Autore: Javier Modúbar, CEO di Ingecom
Ogni giorno leggiamo notizie relative a nuovi attacchi sia agli enti pubblici che alle aziende private. Recentemente i media hanno fatto eco ad attacchi rilevanti come Colonial Pipeline, Ireland'Health Service Executive (HSE) e altri. Infatti, dal 2019 più di 2.100 aziende in tutto il mondo hanno riferito di aver subito attacchi ransomware da più di 33 gruppi organizzati di criminali informatici come Wirad Spider, Maze, DoppelPaymer, DarkSide, Sodinokibi (Revil), Avaddon, RansomEXX, DarkTracer, DoppelPaymer o Babuk.
Il problema non si limita a paesi specifici ma si estende a tutto il mondo, al punto che deve essere affrontato a livello generale; al giorno d'oggi, è impossibile per uno stato, un ente o un'azienda combattere il crimine informatico da soli, poiché ci troviamo in una guerra asimmetrica nella quale gli hacker sono un passo avanti; potremmo dire, seguendo la similitudine bellica, che il combattimento si sta svolgendo su un campo di battaglia diverso da quelli precedentemente conosciuti. D'altra parte, gli attacchi informatici sono uno dei business più redditizi di oggi e hanno portato le mafie a convertirsi da altre attività criminali a questa, soprattutto perché dà loro una sicurezza che altre attività non hanno fornito loro a causa di molteplici fattori.
Il primo motivo è la facilità di spostare i proventi del crimine informatico in modo anonimo e il fatto che, attraverso le criptovalute, sia anche veloce e sicuro, con richieste di riscatto che hanno raggiunto diversi milioni di dollari. La possibilità di effettuare attacchi anche da paesi nei quali la sicurezza legale o il perseguimento di questo tipo di crimine è inesistente o molto lassista, è un secondo fattore da prendere in considerazione. Ci sono anche stati che approfittano di questo tipo di bande criminali per attaccare gli interessi economici di territori rivali per scopi geopolitici, al punto che alcuni degli hacker sono sostenuti da fondi governativi e il loro interesse non è tanto economico quanto politico, al fine di indebolire l'economia di un paese vicino attaccando le sue aziende.
Un terzo motivo è che la cooperazione tra gli stati per combattere questo tipo di criminali non è ancora abbastanza forte a livello globale, dato che ci sono molti ostacoli da superare: da un lato, molte volte questo tipo di crimine è spesso perseguito in modo tollerante; ci sono casi in cui i gli hacker che realizzano questo tipo di attacco possono trovarsi in un paese terzo, diverso da quello dove si trova l'infrastruttura. Inoltre, il crimine informatico è stato così perfezionato che il criminale spesso non è il proprietario del software ma lo usa come servizio. Questo significa che se è già difficile combatterlo in un paese, è molto più complesso cercare di fermarlo avendo a che fare con diverse legislazioni e interessi politici totalmente diversi.
In quarto luogo, bisogna notare che il crimine informatico funziona con una struttura piramidale, dove la persona che genera il ransomware lo fornisce in modalità RaaS (Ransomware as a Service) ad altri gruppi criminali o a persone che effettuano attacchi al bersaglio o alla vittima e, successivamente il guadagno viene distribuito tra i diversi attori, con tutti i benefici e, naturalmente, l'anonimato della Darknet. Questo processo ricorda molto i film di Ocean's Eleven, dove diversi protagonisti si riuniscono per commettere la truffa e poi, una volta ottenuto il profitto, se lo dividono e si separano fino al prossimo colpo.
Avendo definito alcuni dei punti che spiegano perché il cybercrime sta vivendo il suo momento d'oro, dobbiamo guardare a cosa possiamo fare per cercare di combatterlo in un panorama che sta chiaramente evolvendo versio una trasformazione digitale a 360 gradi. Dobbiamo fare i conti con un "Cyber Wild West" che è già presente in mezzo a noi.
La prima cosa da tenere a mente è che esiste un nuovo scenario, la Darknet, nel quale i criminali informatici si muovono agevolmente. Questo significa che deve essere rafforzata la Targeted Threat Intelligence, cioè la cyber-intelligence da parte degli organi competenti, così come dalle aziende specializzate che collaborano sia con le aziende private che con gli enti pubblici. Dobbiamo individuare gli hacker - che siano un gruppo o un singolo - prima che si compia un attacco, perchè prevenire è meglio che curare. Deve esserci una cooperazione tra pubblico e privato da parte di quei paesi che vogliono veramente combattere questo tipo di problematica. Tuttavia, è risaputo che alcuni stati non lo faranno, perché è nel loro interesse che questo tipo di criminalità informatica esista.
In secondo luogo, dobbiamo pensare che ogni attacco inizia dall'anello più debole della catena, che è l'essere umano. Su Internet ci sono attualmente abbastanza informazioni su ogni persona per sfruttare questa debolezza attraverso l'ingegneria sociale, il che significa che rendere le persone consapevoli dei mezzi che possono nascondere un virus (applicazioni, e-mail, navigazione web, ecc.), impedirà molti potenziali attacchi; naturalmente è necessario anche che le aziende implementino misure di sicurezza e si focalizzino sull’approccio ZeroTrust, soprattuto nella società di oggi nella quale si è diffusio il lavoro da remoto.
Un terzo passaggio è anche quello di analizzare da dove si sta ottenendo il maggior profitto nel crimine informatico. Probabilmente questo concide con la crittografia dei dati ransomware, dove viene richiesto un riscatto per avere la chiave di decrittazione o, in alternativa, se il riscatto non viene pagato, la minaccia è quella che la vittima veda pubblicati i propri dati privati su forum pubblici per causare danni reputazionali o economici.
Pertanto, oggi migliorare le tecniche di crittografia per la documentazione sensibile di un'organizzazione dovrebbe essere una priorità, così da rendere il più difficile possibile per il criminale ottenere l'accesso a ciò che sta cercando. Non dimentichiamoci infatti che questo è un business e gli hacker non vogliono perdere tempo a rubare informazioni da un sito molto difficile da intaccare.
Il 7 maggio 2021 è una data che molti cyber criminali non dimenticheranno facilmente. Quel giorno un attacco ransomware si è verificato ai danni di Colonial Pipeline, una società americana che distribuisce petrolio lungo la costa orientale degli Stati Uniti, trasportando due milioni e mezzo di barili al giorno e fornisce il 45% dell'olio combustibile consumato sulla costa orientale del paese.
L'impatto di questo attacco è stato tale che una parte dei sistemi aziendali ha dovuto essere spenta per evitare la diffusione del ransomware. Questo ha portato a una situazione di inattività prolungata e alla dichiarazione di uno stato di emergenza in 18 stati americani. L’incidente ha generato una pressione politica sui paesi dove sono presenti reti di ransomware, per prendere misure necessarie a chiudere queste infrastrutture e cercare di fermare i criminali informatici.
L’Fbi ha identificato come autore dell’attacco il gruppo ransomware DarkSide, che ha iniziato le proprie operazioni a metà agosto 2020 e fornisce Ransomware as a Service. Lo stesso è stato responsabile lo scorso anno anche di attacchi ad aziende come Companhia Paranaense de Energia (Copel) in Brasile, il fornitore MSP statunitense Compucom e la società canadese Discount Car and Truck Rentals.
L’impegno per combattere il crimine informatico ha fatto sì che il gruppo DarkSide abbia perso l'accesso ad alcune delle sue infrastrutture come il blog, i server di pubblicazione dei dati, i gateway di pagamento e i suoi server di replicazione, grazie all’azione della polizia che ha fatto chiudere il servizio RaaS ai suoi collaboratori.
Questo episodio è un esempio che ci dà un'idea di come combattere questa nuova generazione di attacchi, dove è necessario che ci sia un reale coinvolgimento di tutti i paesi, soprattutto per applicare una cyberintelligence preventiva.
Quindi, oltre alle tradizionali misure di sicurezza che ogni azienda dovrebbe implementare in termini di tecnologia IT/IoT/OT, è importante concentrarsi sull'investimento basato su due pilastri: nelle persone e nelle informazioni aziendali, che sono il patrimonio più prezioso di qualsiasi azienda. In questo modo possiamo ostacolare le azioni dei cyber criminali e allo stesso tempo aumentare la cyberintelligenza per cercare di sapere in anticipo se ci sia qualche pericolo all’orizzonte.