Nei casi di minaccia ransomware, ovvero un malware che blocca l’operatività aziendale e vessa la vittima con una richiesta di un riscatto, non tutto è perduto. Seguendo le raccomandazioni e i consigli di dodici i professionisti di Cyber security ci si può preparare in anticipo, per sapere cosa fare prima durante e dopo un attacco e così minimizzare gli impatti ed i danni correlati ad un accadimento ransomware.
Infatti, le pratiche di infosharing e di knowledge sharing sono madre e padre di tutte le prassi fondamentali per chi si occupa di sicurezza informatica. Lo stesso vale per gli elementi normativi sul tema su cui si auspica una azione che tenga conto anche delle prassi internazionali e della cooperazione.
Indice degli argomenti
Il ransomware non muore mai
Fra le tante minacce ad opera di attaccanti e criminali digitali, il ransomware ha un “posto di disonore”: I casi di ransomware dopo una flessione nel 2022 (Cybersecurity 360), sono aumentati del 73% nel 2023 (Sans Org), per un totale di pagamenti in criptomonete che ha sorpassato il valore di un bilione di dollari (Reuters) dimostrando che le azioni di contrasto poste fino ad oggi, non sembrano essere state sufficienti.
Anche l’ACN nella sua Relazione annuale ha confermato il ransomware come “minaccia maggiormente significativa, soprattutto alla luce dell’impatto che ha avuto a livello nazionale”.
E se il supporto contro la minaccia non si affievolisce, grazie a diverse iniziative internazionali come ad esempio il Counter Ransomware Initiative e il no more ransom project (sito per accedere ai decriptor di diverse famiglie di ransomware, evitando di pagare il riscatto n.d.r) e nazionali quali ad esempio ranflood (un tool open source e gratuito messo a punto dall’Università di Bologna e di Arpae Emilia-Romagna per combattere un attacco ransomware in corso n.d.r.), non mancano le iniziative per il monitoraggio preventivo puntuale.
Infatti, dal gennaio 2020 è nato anche un feed Rss dal nome Ransomfeed, per monitorare lo stato della minaccia ransomware (ovvero il sito riporta la lista delle campagne di attacco e le vittime accertate n.d.r.) ad opera dai gruppi di attacco internazionali che ne fanno uso.
Ultima, ma non meno importante iniziativa, quella a livello legislativo che, nell’ambito del DDL Sicurezza, ha visto la presentazione di un emendamento come proposta per l’avvio di una strategia anti-ransomware nazionale. Il DDL Cyber è stato approvato con il riconoscimento della nuova figura di reato dell’estorsione Cyber, ma non è stato ancora raggiunto un effettivo livello di contrasto alla piaga ransmware in termini di azioni pre e post attacco specifiche per questa casistica.
Ecco perché abbiamo raccolto da 12 professionisti nazionali di Cyber security alcune indicazioni preventive, proattive e dei suggerimenti da attuare durante e dopo l’attacco, sia per contribuire alla discussione nazionale sulle misure antiransomware, sia per aiutare chi, dopo un attacco ransomware e un probabile e correlato attacco di panico (e bile n.d.r.), voglia seriamente mettere mano alla propria realtà aziendale e concedersi di essere più sicuro e maggiormente preparato ad un accadimento di questo tipo. Non mancano infine, alcune considerazioni per la contribuzione agli aspetti normativi di futura e auspicabile ulteriore definizione specifica su questo tema.
Attività preventive e proattive – prassi base
L’adozione di buone pratiche di sicurezza informatica è fondamentale per proteggere le organizzazioni dalle minacce cibernetiche e se Gianni Amato, funzionario del CERT-AGID. ricorda “l’aggiornamento regolare del software antivirus, l’installazione di patch di sicurezza, la creazione di backup frequenti e sicuri dei dati, l’educazione del personale sulle tecniche di phishing e il riconoscimento delle campagne di malspam”, Alessandro Curioni, fondatore di DI.GI Academy, specializzato in information security & cyber security, sottolinea come “tali misure puntuali dovrebbero essere valutate in funzione dell’azienda, elemento di grande difficoltà quando è necessario valutare cosa significa rischio e misure idonee o adeguate”.
“Il suggerimento – continua Curioni – è quello di fare un passo indietro, soprattutto a beneficio delle PMI e ripartire dall’ABC. E se un disciplinare tecnico, quanto più vincolante possibile potrebbe aiutare, il suggerimento sulle prassi di base è d’obbligo: Multifactor Authentication, formazione, periodici test di sicurezza, suddivisione della rete in segmenti, e backup isolati. Queste prassi sono implementata da appena il 2,7% delle PMI italiane secondo l’esperienza sul campo”.
Attività preventive e proattive – prassi essenziali
“Dal monitoraggio da parte del CERT-AGID”, spiega Amato, “emerge come gli attaccanti preferiscano acquistare accessi già compromessi per minimizzare gli sforzi e massimizzare l’efficienza degli attacchi, rendendo più rara l’infezione a mezzo mail”.
“Questa tendenza emersa negli ultimi cinque anni – continua – ha portato i professionisti della difesa Cyber a preferire una gestione puntuale degli Indicatori di Compromissione (IoC) contro le minacce cyber (infostealer e ransomware). Infatti, i malware di tipo infostealer, infettano i sistemi tramite campagne malevole diffuse attraverso e-mail o altri canali di phishing per sottrarre credenziali, che successivamente sono rivendute sul mercato nero dagli Initial Access Broker (IAB) verso i gruppi di attacco ransomware. La condivisione e l’utilizzo proattivo degli IoC tra le organizzazioni è quindi un elemento chiave di prevenzione”.
Accanto a queste misure Gianluca Boccacci, responsabile red team BCyber, precisa “per la misura dei back-up, l’esigenza di effettuarli regolarmente conservando le copie offline o su un cloud sicuro e aggiunge ulteriormente l’esigenza di aggiornamenti regolari su sistemi operativi, software e applicazioni per correggere le vulnerabilità; l’uso di antivirus, antimalware e firewall; l’introduzione di un adeguato controllo degli accessi per limitare i permessi degli utenti secondo il principio del minimo privilegio e di preparare e testare un piano di emergenza per rispondere rapidamente agli attacchi (Incident response plan)“.
Di avviso leggermente diverso è Dario Fadda IT, security researcher. specialista digital in BDS che, consapevole di come le misure preventive possano essere eluse, preferisce “evitare del tutto che il ransomware faccia ingresso nell’infrastruttura, agendo essenzialmente sullo sviluppo di una cultura della consapevolezza sui temi ad esso collegati: primo fra tutti il phishing. Tutte le organizzazioni dovrebbero includere test formativi accessibili a tutti anche dal punto di vista economico, su tutto il personale di modo da consolidare una convivenza consapevole con il fenomeno. A questo aggiunge una enorme attenzione al tema dei permessi amministrativi sulle macchine di lavoro: ogni organizzazione dovrebbe avere delle regole stringenti su “chi fa cosa” in ogni computer e livelli di accounting e permessi dettagliati. Lo stesso vale per i permessi per le pennette USB agganciate ai device, il cui utilizzo dovrebbe essere regolamentato e soggetto a controlli preventivi”.
Per Stefano Aterno e Giovanni Maria Riccio, soci di e-Lex studio legale, “le misure preventive devono essere adeguate alla tipologia di dati personali trattati, ai trattamenti e lato Security devono essere appropriate ai sistemi informatici in uso e da proteggere. Questo vale per awareness e formazione, per l’MFA, per i vulnerability assessment da effettuare periodicamente in base e in relazione alla dimensione dei trattamenti e dei dati; vale anche per i penetration test di terza parte, da effettuare periodicamente (sempre in base al dimensionamento), con idoneo ingaggio contrattuale e naturalmente vale per i sistemi di backup e di disaster recovery corredati da piano e da audit periodici circa il loro reale e concreto funzionamento”.
Attività preventive e proattive – prassi cruciali
“Il focus sulla preparazione proattiva alla crisi e la gestione degli incidenti di sicurezza è invece un punto centrale”, sostiene Andrea Chittaro, executive director global security & cyber defence di Snam spa: “Il piano crisi deve comprendere non solo le azioni tecniche ma anche una chiara definizione dei ruoli, del governo di gestione della crisi e della gestione della comunicazione interna ed esterna. Il passo successivo è isolare i sistemi critici e il sistema di backup in modo da limitare la diffusione del ransomware ed assicurarsi che non sia compromessa la capacità di ripristino dei dati; anche questa operazione, se non adeguatamente pianificata e testata. può risultare complessa nell’esecuzione, specialmente in un momento di forte stress e pressione sia del personale tecnico e che del management”.
“A seguire è di vitale importanza poter determinare quale sia stata la modalità di diffusione e come sia stata mantenuta la persistenza all’interno dell’infrastruttura; questo passaggio è fondamentale per poter evitare che anche dopo il ripristino dei sistemi i componenti malevoli non siano ancora presenti e/o attivi”.
Tutte le misure sopracitate sono condivise anche da Massimiliano Graziani, CEO di CYBERA srl, che aggiunge tre ulteriori prassi: “Monitoraggio della rete per rilevare attività anomale che potrebbero indicare un’infezione da ransomware. In questo senso le soluzioni SIEM (Security Information and Event Management) possono essere particolarmente utili se connesse ad un SOC in operatività H24”.
Solitamente spiega l’esperto, “questi attacchi avvengono di venerdì o comunque nel weekend, quando è disponibile meno personale in azienda. La seconda misura è costituita non solo dalla predisposizione di un piano di crisi e di azione, ma dalla sua prova di simulazione ed efficacia almeno ogni sei mesi per testarlo ed eventualmente aggiornarlo, almeno annualmente per includere le nuove minacce”.
Un’ulteriore terza misura specifica “è la dotazione di un HD USB 3 esterno per dipendente, chiedendo di fare un backup locale del proprio materiale di lavoro a fine giornata conservando diversi backup fino a 10 giorni prima e mantenendone due vecchi di 20 e 30 giorni prima, staccare il disco a fine backup, riponendolo nel cassetto chiuso a chiave”.
Attività preventive e proattive – ambienti Cloud e sistemi AI
Gli ambiti del Cloud e dei sistemi di AI non sono immuni dalle misure preventive che necessariamente devono applicarsi anche a questi ambiti tecnologici.
Nel primo caso, (ambienti cloud) Alberto Manfredi Country Leader & President at Cloud Security Alliance (CSA) Italy, propone di “implementare architetture di sicurezza che recepiscano i principi Zero Trust- ZT (NIST Zero Trust Architecture, SP 800-207), in particolare secondo il principio ‘never trust always verify’ che viene realizzato attraverso l’implementazione di una efficace autenticazione e autorizzazione all’accesso di utenti, dispositivi e applicazioni sulla base di privilegi minimi e need-to-know, attributi di contesto e regole di sicurezza dinamiche con ri-autenticazione delle sessioni e monitoraggio continuo. Nell’ambito dell’architettura di rete è necessario implementare ove possibili tecniche di micro-segmentazione, con riferimento ai singoli servizi applicativi e basi dati, che possano limitare i cosiddetti movimenti laterali di queste tipologie di malware e conseguentemente l’ampiezza del danno (blast radius)”.
Alberto Manfredi suggerisce, in particolare, di “implementare il modello Zero Trust chiamato SDP (Software Defined Perimeter). Parimenti importante è l’adozione di una cultura e metodologie di gestione del rischio delle informazioni aziendali legata alla conoscenza dei livelli di criticità dei dati trattati e degli asset, applicazioni e servizi (DAAS, Dati Asset Applicazioni Servizi) che li utilizzano che possono consentire di utilizzare soluzioni ZT in modalità tattica, minimizzando i costi e massimizzando i benefici“.
Nel campo dei sistemi di AI usati a piene mani dagli attaccanti, Pierguido Iezzi, Strategic Business Director di Tinexta Cyber, suggerisce di “adottare la medesima tecnica per la difesa e quindi sfruttare i sistemi AI per potenziare la capacità di rilevare, mitigare e rispondere agli attacchi ransomware in tempo reale”.
Inoltre, “in linea con quanto delineato dal DDL AI italiano, diventa necessaria la gestione della conformità e della responsabilità, garantendo la conformità agli standard e ai requisiti cogenti, sia europei che nazionali, in ambito cyber security e AI. Infine, è fondamentale secondo l’esperto, mitigare i rischi legati a incidenti informatici e violazioni dei dati generati direttamente o indirettamente da interazioni con tecnologie AI e gestire in questo senso una ‘presunzione di responsabilità’ in capo a persona fisica o azienda, attivando un sistema di difesa articolato e sostenibile, basato su governance e tecnologia a controllo e presidio dell’IA”.
Il contrasto attivo
Per quanto le difese preventive possano essere impostate ciascuno per la propria organizzazione con investimenti mirati (si ricordano i fondi l’industria 5.0 da utilizzare), il contrasto al fenomeno del ransomware non si può esaurire all’interno dei propri confini nazionali e un approccio di coesione e contrasto a livello internazionale sarebbe auspicabile. Lo sostiene Luca Mella cyber security expert, response & threat intelligence: “Operazioni come quella di Cronos, che ha portato allo smantellamento del cartello criminale di Lockbit, ed alla caccia all’uomo per il suo creatore, e quella denominata Endgame, che invece ha colpito le infrastrutture dei “malware precursori”, utilizzati dagli operatori ransomware per entrare nelle aziende, rappresentano una costante di successo proprio grazie alla cooperazione internazionale. Quest’ultima dovrebbe essere ampliata mediante inclusione di sempre maggior numero di stati all’interno delle task force e coinvolgendo anche l’ambito privato. È nel privato che spesso si produce gran parte dell’intelligence cyber e l’utilizzo di tali informazioni potrebbe giovare alle forze dell’ordine”.
E ancora: “Da ampliare anche l’azione del ‘trolling’, ovvero provocare, discreditare e disturbare gli operatori del ransomware anche se non prive di rischi, soprattutto se le identità di chi conduce queste azioni. L’efficacia è rappresentata dall’abbattimento della fiducia e della reputazione che gli operatori di ransomware hanno costruito negli ambienti cyber criminali così da limitare la portata delle loro operazioni malevole e per indurli a commettere passi falsi”.
Le attività durante l’attacco
Affrontare una compromissione da ransomware richiede una risposta tempestiva e coordinata. È essenziale agire rapidamente e seguire un piano di risposta ben predisposto per mitigare l’impatto dell’attacco e ripristinare rapidamente i servizi. È consigliabile, secondo Gianni Amato e Gianluca Boccacci e Massimiliano Graziani, “isolare immediatamente i dispositivi infetti dalla rete, per evitare la propagazione del ransomware ad altri sistemi. Successivamente, occorre valutare l’entità del danno coinvolgendo il reparto IT e i tecnici di security che possono identificare il tipo di ransomware e agire in modo da preservare le prove per una analisi forense; è anche necessario verificare la disponibilità e l’integrità dei backup”.
“Non è consigliabile pagare il riscatto poiché oltre al fatto che il pagamento andrebbe a finanziare ulteriori attività criminali, non vi è alcuna garanzia che i file vengano decrittati. Inoltre, è importante segnalare tempestivamente l’incidente alle autorità competenti, come il CSIRT Italia dell’Agenzia per la Cybersicurezza Nazionale. L’analisi dell’attacco permette di capire come il ransomware sia penetrato nel sistema e di rilevare le possibili vulnerabilità che gli aggressori sono riusciti a sfruttare, poterle correggere. Ma è anche utile in questa fase effettuare una valutazione dettagliata dell’impatto dell’attacco, inclusi i tempi di inattività e le perdite finanziarie impostando misure aggiuntive di protezione (VPN, MFA e revisione delle autorizzazioni, delle politiche di sicurezza e dei piani di risposta agli incidenti)”.
Al termine dell’analisi “è necessario ripristinare i dati dai backup, se disponibili, assicurandosi che non siano stati compromessi. Infine, una informazione chiara e trasparente verso l’interno e l’esterno con dati sull’incidente e azioni intraprese di arginamento del danno e ripristino dei servizi è un passaggio fondamentale per mantenere la fiducia durante un evento critico. Nel caso in cui l’azienda non sia in grado di eseguire queste attività è necessario coinvolgere esperti di sicurezza o società specializzate senza rivolgersi a tecnici improvvisati o le cui capacità non sono comprovate”.
Se l’azienda è molto grande, Stefano Aterno e Giovanni Maria Riccio consigliano “il coinvolgimento sia del CSO (Chief security officer ) sia del RPD (Dpo) con la previsione una serie di tavoli di crisi e riunioni tra IT, Security, Legal, uff privacy, consulenti stabilendo canali di comunicazione alternativi alle email aziendali tra i componenti tavolo di crisi. La verifica della condizione durante l’attacco dovrebbe rapidamente consentire di comprendere la compromissione del tipo di dato danneggiato e se vi sono dati personali coinvolti. Il ripristino dei dati dovrebbe scaturire non solo dal back-up ma seguendo il piano di disaster recovery, accertandosi preventivamente che anche quella porzione non sia stata compromessa”.
Le proposte di legge specifiche antiransomware
Alla ricca proliferazione di norme e legiferazione sulle tematiche di sicurezza cibernetica (DORA, alla NIS 2, al DDL Cybericurezza, solo per citare i più recenti n.d.r.) potrebbe esser aggiunta una specifica normativa antiransomware. Annita Larissa Sciacovelli, professore di Diritto Internazionale, specialista in Cyber security presso l’Università di Bari e advisor presso l’Agenzia Europea per la Cyber security-ENISA osserva che “sebbene esista la direttiva 2013/40/UE che, all’art. 8, disciplina la responsabilità penale di coloro che concorrono alla sua perpetrazione del ransomware, o al tentativo con l’incitamento, l’assistenza e ogni forma di collaborazione, non è però menzionato il problema del pagamento del riscatto, questione tutt’ora spinosa”.
Se il Counter Ransomware Initiative (voluto da USA, Europa e circa altri 30 paesi n.d.r.) ha dichiarato la volontà di vietare il pagamento del riscatto partendo dagli enti pubblici, in Italia la normativa è articolata e trattata nel codice penale agli articoli 629 su estorsione e 615 ter e quinques. Da notare che in Italia esiste anche il riconoscimento del costo sostenuto per la decriptazione dei dati presi ‘in ostaggio’ durante un attacco informatico, il che comporta la creazione, da parte di alcune aziende, dello stanziamento in bilancio di fondi di rischi specifico (risposta all’interpello 149.2023 dell’Agenzia delle entrate)”.
“Ma se pagare un riscatto è considerato finanziamento illecito alla criminalità organizzata, potrebbe esplicitamente essere vietato in Italia? In alcuni Stati federati, North Carolina e Florida, già avviene, mente in UK si valuta caso per caso, fino ad adottare la misura del congelamento dei beni. E’ un sistema non dissimile da quello previsto nella legge italiana sul pagamento dei riscatti nel caso di sequestri di persona (Legge n. 82 del 1991)” e la docente ne auspica “la riproposizione in una versione 5.0, insieme alla creazione di una lista nera dei wallet di criptovalute più usate dagli attaccanti digitali”.
Per Gianluca Boccacci l’insieme minimo di misure “dovrebbe prevedere la definizione del reato legato ad un attacco ransomware prevedendo pene severe, la notifica obbligatoria da imporre alle aziende, la cooperazione Internazionale per stabilire accordi di collaborazione tra paesi, la prevenzione attuata mediante promozione di standard di sicurezza obbligatori per le aziende, il sostegno alle vittime, creando fondi di assistenza e un insieme di sanzioni per le aziende che pagano riscatti”.
Andrea Chittaro osserva che, “pur essendo necessarie, le norme di cybersicurezza, dovrebbero già fare parte delle prassi e abitudini di qualsiasi azienda o organizzazione. Non ci si dovrebbe quindi limitare ad un mero esercizio di aderenza alle norme, ma piuttosto puntare a produrre un reale cambiamento. Inoltre, sarebbe utile smettere di pensare la protezione da attacchi informatici come qualcosa in capo ad ogni singola organizzazione e incominciare a ragionare (e legiferare n.d.r.) in termini di sistema e filiera per consentire anche alle piccole organizzazioni di potersi difendere anche se singolarmente non avessero fondi o competenze su cui contare”.
“Un ulteriore suggerimento dice ancora Chittaro – è quello di rendere costanti e strutturali i test e le verifiche della configurazione e soluzioni implementate con esercitazioni in stile antincendio o protezione civile per verificare costantemente la qualità di quanto implementato ed identificare le eventuali carenze”.
Infine, un monito: Domenico Raguseo, head of cyber security presso Exprivia, osserva che “i criminali chiedono riscatti essendo ben consci del valore intrinseco del business che dipende dai sistemi e asset digitali attraccati. In questo senso avviene un paradosso: i criminali hanno più coscienza del valore di ciò che attaccano rispetto ai capitani di azienda che sottostimano il rischio. Mentre durante l’evoluzione gli esser umani hanno potuto “maturare” una conoscenza dei rischi naturali, la trasformazione digitale e la sua velocità non sembrano aver ancora reso del tutto consapevoli alcune fasce di C-level, che non si proteggono e non investono in sicurezza, esponendosi non solo a rischio di riscatto ma anche a danni che possono diventare irrecuperabili. È verso quest’ultimi il suggerimento a sbrigarsi nelle azioni di protezione e prevenzione”.
