaturire da altre considerazioni più subdole che non il semplice danno potenziale dell’organizzazione vittima. Poniamo che il vero destinatario dell’attacco sia il CEO, del quale il criminale conosce particolari gherminelle, anche della vita privata, che non possono essere divulgate dall’interessato ma di cui c’è traccia nei dati trafugati. Il CEO sarà più che felice di pagare e poco importa se il salasso è stratosferico.
Quanto sopra significa che notizie riservate su azienda e persone del suo vertice, mappa organizzativa, contatti interni, Active Directory, etc. vanno custodite e protette in modo estremo e assoluto. Sarà un gioco da ragazzi correlare le informazioni riservate alla topologia altrettanto riservata della rete, dei dispositivi, delle connessioni, dei livelli di sicurezza, dei punti deboli, delle modalità di backup, di recovery e di business continuity. Il 75% dei ransomware breaches inizia o con una mail di phishing o con la compromissione del Remote Desktop Protocol (RDP), secondo Coveware.
Dunque, come è noto un attacco di multifaceted extortion ha tre aspetti:
Blocco dell’accesso ai dati, che risultano criptati dal malfattore:il danno è chiaro in denaro e tempo. Si paghi o meno, riprendersi da un attacco ransomware è comunque un mal di pancia, recuperare gli archivi dal backup, ripristinare l’architettura e le connessioni, ricostruire manualmente data-base etc.
Minaccia di rendere pubblici i dati: questa forma estorsiva è più temibile dell’indisponibilità dei dati. Ha cominciato a divenire preponderante dopo il 2019.
Name-and-Shame: gli attaccanti posteranno parte dei dati su qualche sito per mostrare che non bluffano, è come il taglio dell’orecchio che facevano i sequestratori negli anni 1970. Più o meno involontariamente, tali siti concorreranno a danneggiare la reputazione della vittima e a metter pressione per il pagamento del riscatto. Pensiamo solamente alla sollecitazione sui clienti della vittima, sugli azionisti, sulle amministrazioni pubbliche in relazione con la vittima.
Uno studio studio di McKinsey analizza prevenzione e comportamenti.
L’impennata a cui si sta assistendo è fortemente dipendente da anni di sottovalutazione del problema sicurezza sia a livello privato che, soprattutto, di pubbliche amministrazioni e grandi database di servizi sociali e fiscali. Vulnerabilità addizionali sono venute con la pandemia che ha indebolito le regole e i comportamenti di sicurezza, oltre a esporre i sistemi alle vulnerabili reti ADSL di casa. L’evoluzione sia in termini di numero di attacchi che di volumi e dimensioni degli stessi ha portato a superare il modello-spaccavetrine (smash and grab), preferendosi ora puntare su strategie residenziali: talpe che dall’interno dell’organizzazione pazientemente costruiscono il colpo. Cybersecurity Ventures stima che il ransomware 2.0 varrà $265 mld entro 10 anni. Negli USA si è avuto un picco di +42% di attacchi alla filiera commerciale solo nel primo trimestre del 2021, bersagliando sia i sistemi operativi (ICS e SCADA) che quelli gestionali IT e in particolare gli ERP, dei quali cercheremo di occuparci specificamente in altra occasione.
Secondo l’edizione 2021 del Data Breach Investigations Report di Verizon, il 60% del malware è installato direttamente o via apps che condividono desktop. Per raggiungere una ragionevole sicurezza la prima cosa è avere un assessment chiaro e aggiornato di tutta la propria dotazione software, dei suoi collegamenti interni ed esterni. Sono valide tutte le raccomandazioni di cybersecurity, e in particolare l’autenticazione multifattore, la gestione delle patch che, dopo phishing e attacchi al RDP, è la principale fonte di attacchi, disabilitare il command level e bloccare la porta 445 del TCP IP: gli hacker di ransomware usano software free o low-cost e strumenti di scan, fanno credential harvesting e cercano porte non sicure su cui inviare comandi simulando utenze remote. Anche le regole di firewalling e l’uso delle DMZ possono contribuire alla prevenzione. Il sistema di backup e recovery va non solo tenuto a stato dell’arte ma deve essere considerato un asset aziendale strategico e va testato per la parte recovery, che in generale è sempre molto molto critica.
Al di là delle tecniche, l’organizzazione deve entrare nella mentalità dell’“evenienza possibile”, preparandosi per tutte le opzioni negoziali e i limiti a quest’ultime. Avvocati smart. Prima di un attacco ransomware, quasi tutte le organizzazioni si dichiarano contrarie a pagare ma alla fine nell’ultimo anno ha pagato l’80% secondo ThycoticCentrify. I limiti sono quelli della legge, il massimale delle assicurazioni, l’implicazione di dati dei clienti e casi particolari come fasi di merger o cambi di proprietà: tutte condizioni che devono essere sempre ben conosciute e prioritizzate. In quanto variabili nel tempo, vanno tenute aggiornate.
La resilienza dell’organizzazione operativa e dei suoi sistemi va aumentata e mantenuta. È un investimento che trova nella cyberminaccia un’ulteriore giustificazione. In generale occorre sempre avere una risposta alla domanda: in quanto riparto se perdo questa tecnologia, questo asset, questa persona etc. e anche all’altra: come prevengo questa perdita. In fondo, il vero motivo per cui si paga è il non essere sicuri di quanto reale danno l’attacco arrechi. Pagare è il male sicuro contro quello incognito. Questo non sarebbe ineluttabile se si conoscessero al meglio i crown jewels.
Per concludere, forensics e intelligence avranno sempre più spazio per determinare il chi e il come dell’attacco e valutarne così il potenziale impatto; capire chi c’è dietro, come ha bucato le sicurezze. Non è poi detto che i colpi vadano sempre a buon fine: non sempre l’encryption riesce o almeno non al 100%. Si può negoziare o trovare alternative al pagamento, chissà.
L’ultima regola è la più semplice: tenere sempre il minimo delle informazioni, solo ciò che serve. Di solito si tiene troppa roba.
Fonte: Coveware
