Il crimine informatico esiste fin dagli anni ’80 e da allora il settore della sicurezza informatica cerca di combattere le minacce informatiche. Negli ultimi cinque anni la situazione è notevolmente peggiorata: solo nell’ultimo anno il 90% delle organizzazioni è stato colpito da ransomware. Il ransomware non è altro che una forma più “commerciale” di malware. Questi attacchi continuando ad avere successo e le aziende continuano a finanziare il crimine pagando le richieste di riscatto. Con l’aumento degli attacchi a settori come le infrastrutture critiche e l’assistenza sanitaria, il problema è diventato sempre più grande. Le nuove tecnologie hanno fornito agli hacker la perfetta auto di fuga per i loro crimini.
Le criptovalute come il bitcoin, e la tecnologia blockchain che le protegge, forniscono un metodo affidabile e quasi irrintracciabile per estorcere denaro. Questo ha trasformato i gruppi di criminali informatici in macchine per fare soldi, in imprese a tutti gli effetti. Il termine “banda” nasconde quanto possano essere sofisticate queste organizzazioni: alcuni documenti trapelati a inizio anno hanno mostrato come Conti, uno dei gruppi di ransomware più noti del pianeta, abbia un dipartimento delle risorse umane, valutazioni delle prestazioni e persino un dipendente del mese. Ma come siamo arrivati a questo punto, quali sono le implicazioni al di là del mondo aziendale e cosa devono fare le organizzazioni per interrompere il ciclo estorsione-finanziamento? Ce lo spiega Edwin Weijdema, Global Technologist, Veeam.
Amazon Music: 3 mesi gratuiti senza obbligo di abbonamento
Amazon Prime: 30 giorni gratis, Prova subito!
Cedere alle richieste di denaro significa finanziare il crimine
Al di là del danno finanziario e reputazionale causato dagli attacchi ransomware, c’è un quadro più ampio da considerare. La criminalità informatica è un’industria: comprende specialisti esperti e fornitori dedicati di strumenti e servizi, e si è persino modernizzata al punto che i prodotti RaaS (Ransomware-as-a-Service) possono essere acquistati in abbonamento. Come ogni industria, ha bisogno di profitti per crescere, espandersi e svilupparsi. Pagare le richieste di Ransomware aggiunge benzina al fuoco e non sono solo le aziende a essere coinvolte nelle fiamme.
Governi, ospedali e infrastrutture critiche come trasporti e scuole sono sempre più spesso vittime di attacchi ransomware. Solo il mese scorso il governo statunitense ha riunito oltre 30 Paesi per affrontare i continui attacchi ransomware alle infrastrutture critiche. Non si tratta solo di attacchi informatici da parte di Stati nazionali, ma degli stessi criminali informatici che attaccano le aziende. Due bande affiliate a Conti, il gruppo già citato, hanno attaccato settori di infrastrutture critiche in Europa, tra cui l’energia e i prodotti farmaceutici.
- Sbaraglia, Giorgio (Autore)
Anche se molti gruppi affermano di non prendere di mira le infrastrutture critiche per motivi etici o per paura di ripercussioni diplomatiche, il ransomware è indiscriminato: i metodi utilizzati possono essere di vasta portata e i servizi pubblici possono facilmente esserne coinvolti. In effetti, il volume e la gravità degli attacchi ransomware stanno raggiungendo un punto di crisi. Poiché colpiscono organizzazioni grandi e piccole, pubbliche e private in tutto il mondo, proteggersi e non pagare il riscatto sono passi fondamentali per porre fine alla crisi. È anche giusto affermare che le organizzazioni hanno la responsabilità aziendale di evitare di pagare le richieste di ransomware e di finanziare il crimine informatico. Ma come possono le aziende affrontare questo problema?
Cosa devono fare le aziende?
Le organizzazioni devono proteggersi e contribuire a fermare il flusso di denaro (crittografico) di questa industria criminale. Per prevenire il ransomware è necessaria una combinazione di persone, processi e tecnologia, ed è utile tener presente che il mondo digitale e quello reale non sono poi così diversi. Le finestre aperte devono essere chiuse di notte (sistemi di patch), le doppie serrature sono meglio di una (autenticazione a più fattori), gli oggetti o le informazioni vitali devono essere chiusi in una cassaforte (protezione dei dati) e i maggiori rischi per la sicurezza sono spesso rappresentati dalle persone e dal personale (minacce interne o mancata osservanza dei processi).
Non è però realistico aspettarsi che le aziende riescano a prevenire tutti gli attacchi su larga scala. La responsabilità non è quella di eliminare del tutto gli attacchi ransomware, ma di raggiungere un punto in cui, anche in caso di attacco riuscito, l’azienda si trovi in una posizione tale da non dover pagare le richieste. Si può dire “no” al ransomware. Le richieste di ransomware possono essere ignorate quando un’organizzazione dispone di un backup dei dati critici con cui ripristinare il sistema crittografato. I backup però non sono tutti uguali.
I criminali informatici ora prendono attivamente di mira gli archivi di backup. La vecchia regola per i backup prevedeva la conservazione di tre copie dei dati, su due tipi diversi di supporti, di cui una conservata fuori sede: la cosiddetta regola del 3-2-1. Oltre a una copia offsite (quella maggiormente presa di mira), le moderne strategie di backup dovrebbero includere una copia offline, air-gapped (irraggiungibile) o immutabile (non modificabile). Con questi accorgimenti e un solido processo di ripristino (design for recovery), un’azienda può resistere e riprendersi in modo affidabile dagli attacchi ransomware senza nemmeno pensare di pagare un riscatto.
Le organizzazioni posso spezzare questo circolo vizioso
Il ransomware ha democratizzato il furto di dati e ha trasformato la criminalità informatica in un’industria redditizia e in via di sviluppo come non si era mai vista prima. Sebbene non sia responsabilità delle aziende affrontare o risolvere attivamente il problema alla fonte, le imprese hanno il dovere di non alimentare il fuoco nei confronti di altre organizzazioni e infrastrutture critiche in tutto il mondo. Gli enti governativi si stanno adoperando per trovare una soluzione al problema (se è possibile trovarne una), ma le aziende, secondo Edwin Weijdema, Global Technologist, Veeam, devono investire nella prevenzione del ransomware per proteggersi da ingenti danni finanziari e dalla possibilità di finanziare il crimine informatico.
- Sbaraglia, Giorgio (Autore)