- Home
- Cybersecurity
- Cybersecurity Month
- Ransomware - Cos’è, cosa rischiamo, come ci difendiamo
Ransomware - Cos’è, cosa rischiamo, come ci difendiamo
| Michele Pinassi | cybersecurity month 2021
Gli ultimi mesi hanno portato prepotentemente all’attenzione del grande pubblico il flagello digitale dei ransomware.
Dalla grande eco mediatica scatenata dall’attacco alla Regione Lazio, con pesanti conseguenze per molto servizi, tra cui la campagna vaccinale, non ancora placata, ecco che pochi giorni fa un’altra importante realtà sanitaria come l’Ospedale San Giovanni Addolorata di Roma si è trovata con i servizi ICT bloccati: oltre 300 server e 1500 postazioni fuori uso, con ripercussioni importanti sui servizi offerti dal nosocomio romano [1].
Questi sono solamente due dei tantissimi episodi che da qualche anno stanno flagellando le reti informatiche di tutto il mondo, Italia compresa. Nel nostro Paese, ottavo al mondo nella classifica dei più colpiti [2], le stime del Rapporto Clusit di marzo 2021 [3] evidenziano un forte aumento degli attacchi verso realtà del settore sanitario (complice la pandemia Covid-19) e pubblico, con un incremento degno di nota (dal 20% del 2020 al 29% del 2021) di quelli a scopo estorsivo, utilizzando malware di tipo ransomware (da “ransom”, riscatto).
Gli attacchi dei ransomware alle reti informatiche hanno generalmente un forte impatto sull’operatività delle stesse, causato dall’indisponibilità dei dati e minando, quindi, la business continuity, con conseguenti danni economici e reputazionali. Le stime dicono che per ogni dollaro investito in cybersecurity, i danni degli attacchi costano 7 volte tanto [4].
Nei casi peggiori, il ransomware procede anche all’esfiltrazione delle informazioni (inviando copia dei dati alla gang criminale che lo controlla). In questi casi parliamo di “double estortion” (doppia estorsione), chiedendo il riscatto per ottenere la chiave di decrittazione dei dati cifrati e un ulteriore riscatto per impedire la pubblicazione dei dati rubati sul web (dove possono esserci documenti, fatture commerciali, materiale riservato….).
Questi attacchi vengono perpetrati attraverso le classiche 5 fasi: individuazione dell’obiettivo, intrusione (exploitation), studio del network aziendale/movimenti laterali, accesso ai dati, attacco. Spesso le vittime si accorgono di essere state attaccate solo all’ultima fase, quando il malware procede alla cifratura dei dati bloccando l’operatività, come un ladro che prima si introduce negli archivi e copia tutti i documenti presenti, per poi renderli tutti illeggibili.
Sono state migliaia le realtà italiane, grandi e piccole, colpite (ricordiamo, a titolo di esempio, Campari [5], Luxottica [6], Accenture [7] ma anche alcuni comuni del Nord Italia [8] ). Attacchi condotti sia con la modalità “a strascico” sia mirati, sfruttando le vulnerabilità degli obiettivi per conquistare l’accesso alle loro reti interne.
Come fanno i criminali a entrare nelle reti dei loro bersagli?
Le tecniche per conquistare l’accesso alle reti istituzionali e aziendali sfruttano due macro categorie: vulnerabilità tecnologiche e quelle umane. Le vulnerabilità tecnologiche sono tutte le falle esistenti nei sistemi informatici, sia di frontiera (come firewall, router, server pubblici, VPN…) sia interni (ad esempio, vulnerabilità note in alcuni browser o sistemi operativi sfruttabili attraverso pagine web malevole), spesso lasciate aperte a causa di scarsa manutenzione nei sistemi stessi (pensiamo, ad esempio, che ancora oggi in Italia vi sono circa 900 realtà con apparati VPN potenzialmente compromessi [9], la cui patch è disponibile da 2 anni). Le vulnerabilità umane sono quelle che, sfruttando tecniche di social engineering (ingegneria sociale), riescono a far eseguire azioni malevole alle incaute vittime: rientrano in questa categoria il phishing e lo smishing (attraverso cui si sottraggono le credenziali di accesso), l’uso di software compromessi (come software illegale scaricato da Internet o contenuti in chiavette USB di dubbia origine) e il malware generico (es. documenti contenenti macro malevole o virus).
Le università e gli enti di ricerca, per la loro stessa natura, hanno un utilizzo particolarmente dinamico delle risorse di rete, con nuovi dispositivi connessi ogni giorno per scopi didattici o di ricerca e dati relativi a ricerche scientifiche, didattica, studenti e personale. Rappresentano quindi un potenziale bersaglio per queste “gang” di cybercriminali: ricorderete, ad esempio, il blocco alle attività didattiche dell’Ateneo Tor Vergata di Roma [10] un anno fa, dove a finire irrimediabilmente cifrati furono anche materiali relativi a ricerche e terapie per la cura del Covid19.
Diventa pertanto essenziale la formazione, continua nel tempo, di tutto il personale che lavora con gli strumenti informatici, assicurandoci nel contempo che tutti i dispositivi siano protetti con politiche di gestione degli accessi, IPS/IDS, firewall e antivirus aggiornati e correttamente funzionanti, in particolare per quelle realtà che consentono ai dipendenti e studenti l’uso dei propri dispositivi (BYOD - Bring your own devices). Fondamentale adottare anche strategie di backup e disaster recovery per i dati: procedure chiare, consolidate e verificate periodicamente, rispettando la goldenrule “3-2-1” (3 copie in 2 luoghi differenti di cui 1 delocalizzato), sono essenziali per mitigare l’impatto di un attacco ransomware e garantire la business continuity.
Importante anche l’identificazione di figure interne di riferimento per supportare l’adozione delle procedure tecniche e organizzative per migliorare la sicurezza delle infrastrutture telematiche (tra cui le “Misure minime di sicurezza ICT per le PA” [11] ) e la gestione degli incidenti, data breach inclusi, come richiesto dalla normativa e dal Regolamento Europeo per la Protezione dei Dati Personali 2016/679 “GDPR”.
Realtà come il PCI, attraverso il DSS, o il NIST -National Institute of Standard and Technology- hanno elaborato framework capaci di guidare nell’adozione di politiche e strategie per la protezione delle reti e dei servizi (sul tema, è stato appena pubblicata la bozza “NISTIR 8374” relativa al “Cybersecurity Framework Profile for Ransomware Risk Management” [12] ) ed è importante sottolineare come la cybersecurity comprenda sia soluzioni tecnologiche che, soprattutto, protocolli e policy capaci di instaurare cambiamenti culturali e metodologici improntati alla sicurezza dei dati e delle infrastrutture.
Un percorso sicuramente non facile: secondo i dati riportati dall’ENISA nel suo report [13] relativo agli investimenti per conseguire gli obiettivi della direttiva europea sulla protezione cyber “NIS” 2016/1148, i Paesi membri dell’EU investono attualmente troppo poco nella protezione dei dati e delle infrastrutture. Tuttavia le recenti novità normative [14], tra cui la costituzione di una Agenzia nazionale per la cybersicurezza, lasciano ben sperare per il prossimo futuro. Soprattutto perché i cambiamenti culturali e metodologici necessari per una “cultura della sicurezza”, in cui il fattore umano riveste un ruolo essenziale, hanno bisogno di essere adeguatamente sostenuti da strategie e budget adeguati.
Michele Pinassi, nato e cresciuto a Siena, è Responsabile della Cybersecurity dell'Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche relative alla privacy e diritti civili digitali, attraverso il suo blog www.zerozone.it e il progetto cittadinomedio.online, cerca di sensibilizzare i cittadini su queste tematiche. Ha inoltre collaborato con entusiasmo alla realizzazione del progetto GARRLab per la disseminazione, all’interno della comunità GARR, di progetti e soluzioni open-source.
Riferimenti
- [1] Attacco ransomware all’ospedale San Giovanni di Roma: danni all’operatività, Corriere Comunicazioni
- [2] Securing the Pandemic-Disrupted Workplace, Trend Micro, 2020
- [3] Rapporto Clusit, Marzo 2021
- [4] Rapporto Clusit, Marzo 2021
- [5] Un attacco ransomware ha messo ko Campari, Wired, Novembre 2020
- [6] Come si reagisce a un attacco ransomware: il caso Luxottica, HWG
- [7] Another big company hit by a ransomware attack, CNN, Agosto 2021
- [8] Cybercrime, i Comuni del Nord Italia nel mirino del ransomware DoppelPaymer, Difesa e Sicurezza, Aprile 2021
- [9] Tens of Thousands of Unpatched Fortinet VPNs Hacked via Old Security Flaw, SecurtyWeek, Settembre 2021
- [10] Tor Vergata: attacco ransomware contro l’Università colpisce le ricerche sul Covid e blocca la didattica a distanza, Settembre 2020
- [11] Misure minime di sicurezza ICT per le PA, AgID
- [12] Cybersecurity Framework Profile for Ransomware Risk Management, NIST, Settembre 2021
- [13] NIS Investments Report, ENISA, Dicembre 2020
- [14] DL 82/2021 “ Disposizioni urgenti in materia di cybersicurezza, definizione dell'architettura nazionale di cybersicurezza e istituzione dell'Agenzia per la cybersicurezza nazionale”
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Articoli nella rubrica
-
di Damiano Verzulli
-
di Tommaso Rescio
-
di Pier Luca Montessoro
-
di Simona Venuti
-
di Silvia Arezzini
-
di Andrea Pinzani
-
di Leonardo Lanzi
-
di Maria Sole Scollo
-
di Salvatore Todaro
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009