Sicurezza IT // Focus CyberSecurity

Ransomware: pagare o non pagare?

Condividi

Ransomware: pagare o non pagare? È il tema al centro dell’approfondimento, a cura di Pierguido Iezzi, nella rubrica di S News, Focus CyberSecurity.

Buona lettura!

Quando si parla di ransomware, e sfortunatamente ci troviamo a farlo sempre più spesso, il quesito più frequente che le vittime si trovano davanti è l’amletico “pagare o non pagare?”.
Il ransomware è un fenomeno molto democratico, disponibile in tantissime taglie per tutti i tipi di targets che i Criminal hackers si prefissano: colpisce dal singolo cittadino privato fino alla multinazionale.
Quando nel mirino finiscono le organizzazioni, conseguentemente sale anche in maniera proporzionale la posta in gioco.

E qui ritorna la domanda: pagare o non pagare?
Molte aziende lo fanno per disperazione, rivolgendosi addirittura a intermediari per aiutare a mediare l'affare e a concluderlo il più velocemente possibile.
Di diversa opinione sono le forze dell’ordine che dicono che questo non fa altro che peggiorare le cose, esponendo l’azienda ad ulteriori futuri attacchi.

Ransomware: pagare o non pagare? Norsk Hydro, un caso esemplare
Questa seconda linea appena menzionata è proprio la strada imboccata da Norsk Hydro, uno dei più grandi produttori di alluminio a livello globale. La multinazionale, infatti, si è recentemente trovata ad affrontare un’ondata di attacchi da parte di un gruppo ancora non identificato di Criminal Hacker.
Non sappiamo quando l’attacco ha avuto inizio, ma è probabile che una volta ottenuto accesso ai sistemi i Criminal hackers abbiano passato settimane ad esplorare i sistemi IT del gruppo, indagando e studiando accuratamente le debolezze dell’infrastruttura.
Quando finalmente hanno dato inizio alle ostilità con un ransomware il risultato è stato devastante: 22.000 computers sono stati infettati, distribuiti su 170 diverse sedi presenti su oltre 40 Paesi.
A questo proposito il Chief Information Officer della multinazionale Jo De Vliegher ha diffuso il contenuto della nota di riscatto che è apparsa sui computer di tutta l'azienda. Si legge: "I tuoi file sono stati crittati con algoritmi di derivazione militare… senza la nostra chiave di decrittazione non sarà possibile recuperarli”.

La risposta di Norsk Hydro? A mali estremi, estremi rimedi: l’intera forza lavoro globale, oltre 35mila persone, ha preso in mano carta e penna per proseguire le proprie mansioni. Ma non solo, le linee di produzione che si occupano della modellazione del metallo fuso sono state commutate a funzioni manuali. Addirittura alcuni lavoratori in pensione di lunga data sono tornati per aiutare i colleghi a gestire le cose "alla vecchia maniera". Nella maggior parte dei casi, però, le linee di produzione sono state semplicemente costrette a fermarsi.

D’altro canto, dobbiamo immaginarci l'attesa fremente dei Criminal hackers mentre aspettavano di ricevere una risposta alla loro richiesta di riscatto. Dopo tutto, ogni minuto conta per una moderna centrale di produzione. Probabilmente pensavano di poter dettare il loro prezzo di riscatto senza problemi.
Ma la risposta non è mai arrivata. Questi attori non hanno mai ricevuto nulla di quanto chiesto.
Sono passati ben più di tre mesi da quando Norsk Hydro è stata attaccata e mancano ancora molti mesi per riprendersi completamente. Finora è costato loro più di 60 milioni di euro. Ma ciò che hanno perso in produttività e ricavi, hanno probabilmente guadagnato in reputazione.

La risposta dell'azienda è stata descritta come "il gold standard" dalle forze dell'ordine e dagli esperti che operano nel campo della Cyber Security. Non solo si sono rifiutati di pagare gli hackers, ma sono stati anche completamente aperti e trasparenti con il mondo esterno su ciò che è successo loro.

Ransomware: pagare o non pagare? Quelli che ‘pagano’
Ma ci sono molte altre aziende e organizzazioni che ancora fanno la scelta opposta. Secondo gli analisti del settore il pagare il riscatto richiesto è diventato una semplice voce in più da pagare per molte organizzazioni; una sorta di “segreto di pulcinella”.
Molte lo fanno, in completa segretezza naturalmente, in quanto preoccupate per la possibilità di contenzioso e per il danno alla loro reputazione a seguito di un attacco. Fonti nel settore della sicurezza informatica hanno descritto molteplici occasioni in cui grandi e note aziende hanno pagato migliaia di euro, in alcuni casi centinaia di migliaia, ai Criminal hackers e non l'hanno divulgato al pubblico o addirittura, in rari casi, agli azionisti.

Ma non sono solo le aziende oramai a essere sotto attacco. Proprio un paio di settimane fa, una città della Florida ha sborsato 600mila dollari per rimettere in funzione i propri computers dopo che un attacco di ransomware ha disabilitato la posta elettronica, ha colpito i sistemi di risposta alle emergenze e ha costretto il personale a utilizzare sistemi amministrativi cartacei.
È una tendenza preoccupante che ha spinto Europol, l'agenzia di polizia dell'Unione Europea, a ri-emettere l'avvertimento che il pagamento dei riscatti alimenta i Criminal hackers e spesso porta ad una maggiore criminalità organizzata.

La situazione attuale e le misure per difendersi
Tra il 2017 e il 2018 il ransomware che più ha causato grattacapi è stato WannaCry che ha infettato 200mila computers in almeno 150 Paesi, causando anche notevoli disagi, tra i molti, anche all’intero servizio sanitario nazionale nel Regno Unito. Fortunatamente, dopo il picco di infezioni, WannaCry, secondo studi di settore, ha registrato un calo del 91% nell'ultimo anno.
Un trend che sfortunatamente non ha visto una diminuzione è quello degli attacchi più mirati (come gli APT) che sono nettamente in aumento. Attacchi dove le aziende e le organizzazioni, ancor più dei singoli, sono nel mirino.
Alcuni ricercatori affermano che, rispetto allo stesso periodo dell'anno scorso, i rilevamenti aziendali di ransomware sono aumentati di oltre il 500%.
Un trend inarrestabile?

Ovviamente no, ma deve esserci da parte del mondo entreprise uno sforzo parallelo su due canali.
Il rischio posto dai Criminal hackers impatta sia sulla parte puramente tecnica della cyber security, ovvero l’infrastruttura, sia su quella più umana: l’awerness del singolo dinnanzi alla minaccia o alle insidie e trappole tese dai Criminal hackers.
Sul lato più tecnico è fortemente consigliato a tutte le organizzazioni di approntare un Data Breach Incident Response Plan, l’unica soluzione che permette di adempiere a ciò che stato normato all’intero del GDPR. Una componente fondamentale nel caso in cui oltre a bloccare completamente la rete il ransomware venga usato anche per sottrarre dati e informazioni sensibili.

Grazie a questo servizio è possibile:
• stabilire quali dati sono stati compromessi;
• formalizzare lo stato delle misure di sicurezza in essere;
• predisporre il piano di remediation.
• gestire l’incident e supportare l’azienda nel ripristino delle attività;
• analizzare la natura della violazione;
• identificare le evidenze, le prove e le informazioni tecniche;
• determinare la tipologia dei dati compromessi;

Nel dettaglio il processo si svolge in cinque fasi ben strutturate: Si parte dalla Cyber security investigation, il primo step che ha come obiettivo l’identificazione dei vettori d’attacco, dei punti d’ingresso, dei targets colpiti e delle tecniche usate per portare a fondo l’assalto. Questi dati si evincono grazie all’attività di log analysis, tracking dell’attacco, target analysis e data compromise discoveries. L’output di queste attività viene trasformato in un executive summary e un technical report, facilmente consultabile.
Fa seguito la Forensic investigation, questa ha come scopo la cristallizzazione delle evidenze legali e delle prove raccolte tramite computer e altri device. L’obiettivo è di esaminare i dispositivi digitali seguendo processi di analisi forense al fine di indentificare, preservare, recuperare e analizzare i dati raccolti. Anche in questo caso vengono resi disponibili un executive summary e un technical report oltre alla copia forense.
Lo step successivo è l’ICT integrity checkup, la fase di verifica dell’integrità della struttura. Questa consiste nel controllare e verificare se all’interno dell’infrastruttura non siano presenti elementi malevoli installati dagli attaccanti. L’intero step viene portato a termine attraverso assett inventory, malware assessment e ICT assessment. La produzione è, come prima, di un executive summary e un technical report.
Finito questo si passa al Vulnerability checkup che ha lo scopo di preservare l’integrità dell’infrastruttura informatica. Un’analisi delle criticità che ha l’obiettivo di identificare e determinare le eventuali vulnerabilità sfruttate da terze parti per un possibile attacco a livello di infrastruttura esposta su internet e infrastruttura interna. Tutto ciò avviene mediante penetration test, vulnerability test e network scan. Anche qui viene fornita documentazione completa.
Infine ha inizio il Reporting/remediation plan. La fase conclusiva consiste nel redigere la documentazione relativa alle informazioni necessarie per la completa e corretta compilazione della notifica al Garante oltre a fornire indicazioni di dettaglio per la corretta security governance aziendale. Questo avviene attraverso attività di report e remediation plan. Il risultato è l’intera overview della tipologia dei dati compromessi, l’elenco di questi, la metodologia e la modalità dell’attacco, i target vittime, le misure di sicurezza adottate e la creazione di un security remediation plan.

Per rendere più sicuro il lato awerness dei dipendenti si possono sfruttare i servizi di Phishing Simulation Attack. Non a caso il phishing è uno dei metodi preferiti dagli attori malintenzionati per ottenere accesso alle reti delle aziende loro bersaglio.
La soluzione permette alle aziende e alle amministrazioni di contrastare questo fenomeno attraverso un test del “fattore umano”, garantendo al contempo anche un’efficace attività di training e awareness.
Il servizio adotta lo stesso modello di un attacco standard, simulandolo permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

di Pierguido Iezzi, CyberSecurity Specialist, Swascan Co Founder

05.08.2019


Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza,
iscriviti alla nostra newsletter.

\\ Articoli correlati

Assiv, Urbano: le nuove frontiere della Sicurezza Urbana Integrata

Assiv ha tenuto mercoledì 14 Aprile il webinar “Comuni ed Istituti di Vigilanza...

UNAC: Giuliano Faccin nuovo Presidente

UNAC, l’associazione federata Anima Confindustria che sin dal 1986 raggruppa le aziende...

CAPTO Beyond Security: segnare la meta nella sicurezza

CAPTO Beyond Security, l'innovativa realtà nella Distribuzione di Sicurezza è...

Seguici Su

   

Iscriviti alla newsletter di S News

Per rimanere sempre aggiornato sulle ultime novità della sicurezza, iscriviti alla nostra newsletter.