Cosa possono fare le aziende una volta colpite?

hacker

A cura di Paolo Arcagni, System Engineer Manager di F5 Networks

Nel film Ransom (Il riscatto) del 1996, Tom Mullen (Mel Gibson) cerca di sottrarre il figlio dalle grinfie di un “cattivissimo”, guidando una squadra di agenti dell’FBI e riuscendo eroicamente nell’impresa. Mentre in questo film, e in molti altri simili, assistiamo a scambi di valigette piene di mazzette di denaro ordinatamente disposte e sparatorie drammatiche, oggi le tattiche dei criminali moderni si sono decisamente evolute e a trovarsi sequestrate sono intere aziende attraverso i propri dati.

Ospedali, governi e banche sono stati tutti colpiti allo stesso modo, almeno una volta, da un “ransomware”, una forma di malware che limita l’accesso ai file personali e richiede il pagamento di un riscatto prima che venga restituito l’accesso. Un fenomeno crescente che vede il numero di attacchi in aumento del 16 per cento solamente durante l’ultimo anno.

Affrontare una minaccia come una cyber-estorsione può rappresentare un’esperienza traumatica per qualsiasi azienda, ma se si conosce quello che si ha di fronte e come proteggere il proprio IT in modo efficace, sarà ancora possibile ridurre le preoccupazioni della propria azienda. Credo che questo si possa effettivamente fare attraverso tre passaggi fondamentali:

  1. Conoscere il proprio nemico

Le prime richieste di riscatto erano generalmente di basso profilo, arrivavano via mail e ricevevano scarsa attenzione.

I presunti hacker minacciavano disastrosi attacchi DDoS che avrebbero eseguito solo nel caso non fosse stato effettuato un pagamento in Bitcoin (un esempio di questo tipo sono gli attacchi promossi da gruppi hacker come DD4BC). In altri casi la minaccia consisteva nel dichiarare che i dispositivi sarebbero stati forzatamente crittografati, richiedendo il pagamento di un canone per consentire agli utenti di accedere ai dati memorizzati su di essi.

Il pay-out significativo che ora viene richiesto dimostra come i servizi finanziari siano presi costantemente di mira, anche se le tattiche usate hanno subito alcune modifiche. Gli attacchi sono aumentanti molto a livello di intensità, con gruppi di hacker sempre più preparati a entrare nella specificità dell’azienda concentrandosi su obiettivi particolari, in modo da dimostrare alle vittime le loro capacità. Un altro cambiamento significativo in questo contesto è la tendenza a violare la privacy o addirittura smascherare pubblicamente le proprie vittime, come nel caso della violazione subita da Ashley Madison. In questi casi, gli hacker, dopo avere già ottenuto l’accesso ai dati, richiedono un riscatto alle vittime per garantire che le informazioni non divengano di pubblico dominio.

Oltre all’invio di richieste via email, oggi vengono implementate addirittura delle campagne di ‘malvertising’, anche quando gli utenti visitano dei siti web normalissimi. Con il diffondersi del cloud computing in outsourcing come spazio comune, i service provider sono diventati un obiettivo più interessante per gli hacker, e tutto questo può avere un impatto devastante, innescando potenzialmente un effetto domino che infetta indirettamente i loro clienti.

  1. Fatti, non parole!

Nonostante la loro crescente incidenza, le aziende sono apparentemente impreparate rispetto alle best practice da adottare quando si tratta di reagire alle richieste di riscatto. Una ricerca recentemente promossa da IoD e Barclays ha rivelato che solo il 28 per cento dei casi di cyber-estorsione sono segnalati alle autorità, mettendo in evidenza che le vittime sono più felici di pagare il riscatto piuttosto che correre il rischio che i propri dati sensibili vengano divulgati e che ne consegua una cattiva pubblicità.

Naturalmente, questa preoccupazione enorme per i dati è esattamente ciò su cui fanno conto i cyber-criminali, ma, in realtà, le aziende dovrebbero evitare di dare denaro a un ricattatore. Recentemente l’FBI ha fornito delle line guida rispetto ai ransomware , affermando che: “Il pagamento di un riscatto incoraggia i criminali informatici a essere sempre più coinvolti in questo tipo di attività illegali… pagando un riscatto, un’organizzazione potrebbe inavvertitamente trovarsi a essere uno dei principali finanziatori di un’ulteriore attività illecita associata a tali criminali”.

Inoltre, chi ha commesso la violazione viene incoraggiato a compiere attacchi ripetuti rispetto allo stesso bersaglio, che si è mostrato disposto a pagare il riscatto già una volta. Infine, e ancora più importante, ci sono comunque molti punti interrogativi sul fatto che queste minacce siano sempre reali. Prendete ad esempio i recenti attacchi condotti da Armada Collective, che si pensa essere un gruppo di hacker derivato da DD4BC; recentemente è stato scoperto che il gruppo di hacker non aveva modo di conoscere quali delle proprie vittime avessero o meno pagato il riscatto, il ché suggerisce che la minaccia fosse semplicemente ripetuta senza un vero fondamento.

  1. Prevenire è sempre meglio che curare

Le aziende stanno iniziando a educare i propri dipendenti sui rischi potenziali e le best practice da adottare per rispondere ai sequestri informatici. Tuttavia, prima di considerare questi aspetti, dovrebbero saper garantire che tutte le loro applicazioni siano ben protette contro gli attacchi sofisticati.

Il primo fondamento di tutto deve quindi essere una valutazione completa dello stato reale dell’infrastruttura dell’azienda, per valutare se effettivamente si è in grado di resistere a un attacco della grandezza che oggi gli hacker possono generare. Dopo di questo, si deve essere pronti a tutto e utilizzare una combinazione di servizi on-premise e cloud-based capaci di mitigare gli attacchi in tempo reale e mostrare un ottimo rapporto costi-benefici in virtù della capacità di scalare verso l’alto e verso il basso a seconda del volume degli attacchi e della loro intensità.

Un altro elemento chiave sarà garantire la protezione del business 24 ore su 24; l’accesso costante alle competenze, analisi e reporting è ormai un requisito indispensabile per mantenere l’azienda e i consumatori finali sicuri e soddisfatti. In questo contesto, le aziende mostrano oggi una tendenza crescente ad adottare servizi di sicurezza gestiti con competenze di alto livello ad essi associate, in modo da allargare sempre più lo spettro di difesa dalle minacce dei cyber-sequestri.

Nel corso degli ultimi anni, il cambiamento principale nell’atteggiamento adottato dalle aziende rispetto ai cyber-ransom è aver imparato a reagire con maggiore immediatezza alle richieste di riscatto, piuttosto che prenderle sul serio solo in seconda battuta, dopo averne subito significativamente gli effetti.

Se la maggiore reattività è di per sé positiva, questa immediatezza per molti si è tradotta nello spostarsi verso l’estremo opposto: pagare il riscatto agli hacker senza riflettere abbastanza, qualcosa che può servire solo a perpetuare il problema.

In conclusione, l’unica strada percorribile è mettere in atto le misure appropriate per proteggere le applicazioni e mitigare il rischio rispetto alle cyber-estorsioni, uno scenario di certo migliore rispetto a quello di cedere parte del fatturato della propria azienda, per altro inutilmente!