Il ransomware resta il protagonista indiscusso delle minacce del 2020. Ne abbiamo avuto un assaggio con il primo trimestre: il coronavirus sta aiutando i criminali informatici a incassare proventi dall'emergenza sanitaria. Gli esperti di sicurezza di Proofpoint hanno tratteggiato lo scenario nel report State of the Phish per il 2020. Emerge che il ransomware è lo scopo ultimo di moltissime azioni.

Nel dettaglio, tra le organizzazioni globali l'88% ha registrato attacchi spear-phishing, l'86% attacchi BEC. L'86% ha rilevato attacchi via social media, l'84% via SMS (smishing) e l'83% tramite voce (vishing). La più bassa (81%) è la percentuale delle aziende che hanno ritrovato pendrive USB pericolosi.

A prescindere dal metodo di attacco, in tutti i casi l'obiettivo di queste azioni era la diffusione di ransomware.

Uno scenario preoccupante

Secondo le stime di Proofpoint, nel 2019 il 65% delle organizzazioni globali ha registrato un’infezione ransomware. Questo porta a un dato che conosciamo già da precedenti rilevazioni: gli attacchi ransomware sono aumentati notevolmente nel 2019. Soprattutto quelli basati sul phishing, che è un fenomeno in forte crescita.

Questo grazie anche alla cosiddetta servitization del dark web, l'evoluzione professionale dei criminali informatici che li ha portati a fare profitti vendendo servizi. In questo caso a formulare offerte RaaS (Ransomware as a Service) di GrandCrab, uno dei peggiori ransomware in circolazione. Basti pensare che, secondo le stime, ha fruttato finora ai cyber criminali oltre due miliardi di dollari di riscatti.

Nonostante i motivi di preoccupazione, il phishing miete ancora molte vittime. Secondo Luca Maiocchi, Country Manager di Proofpoint, il motivo è "una sorprendente mancanza di comprensione. Sia su come difendersi da un attacco, sia su cosa fare quando si verifica".

È per questo che Maiocchi ha proposto delle interessanti riflessioni sulle tattiche di diffusione dei ransomware e sulle conseguenze che comportano.
Luca Maiocchi, Country Manager di Proofpoint

Quanto sappiamo sul ransomware?

Parlando di utenti finali, la risposta a questa domanda è: molto poco. Proofpoint ha intervistato 3.500 lavoratori di sette paesi per sondare le loro conoscenze al riguardo. Solo il 31% ha compreso correttamente la definizione di ransomware. Fra gli intervistati di età compresa fra 18 e 22 anni la percentuale scende al 28%. Nella fascia d'età fra 23 e 38 anni si scende ancora più in basso, al 24%. A risollevare la media ci pensano gli utenti 55enni (43%) e quelli di età compresa fra 39 e 54 anni (33%).

La prima riflessione è che è fallita la missione di educare alla comprensione delle minacce informatiche più comuni e alle tecniche di difesa da adottare. Questo è un fatto grave, perché a pensarci bene la sicurezza aziendale dipende dalle decisioni prese dai singoli utenti. Le imprese si equipaggiano con le più avanzate soluzioni per la sicurezza informatica. Ma spesso sono gli utenti l'ultima linea di difesa tra un tentato attacco ransomware e un’infezione ransomware riuscita.

Il fatto che molti non abbiano familiarità con questa minaccia fa riflettere. La formazione e l'istruzione del personale dovrebbero essere attività regolari ed estese da parte del team di sicurezza. Nulla dovrebbe essere dato per scontato. Il ransomware non è una minaccia esordiente, dovrebbe essere un argomento già trattato più e più volte.

Pagare o non pagare?

Purtroppo la mancanza di conoscenza del ransomware si riflette su quello che accade quando un attacco va a buon fine. Spesso in azienda si crea una grande confusione nel momento in cui bisognerebbe tenere i nervi saldi.

La responsabilità è in parte di Governi e le forze dell'ordine, che talvolta danno consigli contrastanti. Il punto di partenza è che la decisione sul da farsi spetta alla vittima, che quindi sarà combattuta se pagare il riscatto o meno. La National Crime Agency (NCA) inglese incoraggia a non pagare il riscatto. Lo stesso fa ufficialmente l’FBI. Tuttavia, Maiocchi rivela che "nel corso di un recente Cyber Security Summit, l'agente speciale Joseph Bonavolonta, ha rivelato che l'FBI in alcuni casi ha consigliato alle organizzazioni di pagare, nella convinzione che i cybercriminali non avrebbero messo a repentaglio un modello di business redditizio imbrogliando le vittime una volta pagato il riscatto".

Gli esperti di sicurezza sconsigliano sempre il pagamento del riscatto. Perché non è una garanzia che i cyber criminali forniranno le chiavi per decifrare i dati e tornarne in possesso. E perché pagando si andrebbero ad alimentare ulteriormente le attività criminali, foraggiando un circolo vizioso senza fine.

Ci sono molti casi di aziende, comuni e istituzioni che hanno preferito pagare il riscatto per una soluzione rapida ed efficace. Con fortune alterne. Dai dati Proofpoint risulta che il 33 percento delle organizzazioni infettate da ransomware ha pagato un riscatto. Il 69% ha riacquistato l'accesso ai dati e ai sistemi dopo il pagamento. Di quelle rimanenti, il 22% non ha riacquistato l'accesso ai dati, il 7% è stato bersagliato da richieste di riscatto aggiuntive e non ha riacquistato comunque l'accesso. Il 2% ha pagato ulteriori riscatti prima di riottenere l'accesso ai dati e ai sistemi.
C'è chi reputa che la scelta di pagare o meno il riscatto sia una mera decisione di business. Sicuramente qualsiasi decisione dev'essere presa dopo aver soppesato ogni possibile opzione e formulato un'attenta e accurata valutazione del rischio. La decisione è quanto più complicata tanto più l'azienda coinvolta si occupa di servizi critici.

La prevenzione deve prevalere

Le tecniche d'attacco sono note e collaudate. Lo sono altrettanto le difese. La differenza fra una difesa efficace e una solo parzialmente efficace è l'implementazione. Le protezioni per la sicurezza devono essere ampie e profonde. Devono tenere conto di tutte le potenziali vulnerabilità e devono includere le tecnologie più recenti, come Intelligenza Artificiale, machine learning, sandboxing, rilevamento di anomalie.

Tutti gli aggiornamenti di cyber sicurezza sul coronavirus sono raccolti nello speciale Coronavirus e sicurezza: proteggersi dal contagio digitale

Una protezione cybersecurity ampia e profonda è vitale. E inizia dalla formazione del personale di ogni livello. L'obiettivo è costruire una cultura che tenga sempre in primo piano la sicurezza informatica. Una cultura che va oltre la definizione di malware e la capacità di individuare un attacco. È la comprensione dei motivi scatenanti di un attacco, la consapevolezza di cosa fare in caso di attacco. E soprattutto di come il proprio comportamento possa influire o meno sul suo successo.

Sul fronte dei riscatti la decisione è sempre complessa. La strada migliore è la valutazione caso per caso, ma non da soli. Occorre il supporto di professionisti della cybersecurity.