Il ransomware è oggi la prima minaccia al mondo per diffusione e danno. È un dato riportato da tutte le indagini, incluso il Rapporto ETL 2022 (Enisa Threat Landscape, panoramica sulle minacce informatiche) realizzato dalla European Union Agency for Cybersecurity, relativo alle minacce alla cybersecurity attive sul mercato nel periodo compreso tra luglio 2021 e luglio 2022.
Si tratta di un fenomeno in grande e rapida crescita sebbene non sia facile definirne i confini; secondo IDC (International Data Corporation) il numero di attacchi ransomware a livello globale nel 2021 sarebbe stato addirittura superiore a 600 milioni. Calcolare, poi, il numero di attacchi ransomware riusciti è pressoché impossibile, poiché le organizzazioni tendono a evitare ogni amissione pubblica.
Secondo il Report Defending the Expanding Attack Surface, realizzato da Trend Micro Research, sulle minacce informatiche del primo semestre 2022, l’Italia è il primo Paese europeo per numero di attacchi ransomware e settimo al mondo.

In molti hanno familiarità con la definizione più tradizionale di ransomware come un malware che inibisce l’accesso a file e dati attraverso un sistema di cifratura, per poi richiedere un compenso economico per fornire il metodo di ripristino.

In realtà, il ransomware, come ogni entità tecnologica, è in evoluzione e questo ci indirizza verso una definizione più agnostica come quella adottata da Enisa che preferisce definire il ransomware come “un tipo di attacco in cui gli autori delle minacce prendono il controllo delle risorse dell’organizzazione target e chiedono un riscatto in cambio della restituzione della disponibilità delle risorse”. 

Questa definizione prescinde dal tipo di azione compiuta e copre l’intero panorama di minaccia del ransomware che è, ormai, prevalentemente caratterizzato da molteplici tecniche di estorsione e da richieste non limitate ai soli guadagni finanziari (come può avvenire in contesti di cyber terrorismo o cyber war).

In generale, un ransomware può eseguire quattro tipologie di azioni: 

• bloccare l’accesso a una risorsa come, per esempio, lo schermo o una particolare applicazione;
• cifrare un asset rendendolo non più disponibile;
• eliminare un asset, per esempio chiedendo al sistema operativo di eliminare un file cancellando il riferimento che lo riguarda nel file system oppure riscrivendo i suoi byte;
• rubare una risorsa che significa copiare dati e file e porli sotto il controllo dell’attaccante.

L’evoluzione del ransomware di questi ultimi anni ha riguardato i modelli di attacco caratterizzati da sequenze sempre più elaborate e complesse, portati avanti utilizzando tecnologie innovative. Sebbene i riscatti di piccola entità su attacchi casuali e di ampia portata tendano a essere pagati più facilmente e comportino una minore esposizione pubblica per l’autore della minaccia, i cybercriminali si stanno sempre più indirizzando verso attacchi mirati e personalizzati nei confronti di target specifici a cui poter chiedere riscatti milionari. Ne consegue, che l’importo medio del riscatto chiesto in un attacco ransomware è in costante aumento mentre le richieste più elevate hanno già superato i 30 milioni di dollari. 

Il cambiamento forse più rilevante e attuale riguarda, però, la tipologia di estorsione.

Per aumentare i profitti e rispondere alle azioni delle aziende che si proteggono dagli effetti dei ransomware attraverso il backup dei dati in “vault” segregate, gli attaccanti hanno attivato un doppio livello di estorsione.

Oltre alla cifratura dei dati, viene prodotta anche una copia dei dati, congiuntamente alla minaccia di una loro diffusione pubblica o di una possibile vendita nel dark Web. In questo modo, le vittime sono spinte a pagare sia dall’esigenza di recuperare i propri dati sia anche dalla preoccupazione che questi possano essere diffusi e che la violazione venga rivelata ai propri clienti e partner.

In realtà stiamo assistendo anche a un terzo livello di estorsione in cui gli autori del ransomware prendono di mira anche i clienti e i partner delle aziende compromesse, o per ottenere anche da loro un riscatto e ampliare ulteriormente il profitto, oppure perché facciano pressione sull’azienda violata che si rifiuta di pagare il riscatto. Ci sono stati esempi in cui, a scopo intimidatorio, i dati sottratti sono stati pubblicati senza menzionare il nome dell’azienda per indurre le vittime a pagare un riscatto ed evitare che il loro nome venisse reso pubblico.

Il mercato mette a disposizione innumerevoli piattaforme di Ransomware-as-a-Service (RaaS) che aprono opportunità di guadagni illeciti con ransomware anche alle persone prive della preparazione tecnica per sferrare un attacco di questo tipo. A oggi, queste piattaforme sono circa una ventina a livello globale e dietro ci sono organizzazioni che operano in modo del tutto simile a quello di un’azienda legittima e che offrono servizi corredati di strumenti in grado di sferrare attacchi cyber e ottenere riscatti. Forniscono inoltre l’indicazione dei punti di accesso relativi ad aziende bersaglio, le funzionalità per riprogrammare rapidamente gli attacchi per superare le difese e la componente di assistenza e di garanzia di qualità.

Ci sono persino le tabelle che indicano con precisione il ritorno dell’investimento ottenibile: per esempio, ci sono pacchetti che, con un investimento di circa 150 mila euro, garantiscono un ritorno pari a oltre 3 milioni di euro.

È interessante osservare che sempre più spesso i ransomware fanno il loro ingresso in un’organizzazione provenendo dalla supply chain delle terze parti.

I vettori d’infezione più diffusi sono i messaggi e-mail (con tecniche di phishing), lo sfruttamento delle vulnerabilità (note o di nuovo tipo) del software e gli attacchi “forza bruta” sui servizi Remote Desktop Protocol (RDP) in cui vengono utilizzati algoritmi automatizzati per ricavare le credenziali legittime sfruttando l’uso di password deboli, la mancanza di un sistema di autenticazione a due fattori o la non adozione di reti VPN sicure per accedere ai servizi remoti. 

I criminali che riescono ad avere accesso a credenziali legittime possono accedere alla rete riuscende a non essere identificati anche per molti mesi.

Se, nel tempo, i dati aziendali si sono sempre più trasformati nel business aziendale, appare evidente come un ransomware andato a buon fine abbia ripercussioni molto ampie.

Gli impatti a breve termine comprendono le perdite finanziarie (per esempio legate alla perdita di vendite o a sanzioni per cause e spese legali), la diminuzione di produttività, i tempi di inattività, i costi di risposta e ripristino, l’interruzione di processi aziendali critici, la perdita di asset (codice, procedure interne, risorse intellettuali) e il costo stesso del pagamento del riscatto, qualora l’organizzazione decidesse di acconsentire alla richiesta di estorsione.

I danni con un impatto a lungo termine possono riguardare la diminuzione dei ricavi, il peggioramento della brand reputation, la perdita di opportunità di business, il licenziamento di dipendenti, la perdita di clienti e partner strategici fino, in alcuni casi, all’impossibilità stessa di sopravvivenza dell’azienda.

È il dilemma shakespeariano per eccellenza. È noto che non esiste garanzia di riottenere i dati, anche se il cybercriminale ha dato prova di possedere il codice per decifrare file di test che le aziende colpite gli hanno inviato, quindi accettare o meno di pagare il riscatto dopo un cyber attacco potrebbe avere i suoi pro e i suoi contro. 

In tanti hanno provato a fornire percentuali ma, a prescindere dai numeri, l’indicazione qualitativa che ne emerge è che in molti pagano (qualcuno dice il 40%, Enisa il 60%, Sophos l’83%). Non si sa quale percentuale di chi paga riottenga i dati ma, la maggior parte di chi paga (l’80% secondo il report cybereason, Ransomware The True Cost to Business 2022) subisce un secondo attacco, spesso da parte dello stesso attaccante, solitamente con una richiesta di riscatto più elevata. 

Le motivazioni per pagare il riscatto ai cybercriminali sono molteplici e, prevalentemente, per evitare perdite di fatturato, per accelerare il ripristino dell’operatività e per recuperare i dati. 

Ma ci sono anche casi in cui un ritardo nel ripristino può rappresentare la perdita di vite umane o gravi rischi. È ciò che avviene quando un attacco ransomware coinvolge un’infrastruttura critica o impedisce l’accesso ai sistemi e ai dati cruciali necessari per fornire assistenza (dalla rete di alimentazione elettrica, alle strutture ospedaliere, ai sistemi di controllo aereo).

Il Survey Thales Data Threat Report 2022 Critical Infrastructure Edition, che ha coinvolto 300 professionisti della sicurezza di organizzazioni che operano nel settore delle infrastrutture critiche, riporta che il 53% degli intervistati indica il ransomware come la principale fonte di aumento degli attacchi alla sicurezza.

Chiariamo subito un punto. Non esiste una soluzione tecnologica che permetta di ripristinare i dati cifrati senza conoscere l’algoritmo di cifratura e avere la chiave di cifratura utilizzata dai cybercriminali.

I dati cifrati sono quindi irrimediabilmente persi se non se ne possiede una copia o se non viene effettuata un’azione di ripristino dall’organizzazione criminale che ha attivato il ransomware.

Il contrasto passa per la prevenzione che significa, non solo mettere a punto le tecnologie per impedire che un attacco ransomware vada a buon fine, ma anche limitare al massimo l’impatto degli effetti di un attacco ransomware riuscito, consapevoli del fatto che la vostra azienda incontrerà i ransomware molte volte e il rischio di essere “bucati”, anche con misure di protezione molto sofisticate in atto, non è trascurabile.

In altre parole, significa cambiare il paradigma di protezione passando da un concetto di security a uno di resilienza che si potrebbe semplificare così: posso anche essere colpito da un ransomware, ma gli effetti che avrà sulla mia azienda saranno limitati nel tempo, i danni prodotti minimi e l’interruzione del business completamente assente.

Per garantire questi risultati Vodafone Business mette a disposizione un’offerta di Managed Security Services e ha sviluppato il servizio di Managed Detection and Response (MDR).

Vodafone Business si propone come interlocutore unico per le esigenze di sicurezza delle aziende d’ogni tipo e dimensione attraverso attività di valutazione, protezione, rilevamento, risposta. Una capacità comprovata da oltre 30 anni di esperienza nella fornitura di servizi e soluzioni di sicurezza.

Uno degli aspetti che distingue Vodafone Business dagli altri MSSP (Managed Security Services Provider) è proprio la capacità di rilevamento proattivo e risposta dei servizi MDR. La riposta può variare da azioni più semplici (come la rimozione automatica di un malware noto) a quelle più avanzate come la rimozione di carichi di lavoro e container dal servizio, fino a interessare l’intera catena di eventi necessari per fronteggiare l’evento di sicurezza.

Inoltre, Vodafone Business MDR si avvale di 1300 specialisti in cybersecurity che monitorano le reti dei clienti in tempo reale alla ricerca sia degli indicatori di attacco (IOA) sia di quelli di compromissione (IOC).

La maggior parte degli MSSP tradizionali si concentra, invece, esclusivamente sulla gestione e sul monitoraggio della sicurezza e sugli indicatori di compromissione. Ne consegue che, in caso venga rilevata una violazione o un’intrusione, l’MSSP fornisce un alert al cliente lasciando a lui il compito di predisporre una risposta adeguata. Inoltre, la maggior parte di questi avvisi è di tipo reattivo ovvero avviene dopo che la compromissione è avvenuta.

Con Vodafone Business MDR gli specialisti della sicurezza identificano preventivamente e risolvono i punti deboli che potrebbero portare a una violazione, evitando che si possano verificare incidenti. 

Gli analisti Vodafone Business dedicati alle attività di Managed Adversary Threat Intelligence cercano costantemente anche i più piccoli segni di un possibile attacco, effettuando un’indagine dettagliata per capire sempre cosa sta succedendo e assicurarsi che nessun hacker possa sfruttare alcuna vulnerabilità.