I ransomware, tra gli attacchi oggi più temuti dalle società e dalle pubbliche amministrazioni, si sono evoluti negli ultimi anni e i threat actors hanno adattato i modelli di business e le azioni svolte al fine di trarre valore e profitti da tali incidenti.
Al fine di aiutare le organizzazioni a mitigare il rischio di attacco, l’Agenzia dell’Unione Europea per la cibersicurezza (“ENISA”) ha recentemente pubblicato il report “ENISA threat landscape for ransomware attacks” che illustra il più recente scenario di minaccia derivante dai ransomware attraverso la mappatura e lo studio degli incidenti che si sono verificati da maggio 2021 a luglio 2022.
I rilievi dell’ENISA si concentrano, in particolare, sull’analisi dei ransomware, del loro ciclo vitale e dei modelli di business, offrendo le proprie raccomandazioni e spunti di riflessione sugli impatti che tali incidenti possano ancora avere sul generale panorama delle minacce alla sicurezza dei sistemi.
Come si impara la cyber security: ecco le nozioni di base necessarie
Indice degli argomenti
Le tipologie di ransomware
Anzitutto, il report dell’ENISA definisce il ransomware come l’incidente attraverso il quale dei threat actors prendono il controllo dei sistemi e degli asset di un’organizzazione bersaglio, chiedendo un riscatto per il ripristino della disponibilità e della confidenzialità delle informazioni e dei sistemi compromessi.
Gli elementi essenziali di un ransomware sono:
- gli asset, che rappresentano un valore per l’organizzazione colpita dall’attacco (es. file e cartelle – e relativi contenuti – presenti nei sistemi operativi);
- gli effetti che derivano da un attacco di tipo ransomware, collettivamente definiti con l’acronimo “LEDS”, e che consistono: nel blocco (“lock”), ad esempio, dell’accesso ad un dispositivo o ad un applicativo; nella cifratura (“encrypt”) di un asset per renderlo non più intelligibile; nella cancellazione (“delete”) volta alla compromissione irreversibile della disponibilità di un asset; nel furto (“steal”), inteso come sottrazione della disponibilità dell’asset;
- il riscatto, che è solito essere normalmente di natura economica, ma che può essere rivolto anche all’ottenimento di ulteriori e differenti obiettivi d’interesse per l’organizzazione criminale.
Il ciclo vitale dei ransomware e i modelli di business adottati
Nel report, il ciclo vitale dei ransomware, rimasto invariato fino al 2018, viene riassunto in cinque fasi:
- accesso iniziale, che potrebbe derivare, ad esempio, dallo sfruttamento delle vulnerabilità dei software o dal furto di credenziali d’accesso;
- esecuzione, intesa quale fase in cui i threat actors studiano le vulnerabilità degli asset, individuano la rete e i sistemi ai quali questi sono collegati e adottano le strategie d’attacco che permettano di compromettere il maggior numero di sistemi e informazioni dell’organizzazione da colpire;
- azione sugli obiettivi, attraverso cui si genera la compromissione della disponibilità e/o della confidenzialità delle informazioni e dei sistemi informatici;
- riscatto, mediante il quale i threat actors rendono noto l’oggetto della loro richiesta, comunicando l’attacco in corso e le previste conseguenze sugli asset;
- negoziazione del riscatto, che avviene in genere mediante comunicazioni private tra l’organizzazione colpita e i threat actors.
Il report dell’ENISA fornisce, inoltre, un’illustrazione sommaria dei modelli di business grazie ai quali i threat actors riescono a creare, distribuire e ottenere valore dai loro attacchi.
In passato, infatti, questo genere di attacchi erano condotti da singoli individui o da gruppi ristretti che, senza reali necessità di organizzazione, miravano al solo scopo di sviluppare e diffondere il ransomware.
Oggi, invece, i threat actors si organizzano in gruppi, dividendosi i compiti e gli obiettivi previsti e necessari per portare a termine le varie fasi dell’attacco.
Il cd. Ransomware-as-a-Service (“RaaS”) rappresenta una delle minacce più rilevanti tra quelle attualmente dovute alla diffusione dei ransomware. Si tratta, infatti, di un vero e proprio servizio di attacchi che i threat actors – anche mediante piattaforme – mettono a disposizione di chiunque abbia intenzione di condurre un attacco ransomware (cd. RaaS affiliates). In tale scenario, i threat actors si occupano esclusivamente dell’accesso iniziale e dell’esecuzione, lasciando ai RaaS affiliates le ulteriori fasi dell’attacco.
Guardando al futuro, inoltre, i threat actors sempre di più sposteranno la propria attenzione al modello di cd. Data Brokerage, massimizzando i profitti dei propri attacchi attraverso la vendita al miglior offerente degli accessi o dei dati ottenuti illecitamente.
Infine, anche il pubblico riconoscimento del rispetto degli accordi da parte dei threat actors costituisce un valido modello di business. Infatti, per far sì che gli incidenti vadano a buon fine e che le organizzazioni colpite soddisfino le richieste di riscatto, è spesso necessario essere notoriamente riconosciuti come gruppo organizzato che, a seguito del pagamento di quanto richiesto, ripristini – come promesso – la disponibilità e la confidenzialità degli asset compromessi. A ciò si deve la preoccupazione di molti threat actors di dare anche pubblica dimostrazione dello sblocco dei sistemi che segue all’ottenimento dell’oggetto del riscatto.
Alcuni numeri sugli incidenti dal 2021 ad oggi
Il punto focale del report, che ben aiuta a comprendere la realtà dei ransomware, è certamente costituito dall’analisi di dettaglio che l’ENISA ha condotto con riferimento agli incidenti degli ultimi quattordici mesi.
A tal fine, l’ENISA ha esaminato 623 incidenti verificatisi in tutto il mondo e dei quali ha potuto riscontrare la reale attuazione da parte dei threat actors.
Stando a quanto riportato nel report, il 46.2% degli incidenti analizzati ha comportato una fuga di dati che, in media, si attesta sui 518GB di volume di informazioni compromesse per incidente. Peraltro, nella maggior parte di tali casi, la compromissione ha riguardato la totalità dei dati presenti sui sistemi attaccati.
È importante, inoltre, evidenziare che il 58.2% dei dati coinvolti negli attacchi ransomware fossero “dati personali e che più del 24%, invece, fosse costituito da informazioni aziendali riservate (es. dati di produzione, documenti amministrativi o accordi di riservatezza ecc.).
La mancata disponibilità di informazioni sulle vulnerabilità sfruttate dai threat actors, non ha permesso, però, all’ENISA di offrire all’interno del report una descrizione delle modalità utilizzate per accedere agli asset colpiti.
In ogni caso, dall’analisi dei comportamenti ricorrenti dei threat actors, l’ENISA ha potuto comunque stimare che circa il 60% delle organizzazioni abbia trovato un accordo o un compromesso con le organizzazioni criminali a seguito della loro richiesta di riscatto.
Le raccomandazioni dell’ENISA
L’approccio raccomandato dall’ENISA per rafforzare la sicurezza dei sistemi da questo genere di incidenti si sostanzia, secondo quanto si legge nel report, nell’adozione di misure tecniche ed organizzative – tese a migliorare la resilienza dei sistemi e degli asset aziendali – e nella collaborazione e interlocuzione con le autorità competenti.
Le misure raccomandate dall’ENISA, tra le altre, possono consistere:
- in adeguate procedure di backup dei file e dei dati di maggior valore, garantendone l’isolamento dalle reti, così come nell’adozione della regola di backup “3-2-1” (per ciascun documento, predisporre 3 copie, 2 supporti di salvataggio, 1 copia non salvata su rete);
- nell’utilizzo di valide procedure di controllo e gestione del rischio e di crittografia, conformemente ai principi dettati dal GDPR in materia di protezione dei dati personali;
- nella predisposizione di policy e procedure di sicurezza o anche di sistemi di accesso diversificati.
Grande valore viene, altresì, attribuito alla collaborazione delle organizzazioni colpite con le autorità competenti. A tal riguardo, l’ENISA evidenzia con forza l’importanza della condivisione, a livello governativo, degli elementi che caratterizzano i vari incidenti, mediante la quale sviluppare misure e meccanismi di tutela più consapevoli ed efficaci per tutti. Le energie e gli sforzi delle aziende, si legge, dovrebbero concentrarsi sul miglioramento dei sistemi e della security governance, senza prestare il fianco alla prassi di soddisfare incondizionatamente le richieste dei threat actors (riscatto), peraltro, non garantisce il ripristino dei sistemi e delle informazioni compromesse.
Conclusioni
Dall’analisi del report dell’ENISA emerge con chiarezza un quadro grave e preoccupante sulla realtà e sulla diffusione più recente degli attacchi ransomware che, anche in ragione dei dati presumibilmente non conosciuti, potrebbe comunque risultare incompleto.
L’attenzione delle aziende e organizzazioni alla tutela dei propri dati e sistemi si ascrive in un più ampio dovere di sensibilizzazione e di adeguamento alle strategie internazionali di protezione dei dati personali e di cybersecurity, sempre più adattate alle realtà nazionali e agli specifici settori e industries di riferimento.
Il valore della tutela degli asset aziendali è cresciuto di pari passo con il naturale sviluppo del modello di società e di organizzazione del lavoro, che oggi si caratterizza per una considerevole interconnessione ed esposizione dei dispositivi e dei sistemi. Peraltro, la mancata considerazione di tali minacce comporta, in capo alle aziende di tutte le dimensioni, obblighi e conseguenze potenzialmente onerosi nei casi di incidenti di sicurezza, tanto più se riguardanti dati personali e l’erogazione di servizi essenziali, così come identificati in Italia all’interno del Perimetro di Sicurezza Nazionale Cibernetica.
Per tali ragioni, i numeri che caratterizzano la realtà dei cyber crimes devono indurre le aziende a rivalutare i sistemi di prevenzione e gestione dei rischi che derivano dalle nuove e mutevoli minacce di sicurezza dell’ecosistema cyber.
Pertanto, appare necessario identificare le soluzioni più sostenibili e le misure più adeguate alla tutela dei sistemi, calando le valutazioni sulle specifiche realtà tecnologiche e organizzative maggiormente esposte e che rappresentano il più importante valore delle aziende.
