Home » News » Cybersecurity

Ransomware: pagare o non pagare?

di Redazione - 5 Agosto 2019
Ransomware: pagare o non pagare?

Ransomware: pagare o non pagare? È il tema al centro dell’approfondimento, a cura di Pierguido Iezzi, nella rubrica di S News, Focus CyberSecurity.

Buona lettura!

Quando si parla di ransomware, e sfortunatamente ci troviamo a farlo sempre più spesso, il quesito più frequente che le vittime si trovano davanti è l’amletico “pagare o non pagare?”.
Il ransomware è un fenomeno molto democratico, disponibile in tantissime taglie per tutti i tipi di targets che i Criminal hackers si prefissano: colpisce dal singolo cittadino privato fino alla multinazionale.
Quando nel mirino finiscono le organizzazioni, conseguentemente sale anche in maniera proporzionale la posta in gioco.

E qui ritorna la domanda: pagare o non pagare?
Molte aziende lo fanno per disperazione, rivolgendosi addirittura a intermediari per aiutare a mediare l'affare e a concluderlo il più velocemente possibile.
Di diversa opinione sono le forze dell’ordine che dicono che questo non fa altro che peggiorare le cose, esponendo l’azienda ad ulteriori futuri attacchi.

Ransomware: pagare o non pagare? Norsk Hydro, un caso esemplare
Questa seconda linea appena menzionata è proprio la strada imboccata da Norsk Hydro, uno dei più grandi produttori di alluminio a livello globale. La multinazionale, infatti, si è recentemente trovata ad affrontare un’ondata di attacchi da parte di un gruppo ancora non identificato di Criminal Hacker.
Non sappiamo quando l’attacco ha avuto inizio, ma è probabile che una volta ottenuto accesso ai sistemi i Criminal hackers abbiano passato settimane ad esplorare i sistemi IT del gruppo, indagando e studiando accuratamente le debolezze dell’infrastruttura.
Quando finalmente hanno dato inizio alle ostilità con un ransomware il risultato è stato devastante: 22.000 computers sono stati infettati, distribuiti su 170 diverse sedi presenti su oltre 40 Paesi.
A questo proposito il Chief Information Officer della multinazionale Jo De Vliegher ha diffuso il contenuto della nota di riscatto che è apparsa sui computer di tutta l'azienda. Si legge: “I tuoi file sono stati crittati con algoritmi di derivazione militare… senza la nostra chiave di decrittazione non sarà possibile recuperarli”.

La risposta di Norsk Hydro? A mali estremi, estremi rimedi: l’intera forza lavoro globale, oltre 35mila persone, ha preso in mano carta e penna per proseguire le proprie mansioni. Ma non solo, le linee di produzione che si occupano della modellazione del metallo fuso sono state commutate a funzioni manuali. Addirittura alcuni lavoratori in pensione di lunga data sono tornati per aiutare i colleghi a gestire le cose “alla vecchia maniera”. Nella maggior parte dei casi, però, le linee di produzione sono state semplicemente costrette a fermarsi.

D’altro canto, dobbiamo immaginarci l'attesa fremente dei Criminal hackers mentre aspettavano di ricevere una risposta alla loro richiesta di riscatto. Dopo tutto, ogni minuto conta per una moderna centrale di produzione. Probabilmente pensavano di poter dettare il loro prezzo di riscatto senza problemi.
Ma la risposta non è mai arrivata. Questi attori non hanno mai ricevuto nulla di quanto chiesto.
Sono passati ben più di tre mesi da quando Norsk Hydro è stata attaccata e mancano ancora molti mesi per riprendersi completamente. Finora è costato loro più di 60 milioni di euro. Ma ciò che hanno perso in produttività e ricavi, hanno probabilmente guadagnato in reputazione.

La risposta dell'azienda è stata descritta come “il gold standard” dalle forze dell'ordine e dagli esperti che operano nel campo della Cyber Security. Non solo si sono rifiutati di pagare gli hackers, ma sono stati anche completamente aperti e trasparenti con il mondo esterno su ciò che è successo loro.

Ransomware: pagare o non pagare? Quelli che ‘pagano’
Ma ci sono molte altre aziende e organizzazioni che ancora fanno la scelta opposta. Secondo gli analisti del settore il pagare il riscatto richiesto è diventato una semplice voce in più da pagare per molte organizzazioni; una sorta di “segreto di pulcinella”.
Molte lo fanno, in completa segretezza naturalmente, in quanto preoccupate per la possibilità di contenzioso e per il danno alla loro reputazione a seguito di un attacco. Fonti nel settore della sicurezza informatica hanno descritto molteplici occasioni in cui grandi e note aziende hanno pagato migliaia di euro, in alcuni casi centinaia di migliaia, ai Criminal hackers e non l'hanno divulgato al pubblico o addirittura, in rari casi, agli azionisti.

Ma non sono solo le aziende oramai a essere sotto attacco. Proprio un paio di settimane fa, una città della Florida ha sborsato 600mila dollari per rimettere in funzione i propri computers dopo che un attacco di ransomware ha disabilitato la posta elettronica, ha colpito i sistemi di risposta alle emergenze e ha costretto il personale a utilizzare sistemi amministrativi cartacei.
È una tendenza preoccupante che ha spinto Europol, l'agenzia di polizia dell'Unione Europea, a ri-emettere l'avvertimento che il pagamento dei riscatti alimenta i Criminal hackers e spesso porta ad una maggiore criminalità organizzata.

La situazione attuale e le misure per difendersi
Tra il 2017 e il 2018 il ransomware che più ha causato grattacapi è stato WannaCry che ha infettato 200mila computers in almeno 150 Paesi, causando anche notevoli disagi, tra i molti, anche all’intero servizio sanitario nazionale nel Regno Unito. Fortunatamente, dopo il picco di infezioni, WannaCry, secondo studi di settore, ha registrato un calo del 91% nell'ultimo anno.
Un trend che sfortunatamente non ha visto una diminuzione è quello degli attacchi più mirati (come gli APT) che sono nettamente in aumento. Attacchi dove le aziende e le organizzazioni, ancor più dei singoli, sono nel mirino.
Alcuni ricercatori affermano che, rispetto allo stesso periodo dell'anno scorso, i rilevamenti aziendali di ransomware sono aumentati di oltre il 500%.
Un trend inarrestabile?

Ovviamente no, ma deve esserci da parte del mondo entreprise uno sforzo parallelo su due canali.
Il rischio posto dai Criminal hackers impatta sia sulla parte puramente tecnica della cyber security, ovvero l’infrastruttura, sia su quella più umana: l’awerness del singolo dinnanzi alla minaccia o alle insidie e trappole tese dai Criminal hackers.
Sul lato più tecnico è fortemente consigliato a tutte le organizzazioni di approntare un Data Breach Incident Response Plan, l’unica soluzione che permette di adempiere a ciò che stato normato all’intero del GDPR. Una componente fondamentale nel caso in cui oltre a bloccare completamente la rete il ransomware venga usato anche per sottrarre dati e informazioni sensibili.

Grazie a questo servizio è possibile:
• stabilire quali dati sono stati compromessi;
• formalizzare lo stato delle misure di sicurezza in essere;
• predisporre il piano di remediation.
• gestire l’incident e supportare l’azienda nel ripristino delle attività;
• analizzare la natura della violazione;
• identificare le evidenze, le prove e le informazioni tecniche;
• determinare la tipologia dei dati compromessi;

Nel dettaglio il processo si svolge in cinque fasi ben strutturate: Si parte dalla Cyber security investigation, il primo step che ha come obiettivo l’identificazione dei vettori d’attacco, dei punti d’ingresso, dei targets colpiti e delle tecniche usate per portare a fondo l’assalto. Questi dati si evincono grazie all’attività di log analysis, tracking dell’attacco, target analysis e data compromise discoveries. L’output di queste attività viene trasformato in un executive summary e un technical report, facilmente consultabile.
Fa seguito la Forensic investigation, questa ha come scopo la cristallizzazione delle evidenze legali e delle prove raccolte tramite computer e altri device. L’obiettivo è di esaminare i dispositivi digitali seguendo processi di analisi forense al fine di indentificare, preservare, recuperare e analizzare i dati raccolti. Anche in questo caso vengono resi disponibili un executive summary e un technical report oltre alla copia forense.
Lo step successivo è l’ICT integrity checkup, la fase di verifica dell’integrità della struttura. Questa consiste nel controllare e verificare se all’interno dell’infrastruttura non siano presenti elementi malevoli installati dagli attaccanti. L’intero step viene portato a termine attraverso assett inventory, malware assessment e ICT assessment. La produzione è, come prima, di un executive summary e un technical report.
Finito questo si passa al Vulnerability checkup che ha lo scopo di preservare l’integrità dell’infrastruttura informatica. Un’analisi delle criticità che ha l’obiettivo di identificare e determinare le eventuali vulnerabilità sfruttate da terze parti per un possibile attacco a livello di infrastruttura esposta su internet e infrastruttura interna. Tutto ciò avviene mediante penetration test, vulnerability test e network scan. Anche qui viene fornita documentazione completa.
Infine ha inizio il Reporting/remediation plan. La fase conclusiva consiste nel redigere la documentazione relativa alle informazioni necessarie per la completa e corretta compilazione della notifica al Garante oltre a fornire indicazioni di dettaglio per la corretta security governance aziendale. Questo avviene attraverso attività di report e remediation plan. Il risultato è l’intera overview della tipologia dei dati compromessi, l’elenco di questi, la metodologia e la modalità dell’attacco, i target vittime, le misure di sicurezza adottate e la creazione di un security remediation plan.

Per rendere più sicuro il lato awerness dei dipendenti si possono sfruttare i servizi di Phishing Simulation Attack. Non a caso il phishing è uno dei metodi preferiti dagli attori malintenzionati per ottenere accesso alle reti delle aziende loro bersaglio.
La soluzione permette alle aziende e alle amministrazioni di contrastare questo fenomeno attraverso un test del “fattore umano”, garantendo al contempo anche un’efficace attività di training e awareness.
Il servizio adotta lo stesso modello di un attacco standard, simulandolo permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

di Pierguido Iezzi, CyberSecurity Specialist, Swascan Co Founder

#Cybersecurity
Condividi questo articolo su:
Articoli correlati
Anand Oswal Palo Alto Networks 5G Cybersicurezza AI
Cybersecurity

Accelerare il 5G con la cybersicurezza alimentata dall’AI

L’attuale momento storico che vede al centro della sua grande evoluzione la trasformazione digitale delle imprese, necessita, secondo Anand Oswal, Senior Vice President e General Manager of Network Security di...
24 Luglio 2024 - Redazione
Domenico Favuzzi Exprivia CyberSecurity Cover Story S News 75
Cybersecurity

Exprivia e il futuro dell’ICT: AI, ESG, CyberSecurity

Exprivia è la protagonista della Cover Story del numero 75 di S News, il numero Speciale dedicato in particolar modo al Security Management, ai Progettisti e ai grandi End Users...
23 Luglio 2024 - Monica Bertolo
Check Point Research attacchi informatici Q2 2024
Cybersecurity

+30% di attacchi informatici Q2 2024: l’aumento maggiore degli ultimi 2 anni

I nuovi dati rilasciati da Check Point Research sulle tendenze degli attacchi informatici nel Q2 del 2024, rivelano un incremento del 30% a livello globale determinando così l’aumento maggiore degli...
18 Luglio 2024 - Redazione
Altre news da: Cybersecurity
Exprivia Rivoluzione digitale NIS2 e AI per una Nuova Era della CyberSecurity
Cybersecurity

NIS2 e AI per una Nuova Era della CyberSecurity

Exprivia, in collaborazione con Akamai, Pointsharp e Sophos, nella spettacolare cornice del Rooftop di Copernico Isola S32 nel cuore pulsante del fintech district milanese, ha tenuto giovedì 27 giugno l’evento “Rivoluzione...
11 Luglio 2024 - Redazione
Domenico Raguseo Exprivia Cybercrime Infrastrutture Critiche e ICT
Cybersecurity

Meno cybercrime ma aumentano gli attacchi a Infrastrutture Critiche e ICT

Secondo l’ultimo rapporto dell’Osservatorio Cybersecurity di Exprivia “Threat Intelligence” nel primo trimestre 2024 i fenomeni di cybercrime in Italia sono diminuiti dell’11% rispetto alla fine dello scorso anno, ma aumentano...
10 Luglio 2024 - Redazione
Javier Dominguez Commvault colalborazione CIO e CISO
Cybersecurity

CIO e CISO: collaborazione sempre più indispensabile

Come in tutti i processi aziendali, anche per il successo di qualsiasi strategia di cybersecurity o di protezione dei dati, le aziende devono fare affidamento su solidi processi di collaborazione...
8 Luglio 2024 - Redazione

RIVISTA

Scarica l’ultimo numero in versione PDF.

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.