Come emerge anche dall’ultimo internet Crime Report condotto dall’FBI, negli ultimi anni gli attacchi ransomware si stanno concentrando sempre più verso aziende e istituzioni. A rappresentare il “cavallo di troia” sono spesso i dipendenti interni all’azienda, che involontariamente o dolosamente aprono la via all’entrata dei malware nel sistema.
Secondo le statistiche realizzate negli ultimi cinque anni dalle principali aziende che si occupano di sicurezza informatica (per esempio, Sophos, Veeam, Symantec), gli attacchi ransomware nei confronti di aziende e istituzioni sono in crescita, mentre si registra un progressivo abbandono del bersaglio individuale, probabilmente ritenuto dai criminali meno appetibile. Parallelamente, è in crescita anche il risultato economico delle attività criminali, che stanno diventando rilevanti (con riferimento a ogni settore, inclusi quello militare e governativo) per l’entità delle somme richieste (e spesso ottenute) dai criminali a titolo di riscatto.
L’Internet Crime Report 2022 condotto dall’FBI riferisce infatti di oltre 3.700 casi di ransomware rilevati nel 2021 nel solo territorio degli Stati Uniti, con una perdita stimata di circa 49 milioni di dollari; non è inclusa la cifra stimata per quanto riguarda affari persi, tempo, salari e stipendi, file definitivamente danneggiati ed eventuali servizi di riparazione di terze parti a cui la vittima abbia dovuto rivolgersi per far fronte al problema.
Un meccanismo estorsivo in quattro punti
In realtà, parlare di attacco è improprio, perché il ransomware non è un’azione ma uno strumento (ware significa “componente”) attraverso il quale i criminali realizzano una condotta che ha come finalità l’estorsione (ransom, ossia “riscatto”); nello specifico, il ransomware consiste in un programma che, per esprimere il proprio potenziale offensivo, dev’essere attivato dall’interno della rete scelta come bersaglio.
Questo può avvenire in due modi: sfruttando una vulnerabilità del sistema, che consente di inoculare il malware e poi eseguire il codice da remoto, oppure (ipotesi più preoccupante e più diffusa) sfruttando l’attività di un dipendente, che, involontariamente o dolosamente, esegue il download e manda in esecuzione il programma.
L’evoluzione delle tecniche di backup e la crescente consapevolezza degli utenti hanno portato a un’aggiornamento del meccanismo estorsivo: se in origine venivano effettuate la cifratura dei dati contenuti nell’hard disk della vittima e la consegna delle chiavi di decrittazione a seguito del versamento di una somma di riscatto in criptovaluta, oggi il processo passa attraverso quattro fasi:
- cifratura dei dati e richiesta di riscatto in cambio dei codici necessari a sbloccare gli archivi;
- esfiltrazione dei dati e loro collocazione su un server, dal quale potranno essere diffusi o venduti qualora la vittima non esegua il pagamento della somma richiesta;
- comunicazione ai soggetti controinteressati con minaccia di pubblicazione e vendita dei dati sul dark web, così da danneggiare l’immagine della vittima e convincerla a versare il riscatto;
- denuncia della vittima all’autorità di controllo per la tutela dei dati personali (in Italia, il Garante per la protezione dei dati personali, impropriamente chiamato Garante della privacy, così da provocare un’ispezione e un’eventuale sanzione dell’autorità a seguito dell’intervenuto data breach.
Ogni fase successiva alla prima è preceduta dalla minaccia di realizzare la condotta, al fine di convincere la vittima a effettuare il versamento del riscatto. È opportuno evidenziare che nel web sono presenti perfino dei meccanismi di ranking sull’affidabilità dei criminali informatici, che dovrebbero orientare la vittima nella difficile scelta tra pagare o denunciare.
Ransomware, il problema della “talpa” interna
In molti casi, il crimine perpetrato tramite lo strumento del ransomware può essere facilitato o addirittura reso possibile dalla collaborazione di un dipendente infedele, che fornisce spontaneamente ai criminali - di solito dietro cospicuo compenso - le credenziali di accesso al sistema informatico dell’azienda. In appositi marketplace sul web, addirittura, sono rinvenibili vere e proprie offerte di persone che si candidano (dietro compenso) a esporre la propria azienda all’attacco di un ransomware, per cui l’impresa criminale sta sempre più diventando, nella realtà, un semplice proponente che recluta “procacciatori d’affari” per compiere materialmente l’azione criminale.
Se l’azienda non viene a conoscenza (di solito in modo fortuito) delle comunicazioni tra il predetto dipendente e i criminali, risulta complesso anche censurare l’attività del lavoratore: da una parte, infatti, è vietato monitorare la casella di posta elettronica (anche aziendale) e, più in generale, il comportamento di una persona su Internet, dall’altro, se il dipendente è sufficientemente smaliziato, in accordo con i criminali organizzerà la propria attività affinché l’evento dannoso appaia frutto di un semplice disguido o addirittura venga imputato ad altri - magari sfruttando quella situazione di cortesia (spesso ricorrente nelle aziende a discapito della sicurezza, non solo informatica) per cui ciascun dipendente di un ufficio conosce le credenziali di accesso dei colleghi o, quantomeno, sa dove recuperarle per svolgere qualche incombenza urgente in assenza della persona deputata.
Altre ipotesi di business criminale si basano invece sul ransomware-as-a-service, una sorta di licenza d’uso con la quale il produttore del malware offre l’utilizzo del proprio prodotto sul mercato, richiedendo al soggetto che lo impiega una percentuale sui risultati. È quindi quest’ultimo, in sostanza, a diventare l’“imprenditore del crimine”, scegliendo i bersagli contro cui rivolgere la propria attività.
Se la situazione non è rosea per le aziende private, non va certamente meglio per il settore pubblico: le amministrazioni locali sono infatti tra i soggetti che hanno meno probabilità di riuscire a impedire la cifratura e l’esfiltrazione dei dati (gran parte dei quali, tra l’altro, sono classificati come “particolari” in base al Regolamento UE 679/2016).
La realtà pubblica, inoltre, si mostra più lenta a reagire (il danno materiale e d’immagine cresce quindi vertiginosamente rispetto ad analoghe situazioni nel settore privato) e ad attivare ed eseguire le manovre di ripristino, con effetti anche pesanti sui diritti e sulle libertà degli interessati. Al contrario, le aziende private che appartengono al settore high-tech (in particolare quelle che operano con i media e l’intrattenimento) risultano le realtà più preparate e rapide a reagire in caso di attacco andato a buon fine (anche in questo caso, tuttavia, c’è poco da gioire, perché solo nel 50% dei casi si riesce a evitare la cifratura dei dati).
Danni e conseguenze economiche (e non)
L’impatto finanziario di un attacco ransomware può essere devastante per le aziende. Il pagamento del riscatto, al contrario di quanto si potrebbe immaginare, può rappresentare solo una parte del danno complessivo: sono da considerare, infatti, anche la potenziale perdita dei dati, i costi legati ai tempi di ripristino dei sistemi, il danno di immagine e, in caso di esfiltrazione e diffusione delle informazioni, la perdita di clientela conseguente alla perdita di fiducia nei confronti dell’azienda rimasta vittima dell’azione criminale.
Un’ulteriore fonte di danno è poi da rinvenirsi nelle penali e nei risarcimenti che l’azienda potrebbe essere chiamata a pagare per l’interruzione delle attività aziendali; la perdita di accesso ai dati e ai sistemi può impedire, infatti, di svolgere perfino le più elementari attività quotidiane come consultare la posta elettronica e produrre beni (anche le catene di montaggio o trattamento delle merci sono controllate da sistemi informatici, raramente distinti da quelli dedicati all’office automation). Può diventare quindi impossibile sia richiedere ai fornitori ulteriori materie prime o servizi, sia erogare ai clienti beni e servizi, con ogni possibile conseguenza su contratti in essere, incassi e pagamenti.
Valutazione delle criticità in ottica strategica
Gli esperti suggeriscono l’adozione di molteplici strategie per affrontare le minacce che derivano dal ransomware e dalla criminalità informatica più in generale. Ogni azienda, innanzitutto, dovrebbe analizzare i possibili scenari di rischio, ponendo le criticità legate alla contrattualistica (e non solo) in rapporto con i tempi di ripristino. Come già evidenziato, infatti, il caso in cui i sistemi informatici possano ripartire e i dati tornare a essere disponibili potrebbe non essere compatibile con i tempi necessari per alimentare la filiera produttiva o la fruizione/erogazione dei servizi.
Il ripristino dei dati e dei sistemi deve quindi coincidere con una ripresa delle attività funzionale al rispetto dei contratti ed essere pianificato in maniera tempestiva rispetto alle scadenze che l’azienda non può eludere. Conseguentemente, gli investimenti nella sicurezza non possono essere valutati internamente - limitandosi a considerare i costi palesi di software, strumenti, contratti di assistenza - ma devono tenere conto del danno potenziale per l’azienda, che potrebbe non risultare accettabile al di sotto di determinate cifre. Diventa determinante, in quest’ambito, l’analisi della struttura aziendale da parte di soggetti esterni, che, valutando in modo analitico e professionale le effettive esigenze di sicurezza, siano in grado di sviluppare un piano di implementazione dei miglioramenti tale da garantire il minimo impatto delle attività criminali sugli obiettivi di business.
Questo processo può includere l’implementazione di procedure di sicurezza informatica, la formazione dei dipendenti, la revisione delle politiche di sicurezza esistenti, l’aggiornamento dei software, la loro integrazione o la migrazione verso altre soluzioni o modifiche al piano di backup e ripristino dei dati affinché il sistema risulti più efficace rispetto a quanto già esistente. Si tratta di un percorso di miglioramento continuo, già intrapreso da alcune realtà che ne hanno compreso l’importanza; anche la spinta dell’Unione Europea e del mondo tecnologicamente organizzato è chiaramente orientata a una standardizzazione delle misure di sicurezza verso un modello quantificabile e ripetibile, come dimostra anche il recente aggiornamento delle principali norme ISO.
Prevenzione e backup: istruzioni per l’uso
La triste verità sul ransomware è che conoscere meglio il problema non ha portato a una diminuzione apprezzabile degli effetti degli attacchi: i costi di prevenzione - e di ripristino, nel momento in cui la prevenzione non è sufficiente - sono infatti molto elevati. Il fenomeno dell’esfiltrazione, inoltre, complica la situazione (poiché risulta difficile comprendere cosa effettivamente è stato rubato) anche quando la politica di backup è stata efficace e la realtà colpita si trova in condizione di poter ripristinare i sistemi.
Infine, bisogna constatare che attualmente adottare una politica efficace di backup appare sempre più complesso e costoso, poiché i ransomware più recenti si muovono all’interno del sistema alla ricerca dei file di backup da danneggiare; risulta quindi determinante, in ottica di prevenzione, avere la possibilità di contare su diverse e distinte copie di backup offline, sottratte a qualsiasi azione del ransomware in assenza di un collegamento con il sistema informativo.
Ridurre il rischio di attacchi ransomware, suggerimenti per la sicurezza
Per ridurre al minimo il rischio di attacchi ransomware, le aziende possono adottare una serie di misure di sicurezza, tra cui:
- backup regolari dei dati, dislocati su altri sistemi, disconnessi dal sistema principale dopo l’esecuzione e alternati con sistemi analoghi, affinché tutte le copie non siano mai online nello stesso momento;
- installazione di software antivirus e anti-malware, che non si limitino a verificare cosa sta accadendo ai file in tempo reale, ma siano in grado di rilevare condotte potenzialmente negative e di intervenire sulle operazioni prima che vengano poste in essere dai diretti interessati;
- aggiornamento costante dei software e dei sistemi operativi, per evitare che le vulnerabilità note possano favorire le attività dei criminali informatici;
- formazione dei dipendenti in materia di sicurezza informatica (in generale) e di ransomware (in particolare), poiché la prevenzione è l’unico vero meccanismo che può quantomeno ridurre l’esposizione al rischio;
- adozione, di concerto con le organizzazioni sindacali e con la Direzione Territoriale del Lavoro, di meccanismi di monitoraggio automatico delle attività in rete, così da poter ricostruire (escludendo qualsiasi forma di controllo a distanza del dipendente) l’evento generato da un ransomware (o qualsiasi altro attacco ai sistemi) fin dall’origine e perseguire (civilmente e penalmente) il responsabile di eventuali attività criminali.