Evoluzione del cyber crime in danno alle aziende italiane

Evoluzione del cyber crime in danno alle aziende italiane

Evoluzione del cyber crime in danno alle aziende italiane

Petya e Wannacry sono solo alcuni dei recenti attacchi globali di malware in grado di mettere in ginocchio aziende importanti, evidenziandone le lacune in termini di gestione della sicurezza informatica e le numerose vulnerabilità presenti nei sistemi. Quali sono gli sbagli che commettono oggi le aziende colpite da ransomware? Cosa imparare da queste esperienze? Ne abbiamo parlato con Davide Gabrini, collaboratore del Laboratorio di Informatica Forense dell’Università degli Studi di Pavia, afferente al Laboratorio Nazionale di Cyber Security.

TIG. L’Italia è a livello internazionale uno tra i Paesi che ha subito, negli ultimi anni, il maggior numero di attacchi cyber: ad esempio, siamo i terzi nella classifica globale delle vittime di ransomware, dopo Stati Uniti e Giappone. Come lo spieghi?

Davide Gabrini. Sono almeno vent’anni che ripetiamo le stesse cose: in Italia si osserva una preoccupante assenza di sensibilità alla sicurezza informatica, riscontrabile negli investimenti tristemente irrisori che vengono destinati alla cybersecurity, il che ci rende molto più esposti di quanto dovremmo. Negli ultimi mesi abbiamo assistito alla diffusione di alcuni ransomware a velocità impressionante, nonostante fossero disponibili da mesi le patch di sicurezza che avrebbero impedito o quantomeno fortemente mitigato i danni: un segnale di un preoccupante e generale lassismo nel settore. Questo avviene nonostante si osservino ormai da anni perdite economiche consistenti e in crescita accelerata. I ransomware stanno colpendo trasversalmente e indiscriminatamente tutte le categorie, dalla grande organizzazione, all’industria manifatturiera, al piccolo studio professionale, ai singoli individui: eppure nonostante questo il pericolo non viene preso sufficientemente sul serio.

TIG. Come reagisce chi viene infettato?

Davide Gabrini. Se non altro, non può ignorare il problema: se un tempo prevalevano gli attacchi informatici più occulti, che venivano rilevati con mesi di ritardo o addirittura mai, oggi il ransomware si palesa immediatamente per chiedere il riscatto. Si tratterebbe di una minaccia relativamente semplice da debellare: basterebbe rimuovere il malware, o alla peggio reinstallare i sistemi colpiti, e ripristinare i backup. Una procedura non esente da costi, ma che comunque consentirebbe di risolvere il problema con danni contenuti. Ma avere una politica efficiente di backup e ripristino rientra in quegli investimenti preventivi che vengono spesso ignorati, al punto che la vittima preferisce pagare il riscatto, illudendosi con questo di aver risolto un problema che invece permane tal quale a prima. Soprattutto, non ci si rende conto che così facendo si finanzia la criminalità organizzata e la si incentiva ad investire maggiormente nel mercato dei ransomware. Un mercato talmente proficuo che i criminali mettono addirittura a disposizione delle vittime un supporto tecnico, con tanto di assistenza personalizzata, per aiutare “il cliente” a pagare il riscatto e a recuperare i suoi dati, dando a tutto il fenomeno un assurdo aspetto di normalità: è paradossale vedere delle vittime insensatamente rassicurate dalla presenza di questi help desk in grado di “risolvere” il problema che hanno essi stessi causato!

TIG. Qual è l’importo tipico del riscatto?

Davide Gabrini. Il valore dell’importo richiesto per riottenere i dati è variabile: si aggira sovente intorno ai 300 euro, ma si vedono anche richieste da 5-6.000 euro (il valore espresso in euro è variabile anche perché il riscatto è quasi sempre richiesto in Bitcoin ed è quindi soggetto alle fluttuazione della criptovaluta). In alcuni casi riportati dalla stampa si sono raggiunte cifre record: in Corea del Sud il web hosting Nayana, secondo quanto dichiarato dall’AD dell’azienda, avrebbe versato addirittura l’equivalente di un milione di dollari: l’attacco aveva coinvolto 150 server consentendo ai criminali di accedere ad un’ingente quantità di dati dei clienti. Alcuni attacchi ransomware più sofisticati infatti variano l’importo da pagare anche in ragione della vittima colpita: in questo modo, i profitti dei criminali sono ottimizzati perché il riscatto è proporzionato al valore degli asset compromessi e alle effettive possibilità di spesa della vittima.

TIG. Cosa insegnano queste esperienze a chi le ha subite?

Davide Gabrini. Il più delle volte, purtroppo, niente! Molti, anche se la cosa dà fastidio, finiscono con il pagare come se avessero preso una multa all’autovelox per eccesso di velocità! Poi la vulnerabilità rimane e i backup non si fanno. Il messaggio che sta passando con il ransomware purtroppo è quello che vogliono i criminali: basta pagare e i dati tornano. La cultura che si sta creando intorno al tema è molto sbagliata: proporre il pagamento del riscatto come metodo di risoluzione del problema è eticamente inaccettabile, e i tecnici che lo suggeriscono e si incaricano addirittura della mediazione non si rendono conto che stanno commettendo il reato di favoreggiamento, adoperandosi nell’interesse dei criminali affinché possano riscuotere i loro profitti illeciti. Qualche testata giornalistica si è spinta persino a definire “eroi” i dipendenti di un Comune che si sono autotassati per pagare un riscatto, senza rilevare che questi “eroi” hanno remunerato la criminalità organizzata e incentivato il proliferare di nuove attività delittuose.

TIG. Business Email Compromise: come avviene questo tipo di attacco?

Davide Gabrini. Ci sono diversi metodi e differenti strategie di attacco per compromettere la sicurezza di un account e-mail aziendale, o anche solo di account aziendali sui social network. In generale lo scopo degli attaccanti è ottenere accesso alla corrispondenza dell’azienda, meglio se di un impiegato che tratta direttamente i pagamenti o addirittura di un dirigente, per prendere cognizione delle comunicazioni e ricostruire così una mappatura precisa di clienti, partner e fornitori dell’azienda. A un certo punto, l’attaccante può decidere di falsificare in modo molto credibile una comunicazione, o alterarne una effettivamente in corso, per richiedere un pagamento indebito o dirottare un transazione in corso sostituendosi ad uno o addirittura ad entrambi gli interlocutori.

TIG. Ci sono dei segnali che permettono di scoprire, intercettare una truffa di questo tipo?

Davide Gabrini. Ci si dovrebbe insospettire di stranezze improvvise, come errori di italiano incongrui da parte di chi scrive la mail o richieste inattese di variazione dei consueti dati di pagamento: un nuovo codice IBAN, un diverso istituto di credito d’appoggio, una diversa ragione sociale ecc. Simili richieste potrebbero far parte di un attacco di social engineering, ovvero essere parte di una truffa sofisticata attuabile appunto dopo aver preso cognizione delle normali procedure di gestione dei pagamenti al fine di inserirsi illecitamente nel processo nella maniera meno evidente e più rassicurante possibile. In presenza di sospetto sarebbe opportuno svolgere, prima di dare disposizioni, una o più verifiche, utilizzando preferibilmente un canale alternativo rispetto alla mail, ad esempio chiamando il destinatario sul telefono. Non è difficile immaginare una contromisura in caso di sospetto: il difficile è istruire i dipendenti affinché quel sospetto possa nascere quando serve.

TIG. In generale, nel caso in cui un’azienda si rivolga alle Forze dell’ordine per un furto di dati o un incidente informatico, come dovrebbe regolarsi per facilitare le successive indagini?

Davide Gabrini. Tanto le aziende quanto i singoli privati possono essere di grande aiuto per l’avvio delle indagini, perché in qualità di titolari dei sistemi o dei dati hanno un potere investigativo che, nelle prime fasi, supera di gran lunga quello delle Forze dell’Ordine: possono avere ad esempio disponibilità immediata di informazioni a cui gli investigatori potrebbero accedere soltanto esibendo ai provider un ordine della magistratura o addirittura, se prevista, una rogatoria internazionale – con i tempi, i costi e le difficoltà che la cosa comporterebbe. Quando invece le vittime di reato sono in grado di fornire, già in sede di querela e opportunamente preservate, tutte le informazioni a loro accessibili e utili a circostanziare i fatti, la tempestività dell’indagine è di gran lunga agevolata. Sarebbe quindi raccomandabile dotarsi di una procedura interna di incident response che includa anche precise istruzioni sui dati disponibili, sulle modalità di raccolta e conservazione e sulle figure di riferimento per la trattazione, valutazione e trasmissione delle informazioni all’Autorità Giudiziaria.

UN’INTERVISTA di Elena Vaciago, Associate Research Manager di The Innovation Group, a:

davide gabrini

DAVIDE GABRINI, collaboratore del Laboratorio di Informatica Forense dell’Università degli Studi di Pavia, afferente al Laboratorio Nazionale di Cyber Security.