Da tempo ormai si parla del ransomware come di una delle minacce più insidiose provenienti dal mondo cyber. Le cronache recenti non hanno fatto che portare il tema della crescita del ransomware ancor più in primo piano, con il recente attacco a Ferrovie dello Stato, nel corso del quale gli hacker si sono introdotti nei sistemi con un malware cryptolocker attraverso uno degli account degli amministratori del sistema o di chi gestisce i servizi di Ferrovie, paralizzando le attività per diverse ore.
Si tratta solo dell’ennesimo evento che evidenzia l’innalzamento del profilo di aggressione informatica operata da gruppi di hacking a livello internazionale e nazionale: strategie mirate, attacchi targettizzati o con modalità più massive, automatizzate, cross industry, per aree geografiche, ma non per questo meno pericolose.
L’Italia è sempre più spesso nel centro del mirino di questa crescita del ransomware. Secondo un report di Trend Micro, nel 2021 il nostro Paese è stato il quarto Paese più colpito dal malware al mondo, il primo in Europa.
In generale i criminali informatici stanno utilizzando come arma i dati sensibili per aumentare la pressione sulle vittime del ransomware. Inoltre, stanno utilizzando la minaccia di una divulgazione dell’avvenuto attacco facendo leva anche sull’obbligatorietà introdotta dal Garante per la privacy (GDPR) di notifica entro le 72 ore. A ciò si aggiunge evidentemente anche il danno di immagine e di reputazione. Il periodo di emergenza Covid-19 aveva già evidenziato l’intensificarsi di frodi informatiche, di sottrazione di identità, ma è la piaga dei ransomware che ha visto un inasprimento negli ultimi anni, con l’attività dei criminali informatici che cercano di sfruttare la particolare la situazione in cui si trovano le aziende che hanno dovuto, talvolta senza un’infrastruttura preparata allo scopo, mettere in atto la “nuova normalità” del lavoro a distanza.
Se in passato ad essere prese di mira erano soprattutto le aziende più grandi e visibili, o quelle che per loro natura trattano dati sensibili e di maggior valore, questo ormai non vale più. Ogni organizzazione può cadere vittima di un attacco, perché i dati che tratta sono fondamentali per il proprio business, e i criminali lo sanno perfettamente.
Spesso la consapevolezza della potenzialità dei danni conseguente alla repentina crescita del ransomware, la si acquisisce in un momento successivo, a fatti avvenuti:
- Quando non si riesce più ad accedere ai propri dati o applicazioni;
- Quando i processi produttivi e distributivi si interrompono e si è già nelle mani del criminale che chiede un riscatto;
- Quando improvvisamente decadono le certezze relative anche al backup dei dati (di cui è comunque assolutamente fondamentale disporre sempre) molto spesso oggetto dell’attività inibitoria del ransomware oppure della “panacea” universale del cloud.
In situazioni sempre più numerose ambienti informatici ibridi, con server on premise e nel cloud – dove però il servizio provvisionato ha spesso registrato solamente funzionalità di servizio e di contratto relative all’uso dell’infrastruttura (Infrastructure as a Services) – hanno subìto la propagazione e la crescita del ransomware.
Non aiuta, inoltre, la mancanza di separazione tra le attività IT e quelle che devono essere focalizzate sulla gestione cyber, come spesso avviene nelle aziende di più piccole dimensioni dove invece è necessaria una specializzazione verticale senza compromessi.
Efficacia di reazione e trasparenza di analisi possono rappresentare un ulteriore limite, situazione però superabile laddove vi è una proattiva collaborazione tra IT e cyber che può risultare vincente congiuntamente alla terzietà e all’investimento di tempo, competenza e focalizzazione di ruolo che solo un Security Provider può assicurare.
Una sola cura: la soluzione risiede nell’attività preventiva per limitare il rischio dell’attacco attraverso vulnerability assessment e azioni combinate per l’innalzamento della consapevolezza da parte di tutti gli utenti, la disponibilità di tecnologie innovative di Threat Intelligence e di “deception” operate dagli specialisti di Security Operation Center con modalità di monitoraggio continuativo e proattivo, la disponibilità di competenze specialistiche di “pronto intervento” post evento per una rapida ed efficace mitigazione del danno e una successiva normalizzazione.
di Marco Bavazzano, Amministratore Delegato di Axitea
