Il ransomware è un tipo di attacco maligno in cui gli aggressori criptano i dati di un’organizzazione e chiedono il pagamento di un riscatto per ripristinare l’accesso; in alcuni casi, gli aggressori possono anche rubare le informazioni dell’organizzazione e richiedere un ulteriore pagamento in cambio della non divulgazione delle informazioni alle autorità, ai concorrenti o al pubblico.
Indice degli argomenti
Gestione del rischio ransomware secondo il NIST
Per fornire gli strumenti utili a prevenire e rispondere a eventi ransomware, il NIST ha recentemente pubblicato una nuova bozza preliminare del Cybersecurity Framework Profile for Ransomware Risk Management (NISTIR 8374), un framework di gestione del rischio ransomware.
Non abbiamo indicazioni di quando verrà rilasciata la versione definitiva di questo framework, tuttavia già in questa seconda edizione (la prima era stata rilasciata a giugno 2021 e lasciata aperta a feedback pubblici fino al 9 luglio 2021, questa seconda pubblicazione è stata disponibile a “public comment” nel periodo da 8 settembre all’8 ottobre 2021) possiamo trovare molti spunti importanti.
Il documento è relativamente breve (se paragonato ad altre pubblicazioni del NIST): si sviluppa su 20 pagine, oltre alle premesse.
Come leggere il documento del NIST sulla gestione del rischio ransomware
Il framework riportato ha lo scopo di offrire alle organizzazioni strumenti di analisi e valutazione dei rischi dei ransomware. Per fare questo, utilizza il “Framework for Improving Critical Infrastructure Cybersecurity” (Version 1.1.), ben conosciuto come NIST Cybersecurity Framework (CSF), quale base e ne sfrutta le mappature di controllo esistenti.
Il CSF, infatti, definisce 5 Function: Identify, Protect, Detect, Respond, and Recover (Identificare, Proteggere, Rilevare, Rispondere e Recuperare), ciascuna delle quali contiene numerose categorie e sottocategorie.
Queste sottocategorie sono poi mappate in controlli specifici, riferibili ad altri vari framework, quali il NIST SP800-53 (“Security and Privacy Controls for Information Systems and Organizations”), COBIT 5, ISO/IEC 27001, CIS CSC, COBIT e ISA.
Sfruttando questo fondamentale framework, il NIST ha utilizzato la mappatura dei controlli esistenti sia per il NIST 800-53 che per l’ISO 27001 e poi ha selezionato controlli specifici da ciascuno di essi che si concentrano su misure e processi relativi alla prevenzione del ransomware e alla risposta agli incidenti.
Lo vediamo in dettaglio nel capitolo 2-The Ransomware Profile: qui sono riportate le classiche (e familiari per chi conosce il CSF) tabelle con le categorie e relative sottocategorie.
Vediamo uno stralcio della “Table 1: Ransomware Profile”:
Lo schema è quello classico del CSF: per ogni sottocategoria sono indicati le corrispondenze con gli altri framework, quali – come già detto – ISO/IEC 27001:2013 ed il NIST SP 800-53 Rev. 5.
Nella successiva colonna “Ransomware Application” possiamo vedere quali sono le corrispondenti misure di sicurezza da adottare.
Ne indichiamo alcune (riprese dalla pagina 14 del NISTIR 8374), a titolo esclusivamente esemplificativo, rimandando i dettagli alla consultazione completa del documento (peraltro molto sintetico e di facile lettura).
Funzioni: DETECT
Category: Anomalies and Events (DE.AE): Anomalous activity is detected and the potential impact of events is understood.
DE.AE-3: Event data are collected and correlated from multiple sources and sensors
Rif.: ISO/IEC 27001:2013 A.12.4.1, A.16.1.7; NIST SP 800-53 Rev. 5 AU-6, CA- 7, IR-4, IR-5, IR-8, SI-4
Ransomware Application: Multiple sources and sensors along with a Security Information and Event Management (SIEM) solution would improve early detection of ransomware.
Come possiamo vedere, le misure di sicurezza indicate non sono diverse da quelle consigliate da altri framework. In fondo le best practice per la prevenzione e la difesa dai ransomware sono ormai note, con gli aggiornamenti resi necessari dalla continua evoluzione delle TTP (Tecniche, Tattiche e Procedure) degli attaccanti.
Ma come sempre il NIST mette a disposizione queste informazioni in modo strutturato (e correlato con le altre norme) e in forma di lista di controllo, rendendo più semplice l’attività di chi deve predisporre le misure di sicurezza.
Ransomware: una minaccia in costante aumento
Il framework del NIST era un documento in parte atteso, in quanto in questi ultimi due anni sono stati sempre più numerosi gli attacchi ransomware ad aziende in tutto il mondo: tra i più importanti ricordiamo quelli a Garmin (richiesta di riscatto 10 milioni di dollari), University of California San Francisco (1,14 milioni di dollari pagati per il riscatto), Norsk Hydro, Telecomm Argentina, United Health Services (USA), Barnes & Noble, Foxconn, Randstad, le città di Atlanta e Baltimora (USA), Duesseldorf University Hospital (Germania), Canon, ENEL, Manchester United Football Club, Accenture.
Addirittura, nell’attacco al Duesseldorf University Hospital (settembre 2020) una donna è morta a causa dell’impossibilità di essere assistita, perché l’ospedale era bloccato dal ransomware. Rappresenta il primo caso noto di morte direttamente collegata ad un attacco informatico.
Abbiamo registrato anche molti casi in Italia. Ne citiamo alcuni, ma l’elenco potrebbe essere ben più lungo: Campari (2019, riscatto richiesto 16 milioni), Enel (due attacchi nel 2019), Bonfiglioli (2019), Zambon (2020), Geox, Luxottica, Agenzia Territoriale per la Casa di Torino (2021), Comune di Brescia (2021), fino al caso più recente e clamoroso della Regione Lazio, colpita ad inizio agosto 2021.
Il fenomeno ransomware è quindi sempre più in auge e continua a generare danni.
Un dato estremamente significativo ci viene dal Rapporto Clusit 2021. Come evidenziato nell’infografica sottostante, i ransomware rappresentavano:
- un quarto di tutti i malware nel 2018;
- quasi la metà del totale nel 2019;
- sono diventati nel 2020 il 67%.
Numeri che, di fatto, ci dicono che oggi due attacchi su tre sono ransomware
.
Secondo uno studio condotto da Check Point Software Technologies, negli ultimi 2 anni (2020-2021) il 66% delle aziende intervistate ha dichiarato di aver subito almeno un attacco informatico.
Nel 2021 ci sarà un attacco ransomware alle aziende nel mondo ogni 11 secondi.
Tutto questo aggravato dalla comparsa nel mercato del ransomware della “Double Extortion”: la doppia estorsione che ha drammaticamente complicato la vita per le aziende colpite.
Il “pioniere” della Double Extortion è stato Maze nel 2019, poi questa tecnica è stata utilizzata anche da molti altri ransomware quali NetWalker (uno dei più attivi), RagnarLocker, DoppelPaymer e Sodinokibi (alias REvil).
Oggi, nel 2021, la doppia estorsione è ormai diventata quasi la regola. L’ultimo caso noto è l’attacco che ha recentemente colpito la SIAE, portato dal gruppo cybercriminale Everest, con la minaccia di pubblicare circa 60 gigabyte di dati degli iscritti ed una richiesta di riscatto è di 3 milioni in bitcoin.
A fronte di questa emergenza, anche il Garante Privacy ha emesso un documento in merito: “Attenzione al ransomware. Il programma che prende “in ostaggio” il tuo dispositivo”.
Everest: chi è e come agisce la gang del ransomware che ha rubato l’archivio dati della SIAE
DarkSide e l’attacco a Colonial Pipeline: un punto di svolta
Nel 2021 gli Stati Uniti hanno subito alcuni attacchi ransomware particolarmente gravi perché hanno colpito aziende e infrastrutture strategiche. Questi eventi hanno rappresentato un punto di svolta, dando evidenza dell’estrema vulnerabilità di aziende primarie, nonostante gli innumerevoli allarmi emessi da forze dell’ordine e da aziende di sicurezza.
Due casi hanno – più di altri – trasformato i ransomware in un’emergenza nazionale, con l’intervento addirittura del Presidente Biden.
Uno è stato l’attacco al colosso della lavorazione della carne JBS, la più grande azienda di lavorazione della carne del mondo, con stabilimenti anche in USA a Greeley (Colorado), da dove è probabilmente partito l’attacco.
JBS appresenta circa il 20% della capacità di macellazione di bovini e suini negli Stati Uniti, quindi, l’attacco ha causato un’interruzione significativa della catena di approvvigionamento alimentare negli Stati Uniti.
Ma l’attacco che ha avuto l’impatto più alto di ogni altro in precedenza negli USA è stato quello che il 7 maggio 2021 ha paralizzato con un ransomware la società Colonial Pipeline, l’operatore del più grande oleodotto che trasporta carburanti tra il Texas e la costa orientale degli Stati Uniti.
Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime
L’oleodotto fornisce circa il 45% dei carburanti degli Stati Uniti (2,5 milioni di barili di carburante al giorno).
Le scorte di benzina, diesel, olio per riscaldamento domestico, carburante per jet e forniture militari sono state così pesantemente colpite che la Federal Motor Carrier Safety Administration (FMCSA) il 9 maggio ha dichiarato lo stato di emergenza in 18 stati. In alcune città tra cui Atlanta, il 30% delle stazioni di servizio sono rimaste senza benzina. Il blocco è durato circa una settimana, fino a quando la società ha ceduto al ricatto ed ha pagato il riscatto di 4,4 milioni di dollari ai cybercriminali del gruppo DarkSide.
Oltre a criptare i file, dei sistemi informatici di Colonial Pipeline, DarkSide ha anche rubato oltre 100 GB di dati aziendali, con doppia estorsione.
Ma l’impatto dell’attacco non è stato solo economico, ha messo in crisi l’intera economia USA al punto che lo stesso Presidente Biden è intervenuto con un ordine esecutivo per rafforzare la sicurezza informatica nazionale.
