A cura di Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks
“Paga o ti blocchiamo il sito”, questo è il messaggio che solitamente accompagna i cyberattacchi scatenati allo scopo di ottenere un riscatto. Sulle prime pagine dei giornali di queste settimane sono apparsi nomi noti come Evernote e Feedly, vittime di attacchi a scopo di estorsione, anche se queste aziende sono solo la punta dell’iceberg quando si parla di questa tanto lucrosa attività criminale. Anche se gli attacchi digitali legati a un riscatto esistono in varie tipologie e forme, gli attacchi DDoS (Distributed Denial of Service) sono in cima alla lista dei metodi sfruttati dagli attaccanti per estorcere denaro alle aziende.
Secondo la nona edizione dello studio annuale Worldwide Infrastructure Security Report (2013) pubblicato da Arbor, gli attacchi DDoS a scopo di estorsione costituiscono il 15% di tutti gli attacchi DDoS. Anche se può sembrare una percentuale relativamente piccola, occorre tuttavia considerare che ogni giorno nel mondo si contano anche 10.000 attacchi DDoS, e che i costi potenziali in termini di danni e reputazione possono avere un impatto significativo sull’azienda colpita. Gli attacchi DDoS a scopo di estorsione sono generalmente attacchi volumetrici ad alto consumo di banda, lanciati allo scopo di mandare in crash il sito Web o il server di un’azienda bombardandolo con pacchetti di rete originati da un gran numero di bot geograficamente distribuiti (botnet). Le dimensioni degli attacchi DDoS volumetrici continuano ad aumentare anno dopo anno e rimangono una grave minaccia nei confronti tanto delle aziende quanto degli Internet Service Provider (ISP). La ricerca di Arbor dimostra infatti come le dimensioni medie degli attacchi DDoS siano state del 20% maggiori nel 2013 rispetto al 2012.
In origine gli attacchi DDoS a scopo di estorsione venivano tradizionalmente lanciati contro i siti di scommesse online nell’imminenza di importanti avvenimenti sportivi. Le gang criminali causavano il blocco di un sito subito prima dell’inizio dell’evento, costringendo l’azienda colpita a scegliere tra pagare o sostenere un danno finanziario e di reputazione. Sempre più spesso gli attacchi DDoS si sono poi diffusi per estorcere denaro a ogni genere di azienda, e la realtà è che nessuno è immune da questo rischio. Qualunque azienda operi online, il che significa aziende praticamente di qualsiasi tipo e dimensione, può diventare un obiettivo a causa di quello che è, di quello che vende o dei partner con cui lavora. Le realtà particolarmente vulnerabili a questo genere di attacchi sono quelle con una protezione DDoS assente o limitata, o quelle che non possiedono le risorse necessarie a gestire attacchi DDoS di tipo volumetrico o di tipo applicativo.
Una volta che i criminali hanno selezionato il loro obiettivo, gli attacchi seguono solitamente uno o due scenari. I criminali dimostrano le loro capacità portando un attacco DDoS “di esempio” per un breve periodo di tempo seguito dalla minaccia di ulteriori attacchi a meno che non venga pagato un riscatto, oppure saltano semplicemente la fase dimostrativa e procedono direttamente alla richiesta di riscatto. La vittima ha quindi due scelte davanti a sé: pagare o prepararsi a ulteriori attacchi.
Qual è dunque la risposta corretta in casi come questi? La risposta è semplice ed è sempre la stessa: non cedere. Le aziende non devono accettare di pagare il riscatto in nessuna circostanza, dato che questo può creare un pericoloso precedente e incoraggiare ulteriori attacchi in futuro. Inoltre, anche se il pagamento del riscatto può risolvere il problema a breve termine, i risultati a lungo termine generalmente non ne valgono la pena. Rifiutarsi di pagare ha ovviamente gravi conseguenze, come abbiamo osservato nei recenti attacchi – tre ondate DDoS distinte – diretti contro Feedly. Tuttavia l’azienda si è ora ripresa e opera normalmente; inoltre è stata apprezzata per la sua coraggiosa decisione da parte della community degli specialisti della sicurezza e persino dai suoi stessi clienti.
Eppure, piuttosto che affrontare le conseguenze di un tentativo di estorsione, le aziende che dipendono per le loro attività dalla disponibilità di Internet dovrebbero investire in misure di prevenzione appropriate. Molte aziende si affidano ancora a misure reattive come firewall e router di filtro, soluzioni inefficienti e non sufficientemente sofisticate da poter proteggere contro il cybercrimine organizzato. Al contrario, le aziende devono oggi investire in misure di mitigazione preventiva multi-layer comprensive di protezione on-premise e on-cloud, oltre a prevedere una collaborazione con i propri ISP o Hosting Provider. Oltretutto è essenziale disporre di una strategia di mitigazione, in particolar modo dal momento che solo il 17% delle aziende di tutto il mondo si ritiene completamente preparata ad affrontare un incidente relativo alla sicurezza.
Costruendo le proprie difese, implementando piani adatti in anticipo e rifiutando di arrendersi alle richieste degli estorsori, le aziende non dovranno più sentirsi minacciate – i criminali alla ricerca di denaro facile si rivolgeranno altrove!
