Mandiant, non si ferma la corsa del ransomware

Mandiant, non si ferma la corsa del ransomware

Infrastrutture critiche, governi e supply chain nel mirino degli aggressori

L’infodemia che affligge la cybersecurity precede l’invenzione del neologismo. Alimentata, bisogna dirlo, anche dall’irresistibile tentazione di esercitare a scadenze periodiche le proprie capacità divinatorie. Si dice che qui il compito sia più semplice che altrove. Le minacce si presentano puntuali come l’IMU in questi giorni o l’assicurazione auto a fine dicembre; evergreen come Wannacry continuano a mietere danni e la platea di potenziali vittime garantisce la diffusione pandemica di un campionario di minacce di per sè sterminato.

Ransomware 3.0

Ma se la previsione è un terreno alquanto scivoloso su cui misurare le proprie competenze dal rumore sistemico possono sempre emergere anche eccezioni. E’ vero ad esempio – come si rileva nell’edizione 2021 del rapporto Mandiant14 Cyber Security Predictions for 2022 and Beyond” – che chi attacca «cambia regolarmente tattiche, tecniche e procedure (TTP) per confondere ed eludere, lasciando sempre chi si difende nella condizione di inseguire per cercare di tenere il passo degli aggressori». Esemplare in questo senso la corsa del ransomware per diffusione, pericolosità e capacità di adattamento. Dalla crittografia dei file e dei backup rafforzati dall’esfiltrazione di informazioni per screditare immediatamente l’immagine dell’azienda, minare fatturati e valore delle azioni, il ransomware 3.0 è tutto questo e anche di più. Con oltre 300 varianti in circolazione, per provare a frenarne gli effetti occorre necessariamente agire su più livelli: dalla protezione dei directory server e delle credenziali privilegiate alla protezione dei backup fino all’implementazione di meccanismi di ridondanza secondo la regola aurea del 3-2-1 – tre copie di ogni dato da conservare; due onsite su sistemi di storage differenti e la terza off-site su cloud, nastri e quant’altro.

Leggi anche:  Security Summit: esperti a confronto su nuove sfide della cybersecurity e Intelligence

Minaccia globale

Il fiume di denaro assicurato dalle campagne ransomware scatenate su scala globale sono la garanzia che la minaccia non si arresterà. Al contrario un ecosistema vasto e ramificato di complicità e connivenze, consentiranno a una platea sempre più ampia di attori criminali di sfruttare oliati meccanismi di estorsione messi in campo con basso rischio e poca spesa. Un cocktail micidiale che «rende assai probabile il pagamento di una qualche forma di riscatto da parte delle vittime» afferma Gabriele Zanoni, Consulting Country Manager Italia di Mandiant. Paradossalmente – rileva il report – i primi passi verso un impegno internazionale e misure più puntali all’interno dei singoli Paesi per affrontare la minaccia potrebbero portare a una recrudescenza del fenomeno. Accentuata se possibile dall’arrivo di nuovi metodi di estorsione – ad esempio il reclutamento di insider tra i target individuati – e dagli effetti di lotte intestine e rivalità tra bande criminali.

Invasione di campo

Come se non bastasse il ransomware sarà sempre più utilizzato anche in campo OT (Operation Technology), terreno in gran parte ancora inesplorato sul quale anche gli aggressori con minori competenze tecniche possono provocare danni ingenti.

Cloud e IoT

Altri punti di interesse evidenziati dall’indagine Mandiant sono i pericoli provenienti dai servizi in cloud e dalla crescita del numero di dispositivi IoT che farà lievitare il numero di vulnerabilità da tracciare. Una minaccia – si sottolinea nel report – che potrebbe causare impatti importanti, anche in ragione del perdurare dello scarso interesse da parte dei costruttori ad elevare il livello di sicurezza di questi dispositivi e, aggiungiamo, dalla sin qui latitante volontà di introdurre standard vincolanti e controlli efficaci.

Leggi anche:  Italia al secondo posto tra i paesi più colpiti da stalkerware in Europa nel 2021

Geopolitica del cybercrime

L’esplorazione di Mandiant nell’emergenza cyber si conclude con una serie di focus su altrettanti paesi chiave in tema di cybercrime come Corea del Nord, Iran e Afghanistan. Sia in riferimento ai possibili attacchi che potrebbero colpire le infrastrutture critiche dei paesi occidentali sia in un’ottica di espansione delle rispettive capacità di manovra e influenza regionale o come nel caso di Russia e Cina, globale. Insomma una lettura consigliata per provare a orientarsi, ca va sans dire, in un mondo difficile.