L’accelerazione nei processi di digitalizzazione a cui abbiamo assistito in questi mesi è stata fondamentale per garantire la sopravvivenza di molti business alle durissime prove dei lockdown e delle restrizioni della pandemia, ma è anche vero che in diversi hanno saggiato l’altro volto della stessa medaglia di cui aziende e PMI avrebbero fatto volentieri a meno e cioè il boom dei rischi cibernetici e il dilagante fenomeno degli attacchi ransomware evoluti: un tipo di minaccia molto diversa dal passato, tant’è che si è stati costretti a coniare un nuovo termine ovvero gli attacchi a doppia estorsione (“Double Extortion”).
Indice degli argomenti
Gli attacchi a doppia estorsione: cosa sono
Molti degli attacchi cyber più altisonanti che hanno circolato anche tra le testate generaliste sono stati di fatto attacchi a doppia estorsione. A partire dal quanto accaduto a Garmin, che si è vista costretta ad impedire ai suoi clienti di accedere ai servizi digitali, o quanto più recentemente avvenuto a Luxottica e Campari, dove le ripercussioni sono state importanti anche nell’operatività del business.
Di questi attacchi sentiamo spesso parlare come attacchi ransomware. Tuttavia, parlare di ransomware è estremamente riduttivo. Può sembrare un accanimento accademico, ma in realtà non è affatto così.
La sostanza e le modalità di questi attacchi sono decisamente più evolute e complesse. Il termine ransomware, infatti, circola nei media da ben prima della nascita del fenomeno degli attacchi a doppia estorsione: da quando questi attacchi colpivano per lo più i privati, cifrando i dati presenti nel pc locale o poco più.
La dinamica degli attacchi “double-extortion” è più articolata e coinvolge in maniera netta le aziende e il tessuto produttivo nazionale.
Però, c’è da dire che l’uso improprio del termine ransomware è in buona misura giustificabile: dentro un attacco a doppia estorsione c’è anche un attacco ransomware. Ma non solo quello. Se la ricetta per un attacco ransomware tradizionale è assimilabile alla preparazione di una pasta al pomodoro, quella per un attacco a doppia estorsione è degna di uno chef di buona fama.
Ma in cosa differiscono esattamente questi attacchi a doppia estorsione rispetto ai “Cryptolocker” a cui siamo abituati a pensare, ai WannaCry e ai NotPetya che hanno segnato la narrativa moderna della cyber security?
L’origine degli attacchi a doppia estorsione
Per rispondere a questa domanda è bene prima mettere il cappello da cyber-archeologi e riesumare un vecchio bollettino circolato nel 2015, il bollettino Yoroi N010715, dove – in un’altra era digitale – erano emerse avvisaglie di qualcosa che non ci si sarebbe mai aspettati divenisse così esteso e pressante.
Il bollettino è stato, infatti, una delle prime testimonianze di attacchi diversi dai ransomware che stavano già segnando il panorama digitale italiano. Veniva introdotto il concetto di attacco “ransom” in contrapposizione agli attacchi “ransomware”, dove la peculiarità stava proprio nell’ingaggio manuale di una attività offensiva che terminava con la cifratura dei dati e la richiesta di riscatto.
Una dinamica diametralmente opposta da quella degli attacchi ransomware più comuni che circolavano a quei tempi; un’estorsione dove l’intervento dell’attaccante umano permetteva di arrivare dove il software automatizzato non riusciva, lasciando di stucco persino quelli che “tanto ho i backup su di un NAS Linux”. Già allora, manualmente, i criminali si assicuravano che software di backup e dati venissero distrutti prima della cifratura.
Come si sono evoluti gli attacchi a doppia estorsione
Oggi, gli attacchi a doppia estorsione hanno evoluto questa componente manuale, tant’è che si parla di attacchi operati da squadre, di team organizzati che – etica a parte – operano come i “Red Team”, ovvero specialisti di alto livello in test di penetrazione cibernetica, ed è per questo che a volte si sente parlare di “Dark Team”.
Certo, la componente manuale nelle operazioni di cyber-intrusione non basta a chiarire l’arcano. Perché quindi si parla di doppia estorsione?
Questa è la parte semplice: chi conduce attacchi double-extortion richiede tipicamente denaro anche per “garantire” la cancellazione dei dati rubati. Benché il concetto sia semplice, si può facilmente cadere in fraintendimenti se ci si dimentica il quadro generale e la componente umana che caratterizza questi attacchi, che nella pratica possono rimanere celati per settimane.
La dinamica di un attacco a doppia estorsione ricorda, infatti, i modus-operandi degli attori di minaccia avanzati, i cosiddetti Advanced Persistent Threat (APT), entità che fino a qualche anno fa erano preoccupazione delle sole organizzazioni in settori strategici e nel finance. Ora le stesse metodologie operative sono state sdoganate anche nel cyber crimine di massa, manifestando prepotentemente l’altro volto del digitale.
I modus operandi utilizzati negli attacchi a doppia estorsione sono quindi in parte automatizzati ed in parte manuali, e gli attori che li conducono usano un insieme di strumenti che va ben oltre il solo “ransomware”, ovvero il malware che di fatto cifra i file.
Vengono utilizzati malware di altra natura, botnet, keylogger, impianti backdoor, tool di hacking e persino strumenti di sistema leciti. Poi anche il “ransomware”.
Insomma, quando la domenica mattina si guarda ad un server colpito nella notte da un attacco double-extortion, il processo che cifra i file – il ransomware – è sono l’ultimo anello di una più lunga catena che ha coinvolto tanti altri oggetti per molto più tempo di quello che si pensa. Catena dove c’è stato un momento in cui, un operatore criminale umano, ad un certo punto, ha deciso di utilizzare un altro strumento per rubare giga e giga di dati da qualche server aziendale, magari transitando dalle infrastrutture di qualche nostro fornitore connesso in rete.
Questo, grandi linee, è il livello di complessità dietro ad un attacco a doppia estorsione. Intimamente diverso dagli attacchi ransomware tradizionali dove “apro una mail e si cifra il PC”.
Bilanciare la strategia cyber
L’esplosione delle minacce a doppia estorsione ha quindi catapultato molte aziende in una condizione molto precaria. Nel giro di meno di un anno le strategie di cyber security che fino a poco fa riuscivano a garantire una certa tranquillità all’impresa, facevano dormire sonni tranquilli ai CISO e permettevano al business il lusso di ignorare molto dei rischi cibernetici, sono completamente saltate.
Il motivo è lo stesso anticipato poco fa, che possiamo riassumere in un passaggio: gli attacchi a doppia estorsione sono attacchi mirati, intrusioni operate da esperti di hacking che hanno due obiettivi, rubare dati e distruggere i sistemi; attacchi operati con dinamiche e modus-operandi molto più simili ai gruppi organizzati piuttosto che a comuni malviventi digitali.
Questo punto di rottura con il passato è tanto attuale quanto impossibile da ignorare. La convinzione che le vecchie strategie funzionino si infrange contro la violenza degli attacchi a doppia estorsione, che catapultano letteralmente l’azienda in una condizione di crisi – crisi cibernetica – da un sabato notte ad una domenica mattina. Crisi che mette di fronte al senior management una serie di problematiche ad altissimo impatto sull’operatività immediata, su responsabilità civili, penali, reputazione e competitività futura.
Realizzato questo, una cosa è certa: attuare strategie per mettersi al riparo da questi avvenimenti rappresenta vantaggio competitivo garantito. Tanto semplicemente quanto cinicamente se la mia azienda blocca in tempo un attacco double-extortion ed il mio competitor no, la mia azienda ne trae vantaggio, viceversa ne trae vantaggio il competitor.
Quindi, come fare per adeguare le strategie di sicurezza cibernetiche?
Strategie di sicurezza cibernetica: le best practice
Ci sono tante strade per farlo. In realtà di business complicate e tante volte complesse, le “best practice” sono in tanti casi esercizi di stile inapplicabili. Molto meglio parlare di “buone pratiche” e principi.
Un principio che si può usare come bussola per l’individuazione di una strategia è il bilanciamento. Lo si può applicare a qualsiasi framework di gestione del rischio cyber, anche in forma più semplificata.
Tra i più essenziali su cui possiamo ragionare in questi termini c’è BDA: Before, During e After. Ovvero cosa c’è in campo per gestire il prima dell’attacco (prevenzione), il durante (rilevamento) ed il dopo (risposta). Un framework elementare, molto più semplice del Framework Nazionale, che però ne conserva i principi e che può molto più facilmente entrare negli schemi di pensiero di tante aziende ai primi passi con la tematica cyber.
Applicare il principio del bilanciamento è molto semplice e si può fare in due fasi, la prima è trovare risposta a tre semplici domande:
- Quanto ho investito nel proteggermi e nel prevenire gli attacchi (Before)?
- Quanto ho investito nel rilevare gli attacchi che passano oltre protezioni (During)?
- Quanto ho investito nell’attrezzarmi a gestire un attacco che va a buon fine (After)?
La seconda è analizzare come gli investimenti sono distribuiti per capire dove è più probabile avere lacune. Ad esempio se l’azienda ha investito tanto in sistemi antivirus, antispam, firewall, proxy di nuova generazione, tecnologie che servono a bloccare gli attacchi, oppure servizi di assessment e penetration test ma ci si accorge che non si è mai discusso di come affrontare una crisi cibernetica, od ancora, non ci sono investimenti nel rilevare (During), mitigare e rispondere agli attacchi (After), questo è un ottimo indicatore su come e dove ribilanciare la strategia di cyber security.
Attenzione, però! Ci sono insidie nel fare queste valutazioni. Inutile nascondere che qualsiasi soluzione, servizio o appliance di sicurezza cercherà di valorizzarsi come trasversale su ognuna di queste dimensioni.
In parte è vero, certamente, ma ogni servizio, tecnologia, appliance o soluzione ha una sua anima che si focalizza un po’ di più su di una di queste tre dimensioni.
Per uscire dall’impasse che naturalmente accompagna queste situazioni si può usare un semplice trucco: valutare il peso degli aspetti tecnologici e degli aspetti di umani che caratterizzano l’oggetto che si sta analizzando.
Un utile schema rappresentativo delle differenze tra la metodologia TPP e una strategia cyber.
Una volta fatto si può avere una indicazione in più sulla natura della soluzione che si sta valutando. Infatti, ad oggi, per ovvie ragioni di scalabilità la componente predominante delle soluzioni preventive è tecnologica, mentre nelle dimensioni del rilevamento e della risposta le componenti umane di competenza e le informazioni diventano man in mano sempre più discriminanti per comprenderne il valore.
