Leaderboards
Leaderboards
Direttore responsabile Raffaella Zelia Ruscitto
Skyscraper 1
Skyscraper 1
Skyscraper 2
Skyscraper 2

Un attacco ransomware non è questione di “se” ma di “quando“

di Michele Pinassi*

“Sprigionare l’atomo non ha creato un nuovo problema. Ha semplicemente reso più urgente la necessità di risolverne uno (Albert Einstein)

SIENA. Non è un caso se il ransomware è stato definito “il flagello digitale di questi anni”: il settore del cybercrime, capeggiato dallo strumento del riscatto digitale, è in vetta alle classifiche degli attacchi ai danni delle infrastrutture informatiche.

Abbiamo parlato spesso del ransomware e delle vittime cadute nelle grinfie delle ransomware gang, che si arricchiscono grazie all’incasso dei riscatti e alla compravendita delle informazioni esfiltrate alle vittime.

È una realtà, quella del ransomware, dinamica e in continuo mutamento, che si contraddistingue per lo spiccato senso commerciale dei cybercriminali, continuamente alla ricerca di nuove vittime e strategie per colpirne i sistemi.

Si va dalle classiche campagne di pesca attraverso la diffusione di malware, soprattutto via mail con allegati malevoli (dropper), che con l’offerta di laute ricompense a dipendenti disposti a vendere le proprie credenziali per l’accesso alle reti aziendali. Il tutto passando per il RAAS, Ransomware As A Service, che punta più a offrire il servizio (e gli strumenti) sia a sporcarsi le mani con l’attacco vero e proprio.

Quotidianamente nuove vittime dei ransomware (in testa alle classifiche, Conti e Lockbit) si trovano a dover affrontare le conseguenze di attacchi ai loro sistemi, attraverso un impegno sia tecnico che comunicativo: non c’è solo il ripristino dell’operatività e il recupero dei dati ma anche, e questo è forse l’elemento più complesso da gestire, la diffusione dei dati esfiltrati.

Vediamo in dettaglio i 5 aspetti più preoccupanti di un attacco ransomware.

1) Interruzione della continuità operativa

La frequente cifratura dei dati, al termine delle operazioni di esfiltrazione o, comunque, come fase conclusiva dell’attacco, compromette in modo più o meno completo la continuità operativa del business.

Che sia una azienda, con un blocco alle linee di produzione, o una società di servizi, con l’impossibilità di erogare prestazioni ai clienti, o una pubblica amministrazione, la fase finale di un attacco ransomware è il momento più critico che la vittima si trova ad affrontare.

La velocità con cui si riesce a ristabilire l’operatività dipende almeno dall’efficacia dei piani di business impact analysis (BIA), di risk management (RM) e disaster recovery (DR): non solo deve esserci un backup, ma i dati devono essere integri e accessibili (capita, purtroppo, di scoprire troppo tardi che un backup è corrotto e i dati non recuperabili). Inoltre, è fortemente consigliato il ripristino totale e completo dei sistemi, poiché non è inusuale che possano essere impiantate backdoor su server e client.

Non esistono soluzioni adatte per tutti: i piani di disaster recovery vanno progettati, realizzati e periodicamente verificati, secondo le caratteristiche del contesto operativo. I parametri di riferimento per un recupero completo sono:

  • RTO (recovery time objective) – periodo di tempo dopo un incidente, entro cui deve essere ripristinato un prodotto, un servizio o un’attività o entro cui le risorse devono essere recuperate, ossia qual è il tempo desiderato di ripristino;
  • RPO (recovery point objective) – il punto in cui i dati utilizzati da un’attività devono essere ripristinati per consentire all’attività di operare sul recupero, ossia qual è l’intervallo di tempo massimo dall’ultima copia dei dati valida (back-up);

che, ovviamente, comportano vi sia stata una preparazione preliminare per essere in grado di reagire in modo adeguato in seguito a un incidente.

Non avere una strategia di backup valida e adeguata può comportare il fallimento dell’intero piano di recupero: per questo la messa in sicurezza periodica dei dati deve essere un elemento fondamentale e imprescindibile di ogni azienda e istituzione.

2) Perdita di esclusività per le informazioni confidenziali

L’esfiltrazione dei dati aziendali o istituzionali rappresenta un elemento critico da tenere seriamente in considerazione. Una delle leve più efficaci che il cybercrimine ha nei confronti delle vittime è proprio la compravendita o, peggio, la divulgazione pubblica dei preziosi dati aziendali, tra cui si possono trovare piani strategici, report finanziari, dati personali particolari (perso alle realtà sanitarie e ospedaliere), credenziali per l’accesso ad altri servizi e molto altro.

Anche questa imbarazzante situazione può essere minimizzata attraverso una gestione attenta dei dati aziendali, ricorrendo alla cifratura degli stessi con algoritmi sicuri e gestione attenta delle credenziali: lo stesso Regolamento Europeo 2016/679 “GDPR” sottolinea l’importanza della cifratura dei dati per ridurre gli effetti di un data breach.

Chiaramente, cifrare i documenti e conservare le password in un file “password.doc” non ha molto senso.

È fortemente consigliabile l’uso di un password manager, anche centralizzato (es. PassBolt), così che sia possibile controllare sia l’accesso alle credenziali da parte dei collaboratori che la sicurezza delle stesse attraverso algoritmi di cifratura sicuri.

3) Compromissione dei sistemi informatici

Già accennata al punto 1, quando si subisce un attacco ai propri sistemi è difficile capire se c’è stata una compromissione degli stessi oppure no, e a quale livello.

Per sicurezza, si assume che tutti i sistemi siano stati compromessi e, quindi, sia necessario un totale ripristino degli stessi, spesso da zero. Anche il recupero da un backup non garantisce che lo stesso non possa essere già stato, all’epoca della realizzazione, violato e quindi consentire agli attaccanti di beneficiare di qualche backdoor per l’accesso ai sistemi della vittima.

In questi casi è consigliabile cercare un buon compromesso tra ciò che si riesce a recuperare e le esigenze di ripristino dell’operatività, concentrandosi sulla verifica attenta e puntuale del traffico, sia in entrata che in uscita, per individuare eventuali backdoor e reverse shell.

4) Danno reputazionale

Secondo alcune fonti, ovviamente non ufficialiuna cospicua fetta delle vittime paga i cybercriminali anche per evitare il danno reputazionale dovuto alla pubblicazione, sul sito web delle ransomware gang, della propria azienda.

Il danno reputazionale, difficile da quantificare e forse proprio per questo il più preoccupante, può danneggiare così tanto una azienda da causarne il fallimento (alcune stime, sempre non ufficiali, parlano di un 60% d’imprese costrette a chiudere in seguito a un attacco ransomware).

In questo caso la capacità di saper comunicare correttamente l’incidente assume un ruolo centrale nella gestione dello stesso: minimizzare, nascondere o ignorare rischia di essere un pericoloso boomerang, danneggiando ancor più l’azienda di quanto lo sarebbe stata con una comunicazione precisa, puntuale e realistica.

Deve essere chiaro, infatti, che è diventato ormai impossibile nascondere un incidente del genere, se non cedendo (e non sempre è comunque sufficiente) al costoso ricatto dei cybercriminali, rischiando però –in questo caso– di incappare in qualche problemino con la Giustizia.

Negli ultimi anni abbiamo visto aziende uscirne bene, “reputazionalmente parlando“, e altre molto male: in caso di attacco ai propri sistemi, con la potenziale compromissione dei dati personali e riservati anche dei clienti e dei partner commerciali, la fiducia di una azienda dipende anche da come l’incidente viene adeguatamente “minimizzato“, compresa la strategia di comunicazione agli interessanti.

5) Perdita di confidenzialità dei dati

L’art. 32 “Sicurezza del trattamento” del GDPR è un importante cambio di paradigma nell’intero scenario di gestione delle informazioni: la normativa europea, infatti, ribalta sul Titolare dei dati l’onere di proteggerli adeguatamente, mettendo “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio“.

È poi nei successivi articoli, 33 “Notifica di una violazione dei dati personali all’autorità di controllo” e 34 “Comunicazione di una violazione dei dati personali all’interessato“, che la normativa definisce le modalità di comunicazione di una violazione sia all’autorità di controllo che, se opportuno, agli interessati. Soprattutto se la violazione “è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche“.

La stima e la gestione del rischio, sia in ambito cyber che privacy, sono oggetto di numerose pubblicazioni e guide, rappresentando elementi importanti per definire le strategie di sicurezza all’interno di un ecosistema. All’interno del Regolamento Europeo, ad esempio, per i trattamenti critici è necessaria la redazione di una DPIA (Data Protection Impact Assesment) che definisca sia il livello di rischio che le misure di sicurezza e protezione adottate o previste.

Sulla gestione del rischio consiglio la recente pubblicazione del CLUSIT “Rischio digitale Innovazione e Resilienza”.

Conclusioni

Non è facile riuscire a riepilogare argomento così densi di contenuti come questi 5 punti, relativi non solo agli attacchi ransomware ma comuni (in tutto o in parte) a gran parte degli incidenti informatici.

È difficile comprendere correttamente l’argomento, e quindi averne una corretta percezione, per chi non è un “addetto ai lavori”: non è un mistero se anche il 1° rapporto Censis -DeepCyber “Il valore della Cybersecurity, presentato in pompa magna direttamente dalle stanze del Senato della Repubblica Italiana, punta il dito sulla necessità di far comprendere i temi di sicurezza cyber a chiunque abbia a che fare, sia per svago che per lavoro, con un sistema informatico. Che oggi, banalmente, è anche il semplice smartphone da poche decine di euro che teniamo in tasca.

*www.zerozone.it

[banner_mobile]
Are you looking for Krnl this is best Roblox executor this is one of the finest roblox executor.
Download Rapid Streamz for Android, this app will help you stream over 800+ TV channels! Watch free Live TV on Android using the best live tv app for Android. Rapid Streamz application is specially designed for those people who want to enjoy their favorite television shows and movies on the go.
Are you looking for Openiv which is one of the best modding toolset for the PC Versions of GTA 5, GTA 4, Episodes From Liberty City (EFLC) and Max Payne 3, etc. Latest version of the app supports Red Dead Redemption 2 as well. The toolset allows the users to view and alter the game files.
This is CodeX Executor which is a potent application designed to empower Roblox players by allowing them to run scripts within popular Roblox games such as Blox Fruits, Pet Simulator X, Project Slayers, Murder Mystery 2, Adopt Me, Arsenal, and many more.
Enhance your Roblox experience with BTRoblox which is extension that aims to enhance Roblox's website by modifying the look and adding to the core website functionality by adding a plethora of new features.
Winlator is a powerful tool that allows you to run Windows applications and games on your Android device. With Winlator, you can enjoy your favorite PC games on the go, all without the need for a high-end gaming PC. This opens up a whole new world of gaming possibilities, as you can now play your favorite titles anywhere and anytime.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
Sportsfire is a free live-streaming application that focuses on sporting events and is available for installation on Firestick, Fire TV Cube, Fire TV, and Android TV/Google TV Boxes.
You can download the latest version of Sportzfy TV Apk from our website. We offer a safe and secure download link that ensures you get the latest version of the app without any hassle.
In the age of digital streaming, inat tv Inat TV APK is one of the most video streaming free application. Finding a reliable and feature-rich application to access your favorite TV shows, movies, and live channels has become crucial.
Krira TV is a free sports streaming app that allows fans around the world to watch their favorite sports events in HD quality.
Experience endless entertainment with blink streamz the top Free Live TV App for Android, offering free live sports streaming and more. Enjoy a vast selection of TV channels on your Android device.
krnl
cinema hd
beetv
inat tv
spotiflyer
aniyomi
saikou
scipt hook v
fluxus executor
flix vision
egg ns
fs23 mods
strato emulator
gacha nebula