Il fattore umano rappresenta indubbiamente l’anello debole nella catena difensiva di un’organizzazione e questa affermazione è ancora più vera quando ci si trova di fronte ad attacchi ransomware.
Nessuna azienda vuole diventare vittima del cyber crimine, ma se ci sono lacune di sicurezza (ad esempio configurazioni errate, risorse a rischio o vulnerabilità non risolte), è molto probabile che i cyber criminali riusciranno a trovarle e ad approfittarne e potrebbero trascorrere mesi, se non di più, prima che la vittima scopra cos’è successo.
Gli esperti sono da sempre al fianco delle aziende per identificare, bloccare e attenuare l’impatto degli attacchi e di conseguenza, hanno esperienza diretta dell’impatto del cyber crimine sulle vittime.
Indice degli argomenti
La sicurezza infallibile è una leggenda
Secondo il principio guida della cyber security, chi si difende deve sempre agire correttamente, mentre a chi attacca basta colpire nel segno una volta sola.
È un fatto sconcertante per i team di IT security, ma in realtà è vero solo in parte. Poiché gli hacker stanno diventando molto abili a camuffarsi per evitare di suscitare i sospetti dei team di sicurezza e attivare il rilevamento, ciò da cui non si può prescindere è un approccio basato su vari livelli di sicurezza, che siano in grado di interrompere la catena di attacco in vari punti.
Tra i vari stratagemmi a cui ricorrono i cybercriminali spicca l’utilizzo strumenti informatici legittimi per eludere le tecnologie di sicurezza, analizzare i computer e spostarsi lateralmente all’interno della rete.
Inoltre, spesso agiscono in modo da compromettere gli account di amministrazione esistenti per poter agire indisturbati. Se vengono identificati e bloccati, provano semplicemente un’altra tattica.
Questo ci porta a uno degli aspetti più significativi degli attacchi informatici, che è anche uno di quelli più sottovalutati dalle vittime: la battaglia non è contro un codice, ma contro delle persone reali
Attacchi ransomware e fattore umano: mani sulla tastiera
Sebbene la violazione iniziale possa essere automatica e magari opportunistica, una volta ottenuto accesso alla rete, spesso l’attacco viene orchestrato in maniera mirata e inesorabile da una persona che decide come utilizzare i vari strumenti.
In un caso osservato dai nostri esperti di incident response, un hacker ha cercato di compromettere i sistemi della vittima utilizzando quattro metodi di attacco diversi nell’arco di soli 15 minuti.
Dopo il blocco di tutti gli attacchi, il cybercriminale ha cercato di attaccare l’RDP, uno strumento spesso non adeguatamente protetto.
A quel punto, ha rivelato l’IP del suo computer ed è stato identificato dal team di sicurezza. Game over. La cosa più difficile per le vittime è che molto spesso i cybercriminali utilizzano strumenti legittimi, per cui i team di IT security non possono mai abbassare la guardia e devono essere sempre in grado di riconoscere se l’uso di questi strumenti sia a scopo malevolo o meno.
Da quanto tempo si trovano nella rete i cyber criminali?
Secondo quanto emerso dalle nostre analisi, la maggior parte delle vittime pensa che la violazione si sia verificata appena prima della parte visibile di un attacco (ovvero il ransomware), ma questo avviene molto raramente.
In realtà è probabile che i cyber criminali siano rimasti all’interno della rete per diverso tempo, rimanendo nell’ombra mentre analizzavano i sistemi, installavano backdoor, rubavano informazioni e consolidavano la propria persistenza per poter intercettare i comandi di backup e ripresa dopo un riavvio.
Questi sono tutti problemi di sicurezza che le vittime devono identificare e attenuare, per potersi riprendere completamente da un attacco; inoltre, sono tutti fattori che incidono ulteriormente su una situazione già estremamente stressante.
La parte dell’attacco che molto spesso rivela alle vittime la presenza di un intruso è il lancio del ransomware. È il punto nella catena di eventi in cui il cyber criminale molto probabilmente ha già portato a termine tutte le operazioni che desiderava compiere ed è pronto a uscire allo scoperto e rendersi visibile.
In altre parole, di solito l’implementazione del ransomware segna la fine di un attacco, piuttosto che il suo inizio.
Il ransomware dilaga
Il 90% circa degli attacchi osservati aveva come protagonista il ransomware; spesso l’impatto di questo tipo di attacco è devastante, in particolar modo per le organizzazioni, in quanto gli effetti riguardano un contesto più ampio.
Tra questi esempi vi sono gli enti sanitari, per i quali un attacco andato a segno significa la cancellazione di interventi chirurgici, la perdita delle lastre dei pazienti, l’impossibilità di accedere ai risultati delle analisi per rilevare il cancro e molto altro.
Alcune vittime pensano di non avere altra alternativa se non quella di pagare il riscatto, ad esempio nel caso in cui vengano eliminati anche i backup dei dati su sistemi di archiviazione on-line o accessibili in altro modo.
Altre organizzazioni si rifiutano categoricamente di pagare, indipendentemente dalle circostanze. Altre ancora sono talmente preoccupate dell’impatto che la pubblicizzazione di un caso di furto dei dati potrebbe avere sulla propria reputazione, che non esitano a pagare per le chiave di decifratura.
La complessità del ransomware può variare: esistono tipologie più professionali e sofisticate, così come ce ne sono anche di disorganizzate e di bassa qualità.
I nostri esperti di risposta agli incidenti hanno osservato che, sebbene tutti gli attacchi abbiano sulle vittime un effetto intimidatorio ed estenuante, a volte anche i cybercriminali possono essere messi sotto pressione ed essere soggetti all’ansia.
Un esempio è un’organizzazione che è stata colpita dal ransomware-as-a-service REvil/Sodinokibi. Da un giorno all’altro, gli hacker hanno cifrato il 90% dei server dell’azienda, la quale ha dovuto interrompere ogni attività. I cyber criminali sono riusciti a infiltrarsi nei sistemi finanziari critici dell’azienda e ne hanno subito approfittato, come dimostrano le loro richieste di riscatto.
La prima richiesta di riscatto pari a 3 milioni di USD è giunta in meno di 24 ore. La comunicazione giustificava la somma richiesta elencando i vari flussi di fatturato dell’azienda, il fatto che erano idonei a chiedere un prestito a una certa banca, i potenziali costi che avrebbe avuto l’impatto del ransomware e i pagamenti mensili in caso avessero stipulato il suddetto prestito per pagare il riscatto.
La comunicazione indicava anche che la dichiarazione dei redditi dell’azienda non ne sembrava riflettere accuratamente il fatturato effettivo.
Questi tentativi non hanno avuto l’esito desiderato, in quanto l’azienda, che non aveva un’assicurazione contro il ransomware, si rifiutò di pagare. La questione è degenerata rapidamente. Sono arrivate molte altre e-mail minacciose rivolte ai singoli dipendenti, con dati prelevati dal reparto Risorse umane.
È seguita un’altra e-mail rivolta all’intera azienda che esortava i dipendenti a persuadere i dirigenti a pagare il riscatto, che aveva raggiunto la cifra di 8 milioni di dollari.
Infine, i cyber criminali hanno cominciato a bombardare un già esausto team IT di telefonate, intimandoli a leggere le e-mail e a pagare il riscatto. La vittima alla fine non ha pagato. Ha ripristinato tutti i dati possibili, cercando di assorbire il colpo quando gli hacker hanno pubblicato on-line i dati aziendali in tre riprese. L’azienda è ancora in attività.
La sfida della ripartenza
Abbiamo rilevato che molte vittime non riescono a capire come agisce il malware quando si sposta all’interno di un’organizzazione.
Generalmente si ritiene che si diffonda dall’interno verso l’esterno in tutte le direzioni, mentre in realtà viene distribuito strategicamente su una serie di computer preselezionati. Inoltre, i cybercriminali non puntano solamente a prelevare documenti e altri dati, bensì cercano di rendere i computer quasi completamente inutilizzabili.
Lasciano solamente le funzionalità necessarie per fare in modo che la vittima possa avviare i computer e visualizzare la nota di riscatto.
Per la vittima, questo significa che recuperare i sistemi non comincia con il ripristino dei backup e il recupero dei dati prelevati o cifrati dai cybercriminali.
Spesso si tratta invece di dover reimpostare tutti i computer che sono stati attaccati e a questa sfida si aggiunge il difficile compito di identificare da dove provenga l’attacco degli hacker e se questi si trovino ancora all’interno della rete.
Costruire una protezione sempre più solida
Man mano che gli attacchi diventano sempre più insidiosi e più abili a sfruttare strumenti legittimi, le vittime riconoscono sempre maggiormente l’importanza di un threat hunting supervisionato da essere umani.
Il threat hunting svolge un ruolo complementare rispetto agli algoritmi più avanzati dei software di sicurezza next-gen, in quanto sfrutta le competenze umane di esperti disponibili 24h su 24 e 7gg su 7, in grado di valutare tutte le sfumature di un attacco meglio di quanto possa fare un software.
È come avere un sistema di videosorveglianza: le videocamere possono registrare immagini e distogliere i criminali dai loro intenti, ma non possono bloccarli attivamente.
Sono le guardie di sicurezza che monitorano il sistema di videosorveglianza in tempo reale a dover intraprendere le azioni necessarie. Capita troppo frequentemente che i team di IT security comincino la giornata dovendo esaminare le dinamiche di un incidente verificatosi, piuttosto che trovando i dettagli di un attacco sventato.
