L’uragano ransomware ha spazzato ogni dubbio sulla pericolosità delle minacce cyber. L’apparente calma di questi mesi non esclude una recrudescenza del fenomeno sfruttando vulnerabilità vecchie e nuove. Aziende e organizzazioni come possono mitigarne gli effetti nefasti?
Data: 11 maggio 2017. È il giorno di WannaCry, il malware che prima si mangia i dati dei computer e poi chiede il riscatto per restituirli. Fabbricata dallo spionaggio USA e poi misteriosamente trafugata, la cyber arma è un exploit in grado di sfruttare una vulnerabilità nel protocollo Server Message Block (SMB) per propagarsi nelle reti, mettere fuori uso i computer, innescando un vero e proprio effetto domino. Portugal Telecom, Ferrovie tedesche, FedEx, Telefonica, Renault, il Sistema sanitario britannico, il Ministero dell’Interno russo e in Italia, l’Università degli Studi di Milano, cadono una dopo l’altra gettando nel panico i loro poveri CISO. Non basta la caccia all’uomo scatenata dall’allora direttore di Europol Rob Wainwright. Sarà uno sconosciuto ricercatore britannico di 22 anni, Marcus Hutchins, poi finito in carcere, a mettere per primo una toppa all’attacco. Limitando in qualche modo l’epidemia, che nel giro di un paio di settimane colpisce più di 230mila computer in 150 paesi.
L’arresto da parte dell’FBI di uno dei presunti responsabili dell’attacco ha fatto notizia. Anche per l’hack alla Sony del 2014, sembra ci sia finalmente un responsabile. Secondo quanto riportato dal New York Times, l’incriminazione di Park Jin-Hyok, da tempo in mano all’intelligence, avrebbe richiesto più tempo del previsto, perché il fascicolo, con le informazioni che lo riguardavano, identificava Mr. Park come effettivo del Reconnaissance General Bureau, lo spionaggio nordcoreano. Sospettato di essere di volta in volta il braccio operativo e uno dei mandanti degli attacchi più efferati degli ultimi anni. Diciassette mesi dopo gli sfracelli provocati da WannaCry, abbiamo uno scalpo da esibire. Ma non possiamo di certo dire di esserci lasciati alle spalle la minaccia rappresentata dal ransomware. Per molti esperti di cybersicurezza, ancora tra le più pericolose in circolazione.
UN FENOMENO IN DECLINO (SOLO IN APPARENZA)
Secondo l’Internet Crime Report, rilasciato lo scorso maggio dall’FBI, le denunce (complaints) relative ad attacchi ransomware sono state 1783 nel 2017 contro le 2673 raccolte l’anno precedente. A fronte di perdite stimate rispettivamente per 2,3 e 2,4 milioni di dollari. Su una scala diversa i dati sulla diffusione del malware forniti da Kaspersky Lab parlano di un numero di vittime di poco inferiore ai due milioni nel periodo 2017-2018, rispetto agli oltre due milioni e mezzo del biennio precedente, con un calo di oltre il 30%. «Per i criminali informatici, il ransomware è un modo “rumoroso” e rischioso di guadagnare. Attira l’attenzione dei media e delle strutture governative» – osserva Morten Lehn, general manager Italy di Kaspersky Lab. «Invece, altri tipi di attacchi come il mining sono più semplici da mettere in atto e più “sicuri”. È sufficiente produrre criptovaluta, sfruttando la potenza di CPU e scheda grafica di PC e dispositivi mobili e trasformarla in valuta reale attraverso scambi e transazioni legali». Del resto – come conferma Andrea Zapparoli Manzoni, membro del comitato direttivo di Clusit – «gli attaccanti hanno interesse a massimizzare i profitti senza sollevare eccessivo allarme sociale, in modo da guadagnare sempre di più senza attivare il “sistema immunitario” della società nel suo complesso». Il dato sul calo della diffusione del malware fa riflettere. Il 2017 è stato l’anno di WannaCry e NotPetya. Ovunque, il numero di denunce è sempre una frazione rispetto agli episodi effettivi. In molti paesi, ma non gli USA, e neppure in Europa dopo l’entrata in vigore del GDPR, le aziende non sono obbligate a denunciare i data breach. Ma nei casi di violazione dei dati personali a fine di riscatto, una volta pagato quanto richiesto – comportamento in genere sconsigliato dalle forze dell’ordine – e ritornati in possesso dei dati, le vittime spesso rinunciano a denunciare l’accaduto. Gli Stati Uniti, a dar retta ai dati ufficiali, sarebbero stati solo sfiorati da WannaCry. Però sono solo uno dei 150 paesi colpiti dal worm con intensità diverse. Senza dubbio, i dati dell’FBI stridono con quelli di alcuni vendor di sicurezza secondo cui il volume di attacchi sarebbe raddoppiato nel 2017. Una distorsione ancora più marcata se si analizzano le stime dei danni. Secondo i dati di una ricerca presentata lo scorso anno da un team di ricercatori di Google, le vittime avrebbero pagato una cifra superiore ai 25 milioni di dollari. Valutazione sin troppo prudente secondo alcuni, che non terrebbe conto degli epigoni di WannaCry, da ExPetr a Bad Rabbit.
Se la domanda è: «Il ransomware diminuirà ancora nei prossimi mesi»? La risposta non può che essere una sola: «La prudenza è d’obbligo»! Se da una parte la minaccia stessa non sta facendo più grandi danni, l’exploit che ne ha permesso l’enorme diffusione, noto come EternalBlue, sta ancora minacciando i sistemi privi di patch e quelli non protetti – come ci spiega Luca Sambucci, operations manager di ESET Italia. «Come mostrano i dati della telemetria di ESET, negli ultimi mesi la sua popolarità è tornata a crescere con un recente picco che ha superato anche i migliori risultati del 2017. Da settembre dello scorso anno, l’utilizzo dell’exploit ha lentamente ripreso ad aumentare, crescendo continuamente e raggiungendo una nuova vetta il 16 aprile 2018, data in cui si è registrato un picco di rilevazione del 100%, a fronte del 97% registrato il primo giugno del 2017». Insomma, i ransomware continueranno a imperversare. «Con nuove forme di estorsione e pizzo digitale» – prevede Simone Ricci, senior sales engineer di Trend Micro Italia. Non solo. «I cybercriminali grazie anche al GDPR, potrebbero ricattare preventivamente le aziende, chiedendo riscatti di poco inferiori alle eventuali sanzioni previste dal regolamento».
COME CAMBIA IL RANSOMWARE
Di certo, il ransomware è in continua evoluzione. Già l’arrivo di criptoworm basati su rete ha eliminato la necessità di distribuire il malware via download, email o supporti fisici. Campagne come quelle di Nyetya e WannaCry hanno dimostrato che l’intervento umano non è più decisivo per la riuscita degli attacchi. E che l’errore per attivare il ransomware sta perdendo d’importanza. Soprattutto la pericolosità del malware autopropagante è di ben altra scala rispetto al passato. Tanto che secondo i ricercatori di Cisco potrebbe potenzialmente arrivare a bloccare l’intera rete. Una delle ragioni per cui Nyetya è riuscito a diffondersi su una così ampia scala – si legge sul blog ufficiale Cisco – è che ha fatto leva sulla cosiddetta “blockchain” ovvero “la filiera di approvvigionamento”. Che questo possa essere il modus operandi dei prossimi mesi ne è convinto anche Giulio Vada, country manager di G DATA Italia: «Ci aspettiamo una crescente automatizzazione della veicolazione del ransomware su larga scala. Con il conseguente incremento del numero di attacchi». Agevolato da nuove metodologie d’attacco, che portano alla creazione di forme ibride di codice e vettori d’attacco. «Di recente – conferma Lehn di Kaspersky Lab – abbiamo rilevato due esempi piuttosto significativi che si collegano al mondo ransomware. Una variante di SynAck e nuove funzionalità del Trojan Rakhni. Nel primo caso, la variante utilizza una tecnica di “doppelgänging” per bypassare i dispositivi anti-virus di sicurezza, nascondendosi dietro l’esecuzione di programmi legittimi. Nel secondo il malware sceglie come infettare le sue vittime. Utilizzando di volta in volta un cryptor – per crittare i file rendendoli inaccessibili, oppure – continua Lehn – i miner, coloro cioè che accumulano criptovaluta nelle loro “farm” di computer dedicati». Una tendenza che secondo IDC potrebbe avere impatto nel medio periodo è proprio legata all’impiego degli algoritmi di intelligenza artificiale nell’orchestrazione dei processi di attacco.
PIÙ ATTACCHI TARGETTIZZATI
Nuove evidenze lasciano intravedere la possibilità che l’uso del ransomware possa gravitare su più vettori d’attacco focalizzati su precise tipologie di target. «I bersagli saranno sempre più spesso l’home banking, i social network e l’e-commerce per l’opportunità di mettere le mani sopra informazioni e credenziali che consentono di impiegare in modo fraudolento l’identità online delle persone» – ci dice Giancarlo Vercellino, research & consulting manager di IDC Italia. D’altra parte, come osserva Luca Sambucci di ESET Italia, in generale un attacco mirato implica una maggiore preparazione e un adeguamento più profondo alle caratteristiche tecnologiche delle vittime. «Lanciare un attacco, per esempio, contro i clienti di una banca, che accedono al loro conto da device mobili con un sistema operativo specifico, significa arrivare quasi alla personalizzazione dell’attacco. Un lavoro più intenso che spesso dà buoni risultati per gli hacker in termini di ritorno economico». Un terreno per ora ancora poco battuto. «I tempi e le conoscenze settoriali necessarie per sviluppare attacchi mirati, a fronte di un esito incerto – rileva Vada di G DATA – frenano le organizzazioni criminali votate a incassare somme elevate nel breve periodo. Perciò fatta eccezione per i ransomware progettati per danneggiare specifiche aziende e/o settori vitali degli Stati attaccati, la trasmissione automatizzata del malware andrà a discapito di una targetizzazione specifica». Parere condiviso anche da Zapparoli Manzoni di Clusit: «Trattandosi di pesca a strascico, targettizzare i bersagli non è un tipico modus operandi di questi soggetti. Va detto però che alcuni settori sono più appetibili di altri, a causa di normative specifiche o per l’oggettiva natura dei dati che trattano, in particolare se di terzi. In questo senso, l’introduzione del GDPR e delle relative sanzioni ha dato vita a una nuova formula criminosa, per cui le organizzazioni colpite da data breach vengono ricattate per non rendere pubblico il breach stesso, facendo leva sul fatto che tipicamente non sono pronte a gestirlo secondo la normativa».
Sempre in tema di evoluzione del malware, cambia anche la qualità dell’assistenza erogata dagli aggressori alle proprie vittime. A cominciare dai metodi di pagamento accettati per decrittare i file. Sembra un paradosso, ma gli aggressori hanno capito che tutta la trafila per acquistare e trasferire bitcoin non è un’operazione alla portata di tutti. Ora, fornire supporto per il pagamento del riscatto e il recupero dei file non è una cosa del tutto nuova. Tuttavia, alcune recenti varianti di ransomware sembrerebbero confermare questa tendenza. Il ransomware Spora – per esempio – presenta un interessante menu di opzioni di pagamento. Per riscattare a seconda del budget a disposizione solo alcuni file oppure tutti quelli crittati. Compresa l’opzione per la vittima di scegliere di immunizzare il computer per il futuro. «Se dovessimo riassumere in poche parole le evoluzioni più significative degli ultimi due o tre anni – afferma Vercellino di IDC – potremmo indicare due tendenze ben distinte. Da una parte la maggiore sofisticazione degli attacchi ransomware sia dal punto di vista dell’ingegnerizzazione del codice che della selezione di bersagli qualificati. Dall’altra l’impiego del ransomware per nascondere attacchi di tipo APT».
THE DAY AFTER
L’impatto di CryptoLocker e WannaCry in termini di percezione del danno che possono causare è stato enorme. Più di un esperto ha ammesso che gli attacchi hanno smosso dall’apatia aziende e organizzazioni molto di più di quanto siano riusciti a fare programmi di education e awareness nel corso degli anni. Ma ai timori, hanno fatto seguito comportamenti più responsabili e investimenti adeguati? «L’attenzione è cresciuta molto» – risponde Simone Ricci di Trend Micro Italia. «Si continua però a credere che certe cose possano capitare solo ad altri e si rimane scoperti, sottovalutando il problema. In molti casi – continua Ricci – la scelta delle soluzioni di security viene derogata al reparto acquisti, che ragiona solo in ottica economica, scegliendo così soluzioni inadatte, che causano danni economici maggiori quando si subisce un attacco». Giulio Vada di G DATA Italia sottolinea invece «l’impossibilità di aggiornare tempestivamente i sistemi, limitare l’uso indiscriminato delle risorse aziendali a fini personali e l’ignoranza degli utenti, sfruttata a piene mani dagli attaccanti». Forse, il vero problema rimane l’arretratezza di aziende e organizzazioni su queste tematiche. «Continuiamo a lottare sempre con gli stessi problemi di sicurezza di base» – afferma Paolo Restagno, senior director sales EMEA di CA Veracode. «I cybercriminali non hanno bisogno di investire ingenti risorse per identificare le vulnerabilità. Perché sono tantissime le organizzazioni che non aggiornano i propri sistemi per chiudere le falle». Il problema – fa notare Restagno – non si ferma alle aziende ma coinvolge direttamente gli stessi produttori di software. «La cosa più spaventosa di un attacco ransomware diffuso come quello di WannaCry è la dimostrazione della debolezza intrinseca nell’attuale catena software».
Detto questo, è importante sottolineare che difendersi è possibile, usando alcuni accorgimenti minimi. «Come fare regolarmente il backup dei propri dati, assicurarsi di avere software aggiornati su tutti i dispositivi in uso» – spiega Lehn di Kaspersky Lab. «Così come è importante assicurarsi di tenere i dati sensibili separati e con accesso limitato, usando soluzioni di sicurezza dedicate per la protezione delle reti e degli endpoint». Misure alla portata anche delle aziende più piccole. Per Zapparoli Manzoni di Clusit, il rischio, soprattutto per i soggetti dotati di minori risorse, è legato strettamente alla superficie di attacco che espongono alle minacce, senza nemmeno rendersene conto. «Qui la principale contromisura è di sottoporsi a una ferrea “dieta” digitale. Considerato il livello attuale delle minacce, nella pratica non esiste un meccanismo di gestione del rischio cyber, sufficientemente semplice ed economico, affinché le PMI possano applicarlo con successo. È opportuno ripensare bene l’uso del digitale e ridurre i rischi evitando di esporsi inutilmente, distinguendo le necessità fondamentali dalle mode e dalle tendenze del momento».
Per le aziende più strutturate, la protezione è strettamente correlata all’adozione di una strategia di protezione su più livelli in grado di coinvolgere tutta l’infrastruttura, dalle reti ai dispositivi mobili, passando per le strutture in cloud e così via. «Ovviamente, ci deve poi essere una componente di cultura e formazione personale dei dipendenti, come ulteriore filtro di eventuali email o comunicazioni false» – suggerisce Enrico Sorge, TME CyberSecurity di Italtel. «Una strada valida per alcune realtà è la migrazione di servizi critici su piattaforme tecnologiche in cloud in grado di garantire alti livelli di servizio e di sicurezza con un’esperienza di gestione del rischio certificata. Altra opportunità – prosegue Sorge – è quella di adottare soluzioni di sicurezza as a service che, mediante l’impiego di “threat intelligence” condivisa a supporto dell’Incident Response, consentono di identificare e rispondere più velocemente alle nuove minacce e alla loro propagazione dentro l’azienda».
Su questo punto, Paolo Restagno di CA Veracode sottolinea la necessità di introdurre i principi base della sicurezza già all’inizio della catena di produzione delle applicazioni attraverso l’implementazione di best practice di sviluppo di codice sicuro (Security by Design) e di controlli automatizzati lungo tutto il ciclo di rilascio (DevSecOps). «Fortunatamente, la Comunità europea ha capito la dimensione del problema e sta lavorando insieme ai leader del settore della sicurezza tra cui CA Technologies a una nuova regolamentazione (European Cybersecurity Act) che affiancherà quella sulla Protezione dei Dati Sensibili (GDPR) per obbligare tutti coloro che producono e gestiscono servizi informatici a rispettare schemi di sicurezza molto stringenti per ridurre i rischi di vere e proprie catastrofi informatiche». Soluzioni più recenti sono le “polizze cyber”, pacchetti assicurativi a protezione del rischio cyber che – come ci spiega Sorge di Italtel – aiutano a comprendere «quando ha senso investire in tecnologia/servizi e quando invece affidarsi alle coperture di una polizza per gestire incidenti a più bassa probabilità ma che hanno, direttamente o indirettamente, effetti devastanti sul business dell’impresa».
QUELLO CHE CI ASPETTA
Diversi fattori contribuiscono al cambiamento del modo in cui il ransomware viene utilizzato dal crimine informatico. Probabilmente, la perdita di valore dei bitcoin è uno di quelli più importanti. Questo non significa però che attaccare utilizzando il ransomware sia diventato meno interessante per i criminali informatici. Sono solo diminuiti i guadagni associati ai riscatti pagati con bitcoin. Che però non sono l’unica moneta virtuale. Altre, più difficilmente tracciabili, offrono maggiori chance di vanificare gli sforzi di bloccare i trasferimenti di criptovalute da parte delle forze dell’ordine. Di certo, finora gli obiettivi principali del ransomware sono stati computer e in misura minore smartphone. Ma in un futuro non troppo lontano, l’attenzione del cybercrime potrebbe spostarsi sui robot di produzione, in espansione all’interno degli impianti industriali, e i cosiddetti oggetti smart legati alla consumerizzazione dell’IoT. L’estrema fluidità della minaccia suggerisce di evitare di liquidare il ransomware come un fenomeno in ritirata. Siamo in una fase transitoria, in cui la cyberciminalità agisce sottotraccia. Una relativa calma che potrebbe però presto riportare a una recrudescenza delle infezioni. Come d’altra parte dimostrano i continui warning diramati dalle polizie di mezzo mondo. Meglio quindi sforzarsi di non dimenticare troppo in fretta i danni provocati da WannaCry e i suoi epigoni. Danni che hanno provocato una voragine nella cybersecurity di tutto il mondo. E non ne siamo ancora usciti.
