Governance, Security
Pagare o non pagare: questo è il dilemma del lock(Bit)-in dei dati
Il concludersi del 2022 ha portato con sè, inevitabilmente, quello che è il bilancio complessivo degli attacchi ramsomware messi a segno durante l’anno: si calcola, difatti, che siano stati estorti all’incirca 456,8 milioni di dollari nell’intero 2022. Un dato che, se rapportato alla cifra record di 765 milioni di dollari registratasi nei due anni precedenti, punterebbe nettamente ad un calo di circa il 40%, facendo ben sperare. Ad analizzare i dati di una tendenza che sembrerebbe essere quindi incoraggiante, è stata, fra le altre, la Chainalysis -società statunitense di analisi della blockchain- che attribuisce il drastico calo dei profitti dei ransomware non tanto ad un minor numero di attacchi, quanto più alla ferma risoluzione delle vittime di non pagare quanto preteso dagli attori malevoli. Ed il cambiamento di tendenza sembrerebbe dipendere, principalmente, da tre fattori diversi e correlati fra di loro:
- Le vittime hanno una consapevolezza maggiore che non sempre pagare equivalga a riavere indietro, integri, i propri dati
- I danni reputazionali derivanti da attacchi ransomware sembrano essere mitigati grazie ad una percezione pubblica che negli anni diventa sempre più matura e clemente
- Grazie anche agli standard per la sicurezza che gli enti governativi, e persino le agenzie assicurative per la copertura in caso di ransomware, consigliano e richiedono di implementare, le organizzazioni sono in grado di adottare strategie di risposta e back up sempre più efficaci
E ancora di più a conferma dell’analisi di bilancio annuale vi è la consapevolezza di quanto il 2022 sia stato, in realtà, proprio uno degli anni più attivi per quanto riguarda l’attività dei ransomware: sono stati difatti migliaia i ceppi di malware per la crittografia dei file che hanno colpito le organizzazioni delle più disparate dimensioni; ma, probabilmente grazie proprio alla registrata diminuzione dei profitti, la durata media di un attacco ransomware è scesa a “soli” 70 giorni nel 2022, rispetto ai 153 del 2021. Il 2022 è stato segnato anche dalla fine dell’operazione Conti e dall’emergere di nuove attività di Ransomware-as-a-Service (RaaS) quali, ad esempio, Royal, Play e BlackBasta, mentre gli operatori di ransomware quali LockBit, Hive, Cuba, BlackCat e Ragnar hanno mantenuto un flusso di attacco relativamente costante ed efficiente durante tutto il 2022. È difatti di solo pochi giorni fa la notizia che vede la Royal Mail -servizio poste inglesi parte del gruppo di consegna International Distribution Services, valutato 2,2 miliardi di sterline alla borsa di Londra- alle prese con le conseguenze di un attacco ransomware rivendicato proprio da LockBit. Il gruppo aveva già colpito la City, nell’ottobre 2022, attaccando la Kingfisher Insurance, ma Royal Mail detiene oggi il triste primato d’essere fra i target LockBit maggiori: buona parte dell’infrastruttura è stata infatti impossibilitata ad inviare qualsivoglia tipologia di posta al di fuori delle isole britanniche, ed in un post pubblicato su un forum privato LockBit tiene a far sapere che l’autore dell’attacco sia uno dei membri d’élite della top ten LockBit, specializzato proprio nel decriptare e successivamente cancellare i dati rubati previa riscossione del riscatto. E benché Royal Mail debba ancora confermare ufficialmente che sia stato LockBit a violarne le difese informatiche, crittografando e tenendo in riscatto i propri dati, l’amministratore delegato della Royal Mail Simon Thompson ha comunque dichiarato ai parlamentari inglesi che “Discutere di qualsiasi dettaglio […] sarebbe in realtà dannoso”. Ma LockBit parrebbe aver lanciato una vera e propria campagna d’attacco estremo, nell’ultimo anno, grazie proprio allo scioglimento di bande rivali e al lancio di una nuova versione del loro malware (LockBit 3.0) in grado di automatizzare i compiti più elementari. Ma le strategie ‘di mercato’ di LockBit sono andate anche oltre: hanno lanciato vere e proprie promozioni di marketing (1.000 dollari per chiunque si fosse fatto tatuare il nome del gruppo in bella vista), ed hanno fornito alle vittime, potenziali e non, anche una sorta di vademecum sul come difendersi (ad esempio, investendo il 10% del proprio budget nella sicurezza informatica o il consiglio di applicare i patch aggiornati ed incaricare agenti esterni per testare i punti deboli della propria organizzazione). Ci si ritrova quindi di fronte a quella che è una lucida, ancorché diabolica, efficienza del gruppo in grado di creare scompiglio in tutto il mondo: de facto, secondo la società di sicurezza israeliana CyberInt, LockBit ha rappresentato poco più di un quarto di tutti gli attacchi ransomware resi noti nel 2022. Shmuel Gihon, ricercatore per las sicurezza di CyberInt che ha seguito da vicino il gruppo, ha fatto presagire quanto il gruppo sia pronto oramai a conquistare sempre più potere, affermando che “LockBit sa gestirsi molto meglio di tante aziende legittime, sono professionali, curano le loro pubbliche relazioni, si concentrano sul loro prodotto, sul loro business, e si tengono lontani dalla politica. […] Si stanno presentando come un’organizzazione che non può essere ignorata, di questo passo saranno ovunque e non c’è molto che si possa fare”. E la forza di LockBit è proprio il modello di “Ransomware as a Service”, che consente loro di affittare il suo malware e fornire in seguito assistenza tecnica ad “affiliati” remoti che penetreranno poi le reti dell’obiettivo installando il malware LockBit. Solo a quel punto i membri più esperti ed anziani del gruppo entrano in gioco, infiltrandosi nelle aree più sicure della rete delle vittime, individuandone i file più cruciali da crittografare per poi portare a termine le fasi di negoziazione vera e propria del ransomware. Il tutto, va da sé, previa commissione, spesso anche cospicua e che si stima aggirarsi fino al 20% del valore complessivo del riscatto. Dunque, a meno che la Royal Mail non decida di sfuggire alla statistica del 2022 e paghi il riscatto, si prospettano settimane, se non mesi, di disagi, ha dichiarato Hanah Darley, responsabile della ricerca sulle minacce di Darktrace. “In situazioni come questa -prosegue Darley- il recupero dall’attacco richiede, nel “migliore dei casi”, giorni o settimane e, nel peggiore dei casi, settimane e mesi. […] È come un effetto a catena: gli effetti reali si scopriranno solo nel tempo”. Dal canto suo, l’amministratore delegato della Royal Mail, Simon Thompson, ha invece dichiarato nei giorni scorsi in Parlamento che sono molte le soluzioni al vaglio volte a ripristinare i servizi.
Concludiamo dunque con una doverosa riflessione che tiri un po’ le somme del 2022 e possa fornire una prospettiva per il 2023: sebbene sembrerebbe che le vittime gestiscano gli attacchi ransomware in modo diverso rispetto a due anni fa e sì, oramai siamo persino stanchi di sentirne parlare, ma il ransomware rimarrà in cima alla lista dei rischi per le organizzazioni ancora a lungo. Nel 2023 è probabile che assisteremo a un maggior numero di intrusioni condotte da aggressori non organizzati e da Stati non nazionali, con l’obiettivo di rafforzare il proprio “marchio”. In Europa, il numero di vittime di ransomware è in aumento e, se tale aumento continuerà, nel 2023 l’Europa diventerà probabilmente la regione più bersagliata rispetto agli Stati Uniti, dove i responsabili politici e le forze dell’ordine stanno promuovendo un ambiente più sicuro. Gli Stati Uniti stanno attualmente facendo di più rispetto all’Europa, poiché sono fortemente concentrati sull’applicazione della sicurezza attraverso la valutazione proattiva delle infrastrutture critiche nazionali da parte di 5 diverse agenzie governative. L’Europa comunque sta finalmente allineandosi, con nuove normative (DORA e NIS2) a sostegno delle infrastrutture e delle aziende. Anche l’uso di piattaforme Ransomware-as-a-service che mirano all’esfiltrazione dei dati è destinato ad aumentare a causa della loro maggiore disponibilità, facilità d’uso e maggiori profitti per gli aggressori. L’esfiltrazione dei dati come parte di un attacco ransomware che si concentra sull’esfiltrazione dei dati offre agli aggressori l’opportunità di moltiplicare i loro guadagni finanziari non solo basandosi sul pagamento del riscatto, ma anche vendendo i dati.