La Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI), la National Security Agency (NSA), l'Australian Cyber Security Centre (ACSC), e il National Cyber Security Centre (NCSC-UK) del Regno Unito hanno emesso un avviso congiunto sull’elevato rischio di sofisticati attacchi ransomware e sui passi che le aziende dovrebbero attuare per mitigare l’impatto di tali incidenti e ridurre il rischio di compromissione.

L’alert rientra nel quadro globale delle attività istituzionali atte a ridurre l’impatto del ransomware, che si sviluppa anche concretamente in azioni giudiziarie contro le persone ritenute responsabili. L’importanza di questo avviso è nella dettagliata descrizione dei comportamenti e tendenze tra i criminali informatici nel 2021 e nell’altrettanto minuziosa descrizione delle misure di mitigazione a cui tutte le aziende sono chiamate ad allinearsi.

Il documento è lungo e articolato, in questa sede ne sintetizziamo i punti salienti, che possono essere approfonditi consultando la versione completa.

Dettagli tecnici

Quanto ai comportamenti e tendenze tra i criminali informatici nel 2021, sono 10 i punti attenzionati. I primi tre riguardano le tecniche di attacco, a partire dall’ottenimento dell'accesso alle reti tramite phishing, credenziali RDP rubate, brute force e sfruttamento delle vulnerabilità.

Elementi ben noti, così come quelli del secondo punto di attenzione: l’utilizzo di servizi di criminalità informatica a noleggio, ossia i famosi ransomware-as-a-service (RaaS), con tutto quello che ne segue. Terzo e ultimo punto, anche questo tristemente noto, è la condivisione delle informazioni sulle vittime, ossia il passaggio di mano delle informazioni rubate fra un gruppo ransomware e l’altro, che si converte in un travaso di dati quando gli operatori di un gruppo che chiude si riciclano in un altro (vedo ad esempio il caso di BlackMatter).

Ci sono poi i target, che contestualizzati in un’attività resiliente e flessibile come quella del cybercrime, si evolvono continuamente. I nuovi target non sono imprevedibili: sono banalmente i trend di mercato. Il cloud, protagonista della trasformazione digitale accelerata dal COVID. Gli MSP, a cui le piccole e medie imprese si sono aggrappate per ottenere risorse e servizi scalabili che altrimenti sarebbero stati inaccessibili per motivi di budget e skill. E poi ancora le supply chain del software e i processi industriali.

Mitigazioni

Passando ai fatti, le autorità hanno sviluppato un vademecum mettendo nero su bianco che cosa fare per ridurre la probabilità e l'impatto di incidenti ransomware. Attenzione: non si tratta di una lista di prodotti da installare, ma di mitigazioni preventive che trovano origine in una corretta gestione dei processi aziendali, che dovrebbe esistere a prescindere dalla minaccia e dall’indice di rischio.

La prima regola è mantenere aggiornati tutti i sistemi operativi e il software. Il documento di CISA, FBI e NSA cita letteralmente: “l'applicazione tempestiva di patch è una delle misure più efficienti ed economiche che un'organizzazione può adottare per ridurre al minimo l'esposizione alle minacce per la sicurezza informatica. È necessario verificare regolarmente la presenza di aggiornamenti software, notifiche di fine vita (EOL) e dare priorità alle patch delle vulnerabilità sfruttate note”.

“Negli ambienti cloud, bisogna assicurarsi che anche le macchine virtuali, le applicazioni serverless e le librerie di terze parti vengano regolarmente patchate, poiché è precisa responsabilità del cliente. Per semplificare questi compiti le aziende sono esortate ad automatizzare la scansione e i test di sicurezza del software e a prendere in considerazione le funzionalità di virtualizzazione disponibili”.

Il secondo monito riguarda l’uso di RPD: se è necessario usarlo, dev’essere protetto, l’accesso dev’essere limitato, le porte inutilizzate di accesso remoto/RDP devono essere disabilitate, e l’accesso dev’essere consentito solo previa autenticazione MFA e mediante VPN. Inoltre, i registri di accesso remoto/RDP devono essere monitorati e gli account devono essere bloccati a seguito di tentativi riconducibili ad attacchi brute force.

Altro baluardo di difesa è la formazione, che deve coinvolgere tutti i dipendenti, insegnando loro quali sono le insidie, qual è la corretta gestione delle password, e le procedure aziendali di gestione delle emergenze informatiche.

Il documento passa infine alle questioni squisitamente tecniche: tenere backup sempre aggiornati sia dei dati on premises che di quelli in cloud, cifrando i dati e conservando le copie offline. Segmentare le reti per prevenire la diffusione del ransomware e limitare il movimento laterale degli attaccanti, attivare la crittografia end-to-end e applicare il principio del privilegio minimo.