Nel campo della cybersecurity vige una regola d’oro: il pagamento del riscatto non è mai la soluzione!
Gli Stati Uniti e il Regno Unito hanno sanzionato sette cittadini russi presumibilmente coinvolti in Trickbot, uno dei gruppi di spicco della criminalità informatica mondiale. Le aziende i cui dati sono stati sottratti tramite attività ransomware di Trickbot, oggi, potrebbero essere in seria difficoltà perché pagare per decriptare i loro dati potrebbe avere gravi conseguenze legali. Un altro segnale che sottolinea la criticità per le aziende di focalizzarsi maggiormente sulla resilienza informatica.
Pagamento del riscatto: si rischiano multe salate
Il gruppo Trickbot è sospettato di aver condotto gli attacchi malware noti come Conti e Ryuk. Il governo britannico ha dichiarato che almeno 149 persone e aziende sono state colpite, perdendo circa 27 milioni di sterline. Le sanzioni contro i sette membri principali di Trickbot applicate da entrambi i Paesi stanno, di fatto, creando pressioni non solo sugli aggressori ma anche sulle vittime che, altrimenti, avrebbero effettuato il pagamento del riscatto per recuperare i propri dati. Tali provvedimenti vengono attuati dal governo britannico e dall’Office of Foreign Assets Control (OFAC) degli Stati Uniti, l’agenzia di controllo del Dipartimento del Tesoro degli Stati Uniti. L’OFAC considera le violazioni delle sanzioni come una grave minaccia alla sicurezza nazionale e alle relazioni estere. Di conseguenza, i trasgressori rischiano multe – da poche migliaia a diversi milioni di dollari – e pene detentive fino a 30 anni.
A oggi, non esistono prove di precedenti di pagamenti di ransomware e di individui sanzionati. Tuttavia, la gestione di altri casi di pagamento del riscatto da parte dell’OFAC fornisce alcune indicazioni sulle possibili conseguenze. I trasgressori dell’International Emergency Economic Powers Act rischiano multe di 308.000 dollari per ogni violazione. I trasgressori del Foreign Narcotics Kingpin Designation Act sono stati multati per 1,5 milioni di dollari. Tra le aziende sanzionate figurano grandi nomi come UniCredit Bank, ZTE Corporation, Standard Chartered, Crédit Agricole, Société Générale e BNP Paribas. In alcuni casi è stato necessario pagare multe per oltre 1 miliardo di dollari.
Resilienza informatica vs pagamento del riscatto
“C’è da aspettarsi che le autorità occidentali aumentino la stretta anche su altri gruppi di ransomware“, afferma Manlio De Benedetto, Director Systems Engineering di Cohesity. “Le aziende colpite da ransomware non saranno in grado di riscattare i loro sistemi compromessi senza incorrere in ulteriori conseguenze legali gravi. La parte dell’assicurazione informatica, che copre l’eventuale pagamento del riscatto ransomware, perde quindi di attrattiva e valore”.
Finora, la maggior parte dei CISO ha destinato i propri budget concentrandosi sulla creazione di barriere a protezione della propria azienda. Secondo uno studio globale sulla cybersecurity condotto da Deloitte, l’80% delle risorse è dedicato alla difesa e solo il 20% alla mitigazione.
“I responsabili dovrebbero spostare la loro attenzione sempre di più verso la resilienza informatica, ovvero sulla capacità di mantenere operativi gli elementi più critici anche durante un attacco e, allo stesso tempo, di essere in grado di analizzare la violazione,” aggiunge Manlio De Benedetto. “Queste discipline vengono definite all’interno del framework degli standard di cybersecurity del NIST che sintetizza le fasi “Proteggere; Riconoscere; Reagire; Ripristinare. Le moderne soluzioni per la sicurezza e la gestione dei dati, possono ottemperare a queste regole archiviando regolarmente i backup di tutti i dati di produzione in snapshots. In passato, le aziende consideravano questi backup come un‘assicurazione contro la perdita, il furto o la compromissione dei dati. Gli attacchi informatici moderni hanno modificato irrimediabilmente questa visione e il backup costituisce, ora, la polizza assicurativa definitiva contro queste aggressioni, supportando i processi operativi di sicurezza chiave e gli analisti di sicurezza nello svolgere il proprio lavoro“.
Le snapshots rappresentano il ciclo di vita dei dati in tempo reale e mostrano il loro stato presente e passato. In uno scenario di cyber vaulting, i team dedicati alla sicurezza possono lavorare in tandem con i team dell’infrastruttura IT in modo che i sistemi recuperati vengano ripristinati solo in uno stato protetto. Inoltre, possono ricorrere alle analisi forensi per rilevare gli artefatti degli attacchi informatici e tracciare il percorso degli aggressori. Ciò consentirà loro di rilevare modifiche alla configurazione, nuovi account falsi o frammenti di malware presenti nei file snapshot.
Prove di controllo ed evidenze successive
Le polizze assicurative cyber omnicomprensive possono aiutare a sostenere gli investimenti critici in esperti, hardware sostitutivo e altri servizi, in caso di perdita. Tuttavia, i fornitori richiedono alle aziende interessate di dimostrare una serie di misure adottate e di soddisfare determinati criteri per potere accedere a questo genere di polizza. Questi requisiti riguardano sia questioni tecniche che di formazione e di processo.
Chiunque risponda a questi criteri con approcci tecnici come un concetto di sicurezza e gestione dei dati, ad esempio riuscendo a isolare i dati con un air gap, beneficerà idealmente di pagamenti contributivi ridotti. Inoltre, in caso di riuscita di un attacco, le aziende coinvolte potranno dimostrare di aver introdotto tutti i meccanismi di controllo necessari. Infatti, la ricostruzione tramite gli snapshot fornirà tutte le prove contingenti anche nel caso in cui importanti dati di produzione siano stati eliminati, manipolati o crittografati durante l’attacco. Pertanto, questi documenti tecnici saranno una prova importante per l’azienda danneggiata nelle questioni legali.
Outlook: si prevedono attacchi state-controlled
Il successo delle numerose operazioni di ransomware degli ultimi 12 mesi ha fatto sì che altri scenari, come gli attacchi wiper, siano passati in secondo piano. Sarà interessante vedere come i leader di questi criminali informatici, ad esempio, si riorganizzeranno dalla Russia per trovare alternative di business.
Il numero di attacchi wiper spinti da motivazioni politiche e militari è aumentato in modo massiccio a causa della guerra in Ucraina. Negli ultimi mesi sono state lanciate contro l’Ucraina 17 diverse varianti di attacchi wiper. È plausibile quindi un maggiore impegno da parte degli attaccanti in questo ambito, espandano i loro attacchi a obiettivi e infrastrutture critiche in Paesi che sostengono direttamente o indirettamente l’Ucraina.
In questo contesto, in particolare, è ancora più importante rafforzare la resilienza informatica su Internet. In questo modo, quando si verifica un attacco, sia il team IT che i team di sicurezza lavorano a stretto contatto, mantenendo in vita i servizi critici mentre i team di sicurezza possono analizzare l’attacco in background. Solo così l’economia e la società potranno sopravvivere ai criminali informatici e ai loro attacchi.
