Come mai quando ci sono campanelli di allarme di cyber risk non vengono adottate misure per prevenire il cybercrime? Spesso accade perché occorre intraprendere un cambio di paradigma a cui non tutti sono disposti: aziende, governi, politica ed economia. Eppure, come afferma Carola Frediani giornalista e attenta analista, il cybercrime negli ultimi anni e in questo appena trascorso così critico a causa della pandemia, ha visto un evolversi di attacchi informatici mirati, innovativi e ben strutturati da parte di gruppi criminali.
Frediani è intervenuta al recente Richmond IT Director Forum, una convention di 3 giorni che solitamente raduna a Rimini decine di CIO, IT manager, Direttori IT e rappresentanti del mondo dell’offerta ma che quest’anno, a causa dell’emergenza sanitaria, si è tenuta interamente online.
Tra i vettori principali, ha evidenziato la giornalista, ransomware e forme aggiuntive come data leak, il trasferimento e la divulgazione di dati non autorizzati. Cyber rischi in molti casi già previsti. Come del resto per altre tipologie di rischio: nel 2017 il National Risk Register delle emergenze civili della Gran Bretagna, per la prima volta mette il rischio di una pandemia in cima alla lista. Nel report la possibile pandemia ha un punteggio elevato per rischio ma anche per probabilità che possa avvenire nei successivi 5 anni. Un mix che nessun altro fattore raggiunge e che viene riproposto anche nel 2018. Eppure, la Gran Bretagna non è stata assolutamente pronta ad affrontare una pandemia.
Perché? Secondo alcuni osservatori è stata data priorità al rischio terrorismo scegliendo uno schema tradizionale a cui gli stessi apparati erano abituati. Nessun cambio di passo neppure con un rischio previsto così alto. Un errore di valutazione studiato da economisti comportamentali come Kahneman uno dei fondatori della finanza comportamentale e spiegato facendo leva su come la nostra percezione del rischio sia influenzata da fattori e sopravvalutazioni legate a ragioni che possono essere anche politiche o addirittura mediatiche, aggiunge Carola Frediani. Il fattore umano nella percezione del rischio riguarda le scelte che ognuno all’interno del proprio perimetro difensivo effettua, ma anche le scelte di un’intera nazione che non è sufficientemente pronta a cambiare i propri schemi di comportamento.
Il Cyber risk, pandemia, evoluzione e analisi di processo
A settembre 2020 la rete informatica dell’ospedale universitario di Dusseldorf viene colpita da un ransomware causato a quanto dichiarato, da una vulnerabilità di un software add-on commerciale. Il ransomware blocca l’accesso ai dati forzando 30 server. Durante il trasferimento di pazienti ad altro ospedale, una donna colpita da aneurisma muore. I criminali restituiscono la chiave di accesso ai dati. Con molta probabilità, l’attacco era indirizzato all’Università affiliata all’ospedale.
Il primo caso, anche se non dimostrabile in cui in seguito ad un ransomware muore un essere umano e la procura valuta le posizioni dei responsabili informatici. Era prevedibile? Le avvisaglie c’erano state già da tempo, ricorda Carola Frediani, pochi mesi prima ad aprile 2020, un report dell’Interpol mostrava un tasso allarmante di attacchi informatici durante l’emergenza Covid-19 verso enti e grandi aziende indicando in particolare smartworking e lavoro da remoto come facilitatori dei possibili attacchi ransomware e contemporaneamente, anche Europol, l’ufficio europeo per la lotta del crimine indicava un aumento di ransomware legati alla pandemia.
Il 2020 di fatto è stato caratterizzato da una evoluzione del fenomeno che ha colpito tante organizzazioni. Questo vuol dire che il ransomware continua ad essere una minaccia molto seria. I criminali informatici scelgono bersagli precedentemente selezionati, spesso sensibili e mettono a rischio realtà sempre più diverse tra loro: città, governi, ospedali, enti e aziende private mostrando una capacità dinamica e innovativa del cybercrime dal punto di vista tecnologico ma anche di processo che va a soddisfare ed alimentare un mercato di criminalità organizzata.
L’evoluzione dei ransomware
Il primo ramsonware risale al 1989, diffuso su floppy disk e inviato via posta era stato creato dal biologo Joseph Popp. Il floppy conteneva un quiz sull’AIDS con all’interno un trojan. Un ransomware tecnologicamente rudimentale ma assolutamente nuovo dal punto di vista concettuale. Nel 2013 si diffondono ransomware con una cifratura più solida e ritmi di cifratura complessa con i malware cryptolocker in grado di criptare i dati della vittima per poi effettuare una richiesta di pagamento per decriptare.
Nel 2016 arrivano i Ransomware-as-a-Service (RaaS) piattaforme che permettono a chiunque di creare il proprio ransomware. Questi servizi hanno creato un mercato in cui trae vantaggio economico sia chi crea la minaccia digitale sia chi acquista e diffonde. Un servizio di affiliati con una modalità di distribuzione. Ancora oggi c’è la possibilità di comprare software dannosi nel dark web con assistenza tecnica e pagamento online.
In seguito, sono stati introdotti customer service con veri e propri consulenti che per attaccare utilizzano linguaggio business e malware worm in grado di autoreplicarsi che si diffondono attraverso la rete come Wannacry e Not Petya. Wannacry si ricorda per aver colpito il sistema sanitario britannico con 19mila appuntamenti cancellati e 92 milioni di sterline di danni mentre Not Petya partita dall’Ucraina terreno di cyberguerriglia, colpisce tra le varie aziende, la Maersk causando il blocco delle attività e oltre 50 mila computer con backup cancellati, provocando un danno per 10 miliardi di dollari.
I vettori di attacco sono tanti: exploit kits, spam, RDP hacks, trojans, corruzione di insider come nel caso recente di Tesla con il tentativo di corrompere un dipendente per convincerlo a iniettare un ransomware nella rete aziendale.
Una novità è rappresentata dal data leak utilizzato come una minaccia aggiuntiva da hacker e gruppi criminali opportunamente ristrutturati per offuscare con un cambio di nome e nuovi strumenti di divulgazione, vecchie identità.
Data leak come minaccia aggiuntiva
Il caso Maze è il precursore del ransomware con data leak aggiuntivo. Una modalità introdotta alla fine del 2019 prima su forum poi creando un sito dedicato. Oggi il gruppo hacker è imitato da almeno una dozzina di altre organizzazioni.
Un altro gruppo è Nefilim che inizialmente crea un Raas poi rinasce con un sito chiamato Corporate leaks dove vengono pubblicati i dati delle vittime che non pagano. Il primo a prendere di mira i manager service provider e rendere difficile la redemption, il riscatto, è Ragnar Leaks che sceglie un modo per definirsi al limite dell’ironia, wall of shame, il muro della vergogna. Gruppo tra i più attivi.
Ancora Netwalker: ransomware and leaks as a service. Il sito di riferimento permette agli affiliati di creare ransomware. Gruppi del cybercrime organizzati, attacchi sempre più mirati verso aziende internazionali ed italiane e con il tema dei data leak: se non paghi diffondiamo i tuoi dati.
Una modalità che non solo va ad aumentare il cyber risk ma che genera effetti collaterali non indifferenti. Tra questi effetti c’è la nascita di negoziatori, gruppi di persone o entità in grado di mediare un riscatto come nel caso Garmin, società di tecnologie di aviazione per GPS, che ha subito un wasted locker ransomware con file crittografati e messi sotto sequestro. I riscatti e le negoziazioni hanno un duplice aspetto negativo: foraggiano una economia criminale e non sono garanzia per il recupero dei dati sottratti che possono essere venduti a terzi sottobanco.
A questi si aggiungono i social engineering, truffe con grande vitalità come l’attacco al capo della campagna elettorale di Hillary Clinton che con una finta notifica di sicurezza gmail regala 50mila email agli hacker. Un caso di fallimento di chiarezza delle procedure, tema ricorrente, sia perché non c’era l’autenticazione a due fattori sia perché non aveva ottenuto soluzione dal responsabile IT. Il fattore umano e l’uso di procedure sono parte di un sostanziale cambio di paradigma per contrastare il cybercrime.
