Come ogni altra azienda nel mondo, le organizzazioni cyber criminali sono sempre alla ricerca di nuovi modi per aumentare i propri ricavi: con i ransomware, hanno trovato un modo per costringere le vittime a pagare.
E nella loro impresa, i cyber aggressori prendono in prestito fondamenti e regole dal mondo della vendita “legittima” per orientare i propri comportamenti.
Dopo un’attenta analisi, appare con evidenza una certa somiglianza fra le tattiche criminali usate dalle gang dei ransomware e i team marketing delle società di maggiore successo. Comprendendo queste somiglianze, possiamo conoscere meglio il fenomeno degli attacchi ransomware che non sembra destinato a morire.
Indice degli argomenti
Modelli legittimi per scopi illegittimi
Le operazioni note con il termine cybercrime-as-a-service permettono a criminali senza grandi capacità tecniche di avere botnet in out-sourcing e appaltare attacchi di phishing o con ransomware a specialisti del settore.
Sistemi di supporto clienti, fatturazione e anche garanzie di rimborso stanno diventando elementi standard nel marketplace della criminalità digitale.
E i ransomware sono diventati una fonte di guadagno a potenziale così alto che le cyber gang hanno iniziato a trattarli con i guanti bianchi.
Esplorazione e ricognizione
Il primo step per acquisire nuovi clienti è definire il proprio target audience, ovvero una persona “tipo” o un insieme di persone che possono essere interessate a un prodotto o a un servizio. Nel caso delle gang dei ransomware, l’esplorazione si concretizza nel tentativo di ricerca di potenziali vittime più inclini a pagare a fronte di una tentata estorsione.
Come le aziende vere e proprie, quelle cyber criminali fanno i “compiti a casa” per valutare quali organizzazioni e in quali settori sia più probabile ricevere un pagamento per riottenere dati criptati.
E per aumentare il portfolio, non si fanno problemi a usare social come Twitter o LinkedIn alla ricerca del giusto profilo.
Il lancio di una campagna malevola
I cyber criminali devono conoscere a fondo l’organizzazione che intendono attaccare, proprio come avviene nelle campagne di vendita standard.
Quando il malware è stato rilasciato, si procede a un’attività di ricognizione del sistema informatico bersaglio.
Si cercano vulnerabilità da sfruttare e si cercano di localizzare gli asset e le infrastrutture più importanti. L’email di phishing deve essere curata con attenzione e deve portare il giusto messaggio per spingere il destinatario a compiere l’azione richiesta.
Regalare un “omaggio” di prova
Per portare persone interessate a diventare clienti veri e propri, i venditori offrono spesso un prodotto omaggio o “freebie”.
Negli attacchi con ransomware, i cyber criminali invece dimostrano alle vittime di essere stati capaci di violare la rete, fornendo un esempio dei dati sottratti o cifrati. O ancora forniscono la prova che i dati criptati possono essere ripristinati con la chiave fornita.
Solitamente i cyber criminali mantengono le loro promesse per non “rovinarsi la reputazione”. Secondo uno studio recente, il 58% delle vittime decide di pagare il riscatto e solo nell’1% dei casi, le organizzazioni criminali non forniscono la chiave dopo aver ricevuto il pagamento.
I negoziati tra cyber criminali e vittime
Anche se non è pratica comune offrire un prezzo più basso ai propri clienti (su richiesta o in modo spontaneo), può comunque succedere in determinati contesti.
Nel caso delle campagne con ransomware tale trattativa è messa in conto.
Rimane comunque leva negoziale nel caso in cui un’organizzazione decida di non pagare, offrendo i dati sottratti su mercati secondari (alla concorrenza o ad altre organizzazioni criminali).
Le best practice per mitigare i rischi
Il ransomware è e resterà per il prossimo futuro la minaccia numero uno per le organizzazioni.
Per prima cosa, le aziende devono cercare di mantenere i malware alla larga dalle loro reti. Una violazione su cinque è innescata da una campagna di phishing e per questo motivo gli strumenti anti-phishing e anti-malware sono fondamentali.
Così come la formazione costante a tutti i livelli aziendali.
Non bisogna poi dimenticarsi di effettuare regolari backup dei dati e tenere tali backup separati dal resto della rete che è sottoposta a un maggiore rischio di attacco con ransomware.
I backup devono essere conservati laddove gli aggressori non possono arrivare, ad esempio in server o soluzioni di storage separate e non connesse a Internet.
Anche prepararsi al peggio può essere di grande aiuto, in modo da garantire la business continuity e recuperare rapidamente.
Per questo è fondamentale avere a disposizione un Incident Response Plan. Questo significa tenere aggiornati e allineati responsabili del settore tecnico, legale, finanziario e PR.
È consigliabile analizzare diversi possibili scenari e immaginare possibili risposte. Questi esercizi pratici andrebbero fatti almeno una volta ogni trimestre. Sarebbero opportune anche esercitazioni pratiche di recupero dei dati da sistemi di backup per verificare che tali procedure siano efficaci nella pratica.
Per i cyber criminali è difficile quantificare precisamente il Total Addressable Market (o mercato disponibile totale) dato che sostanzialmente ogni azienda può essere un obiettivo potenziale.
I ransomware possono colpire settori cruciali come quello governativo, sanitario o dell’istruzione, ma in realtà ogni organizzazione ha una propria “cifra – soglia” che è disposta a pagare pur di riavere i propri dati ed è quindi un potenziale bersaglio.
Non abbassiamo la guardia.
