È possibile predisporre un ambiente IT a prova di pirata informatico? Secondo gli esperti di cyber security la risposta è semplice: no. Declinata solitamente con un più rassicurante “la sicurezza al 100% non esiste”, la consapevolezza che un data breach è sempre possibile dovrebbe far parte del bagaglio culturale di chiunque lavori nel settore della cyber security.
Nello scenario attuale, in cui le forme di lavoro agile (smart working) e le piattaforme distribuite su cloud hanno eroso il concetto stesso di perimetro, l’approccio orientato a una difesa dei “confini” della rete aziendale mostra tutti i suoi limiti.
Proprio da qui deriva l’evoluzione verso una declinazione della cyber security che non punti solo a impedire gli accessi non autorizzati, ma che abbia come priorità quella di proteggere l’obiettivo degli eventuali attacchi.
Indice degli argomenti
Il valore del dato nell’ottica del cyber crimine
Se si escludono gli episodi di attacchi informatici legati a forme di attivismo politico, le attività del cyber crimine sono rivolte in qualche modo all’acquisizione di dati e informazioni. La (quasi) totalità dei pirati informatici, infatti, agisce per scopi che coinvolgono in qualche modo il furto di dati.
Se nel caso del cyber spionaggio che interessa gli “hacker di stato” il collegamento con le informazioni è evidente, rimane valido anche nel caso delle attività promosse dai comuni cyber criminali motivati da interessi economici.
Dal furto degli account mail e social, passando per quello delle informazioni su carte di credito, l’obiettivo rimangono sempre e comunque i dati.
Il caso che indica in maniera cristallina quanto sia necessario porre il dato al centro della cyber security, però, è quello dei ransomware.
In questo caso, infatti, il valore dei dati si colloca alla base stessa dello schema estorsivo messo in atto dai cyber criminali. Lo schema è ben noto e prevede la “presa in ostaggio” dei dati della vittima attraverso la loro codifica tramite un algoritmo di crittografia che li rende inaccessibili al legittimo proprietario, cui viene chiesto un riscatto per poter ricevere la chiave crittografica che permette di “sbloccare” i dati.
Cyber security: l’evoluzione degli attacchi ransomware
Le tecniche di attacco estorsive, pur mantenendo una sostanziale identità, hanno subito una rapida evoluzione nel giro di pochi anni.
Se il primo esemplare di crypto-ransomware risale secondo alcuni esperti di cyber security addirittura al cosiddetto AIDS trojan, diffuso nel 1989 tramite floppy, il vero boom può essere individuato a partire dal 2013.
Complice la diffusione delle criptovalute, che offrono ai cyber criminali uno strumento di pagamento che garantisce un relativo anonimato, gli attacchi si sono moltiplicati su larga scala. In una prima fase, i cyber criminali specializzati in ransomware hanno adottato tecniche di attacco “a pioggia”, utilizzando allegati e-mail e link a siti malevoli per colpire indiscriminatamente qualsiasi tipo di obiettivo.
In questa fase, spesso il riscatto richiesto ammontava a poche centinaia (o addirittura decine) di euro, in linea con la disponibilità economica di utenti privati che vedevano nella possibilità di perdere i loro dati un danno consistente ma non catastrofico.
Con il tempo, però, i pirati informatici hanno realizzato di poter guadagnare molto di più andando a colpire in maniera sistematica e mirata i soggetti che da una perdita di dati rischiano un danno maggiore: le aziende.
Il cambio nel modus operandi dei pirati informatici
La focalizzazione sulle aziende come bersagli privilegiati degli attacchi ransomware ha comportato un graduale adattamento delle tecniche utilizzate dai pirati informatici, che hanno iniziato a utilizzare strategie più elaborate e professionali rispetto alle prime “ondate” di crypto-ransomware.
Se nella prima fase l’attacco utilizzava le e-mail come vettore “diretto”, le nuove tecniche si sono orientate a schemi più complessi, in cui i cyber criminali agiscono in seguito a un’attenta pianificazione e investono tempo e risorse per portare a termine l’azione estorsiva aggirando i sistemi di cyber security.
La catena è rappresentata da una prima compromissione di un dispositivo del network aziendale attraverso l’installazione di trojan o il furto di credenziali tramite tecniche di phishing, cui segue una seconda fase rappresentata dal cosiddetto “movimento laterale”, cioè l’individuazione e lo spostamento verso le risorse aziendali (come i server) che contengono i dati più sensibili.
Solo a questo punto i cyber criminali procedono al deployment del ransomware ella conseguente crittazione dei dati.
Le criticità per la cyber security legate al nuovo quadro
L’evoluzione descritta, sotto il profilo della cyber security, comporta numerose conseguenze.
La più importante è che spesso i pirati utilizzano versioni personalizzate o nuove varianti dei ransomware che sfuggono ai comuni sistemi di rilevamento di cyber security basati su signature.
La seconda riguarda la possibilità di reagire all’attacco, che normalmente fa perno sulla possibilità di ripristinare i dati crittografati attraverso le funzioni di backup. Nella nuova declinazione degli attacchi, i pirati informatici puntano infatti a sfruttare la libertà di azione che hanno ottenuto per “sabotare” anche le copie di sicurezza cui riescono ad accedere e impedire così il ripristino.
Non solo: l’uso di tecniche di infiltrazione permette loro non solo di crittografare i dati rendendoli inaccessibili al legittimo proprietario, ma anche di esfiltrare i dati stessi.
Questo “doppio binario” dell’attacco ransomware finisce, di conseguenza, per raddoppiare il danno subito dalla vittima. Oltre a quello legato al blocco delle attività produttive, infatti, l’azienda subisce un furto di informazioni con conseguenze potenzialmente devastanti sotto diversi profili: reputazionale, competitivo e giuridico.
Lo schema della doppia estorsione
La naturale conseguenza di quanto appena descritto è rappresentata dalla “doppia estorsione”.
Nello schema di attacco ransomware, in pratica, i pirati chiedono due riscatti: il primo per fornire la chiave crittografica che consente di recuperare i dati che sono stati codificati dal malware, il secondo per impedire che i dati rubati vengano resi pubblici o venduti al mercato nero.
Una tecnica che ha fatto il suo esordio negli ultimi 2-3 anni e che, secondo gli esperti di cyber security, ha portato a un’ulteriore professionalizzazione da parte dei cyber criminali.
Per esercitare maggiore pressione sulle vittime, infatti, i gruppi di pirati dediti al ransomware creano siti dedicati (sia sul Dark Web che sul World Wide Web) in cui pubblicano l’elenco delle aziende compromesse, spesso accompagnati da un conto alla rovescia che indica il tempo rimanente per il pagamento del riscatto.
Lo stratagemma ha l’obiettivo di “tenere sulle spine” le vittime, esponendole anche alla pressione esercitata dall’opinione pubblica, che in questo modo può venire facilmente a conoscenza del fatto che un’azienda o un’organizzazione ha subito un data breach.
La formula del “ransomware as a service”
La strutturazione del settore estorsivo investe anche l’organizzazione stessa dei gruppi criminali. attraverso l’introduzione del sistema che è stato battezzato come “ransomware as a service”.
Si tratta di uno schema di affiliazione, che prevede la collaborazione tra diversi soggetti. Al vertice della piramide c’è un gruppo di “leader” che fornisce sia il malware, sia la struttura per portare avanti la negoziazione con la vittima e il riciclaggio del denaro estorto.
I proventi dell’attacco vengono poi suddivisi secondo una ripartizione che di solito prevede il 70% per chi ha fatto il “lavoro sporco” e il 30% per i leader del gruppo.
Un sistema che ha portato, come prevedibile, ad un aumento esponenziale degli attacchi trasformando il ransomware in una vera e propria emergenza a livello internazionale. Secondo gli ultimi dati, i riscatti pagati registrati nei primi 6 mesi del 2021 dal Dipartimento del Tesoro USA ammonterebbero a 590 milioni di dollari.
Mettere il dato al centro della cyber security
Varonis, società specializzata in strumenti e servizi di cyber security, conferma come la centralità del dato nelle strategie di difesa consenta di migliorare l’efficacia dei sistemi di protezione, sia in chiave preventiva, sia in un’ottica di rilevamento degli attacchi.
Sul piano della prevenzione, la centralità del dato viene declinata per esempio con strumenti di rilevamento e controllo dell’accesso ai dati stessi. Una prospettiva, che per gli esperti di cyber security ha una doppia valenza: la prima, consistente nell’implementazione di policy rigorose ispirate al least privilege allo zero trust, riduce la potenziale superficie di attacco.
In altre parole, la strategia mira a limitare gli accessi ai dati degli utenti solo a ciò cui devono realmente accedere, riducendo così l’agibilità che un pirata informatico potrebbe avere in seguito alla compromissione di un singolo account o dispositivo aziendale.
L’introduzione di una Data Security Platform consente però di migliorare anche la visibilità sui dati presenti nel network, permettendo di migliorare le capacità di rilevamento degli eventuali attacchi.
Insomma: la nuova prospettiva della cyber security passa necessariamente per la centralità del dato.
Contributo editoriale sviluppato in collaborazione con Varonis