Cybersicurezza: Massiccio attacco hacker in corso

In questo momento - spiega l’Agenzia per la Cybersicurezza Nazionale - sono qualche migliaio i server compromessi in tutto il mondo. Questa mattina si è svolto un vertice a Palazzo Chigi per fare un primo bilancio dei danni provocati dagli attacchi.

Un "massiccio attacco tramite un ransomware già in circolazione" è stato rilevato dal Computer security incident response team Italia dell'Agenzia per la cybersicurezza nazionale. I tecnici dell'Acn hanno già censito "diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi”.

L'attacco ha preso di mira i server VMware ESXi. La vulnerabilità sfruttata dagli attaccanti è già stata corretta nel passato dal produttore, ma, evidenzia Acn - l’Agenzia per la Cybersicurezza Nazionale - "non tutti coloro che usano i sistemi attualmente interessati l'hanno risolta" e i server presi di mira, se privi delle correzioni adeguate, "possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend". I primi ad accorgersi dell'attacco sono stati i francesi, probabilmente per via dell'ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese. Successivamente l'ondata di attacchi si è sposta su altri paesi tra cui l'Italia. In questo momento sono qualche migliaio i server compromessi in tutto il mondo, dai paesi europei come Francia - paese più colpito - Finlandia e Italia, fino al Nord America, Canada e Stati Uniti.  In Italia sono decine le realtà che hanno riscontrato l'attività malevola nei loro confronti ma - secondo gli analisti - sono destinate ad aumentare. Lo sfruttamento della vulnerabilità, spiega ancora l'Agenzia, "consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione".

COS’E’ IL RANSOMWARE

Il ransomware è un tipo di programma che, una volta installato in un sistema, lo rende inaccessibile al legittimo proprietario. Per potervi riaccedere, chi subisce un attacco deve pagare agli hacker un riscatto (ransom, in inglese). Il ransomware è un attacco informatico piuttosto comune: ogni anno ne vengono segnalati centinaia in Italia e colpiscono prevalentemente aziende oppure strutture pubbliche come gli ospedali.

I ransomware permettono di rubare dati alla vittima con l’obiettivo di ottenere un riscatto (ransom, in inglese). Questo genere di attacchi esiste da molto tempo, ma il loro numero è in crescita da anni, e ha interessato istituzioni nazionali, amministrazioni locali, ospedali, università, grandi società private, piccole imprese, ma anche singole persone, le quali spesso sono meno in grado di difendersi.

Data la loro efficacia e la difficoltà delle autorità nel trovarne e punirne gli autori, stanno aumentando sia la loro frequenza sia la loro portata, tanto che la protezione da questi attacchi è diventata una priorità per i governi di tutto il mondo. La loro diffusione, inoltre, ha fatto nascere due ricche industrie: quella dei ricatti informatici e quella di chi assiste le vittime.

Come è strutturata l’industria dei ricatti informatici.

Quella dei ricatti informatici è un’industria piuttosto ricca, che genera circa 20 miliardi di dollari in riscatti l’anno, secondo la società di sicurezza informatica Emsisoft. Stando alla stessa fonte, il riscatto medio si aggira attorno ai 154 mila dollari. Questo potrebbe essere un segno del fatto che gli estorsori tendono sempre più a ricattare istituzioni e società di grandi dimensioni, per le quali la perdita o diffusione dei dati genererebbe danni ingenti (anche di reputazione), e che possono permettersi di pagare riscatti più alti per ripristinare la normalità.

Come riporta il Financial Times, l’industria è dominata a livello mondiale da poco più di una ventina di organizzazioni. Alcune di queste si specializzano nel primo stadio della filiera, occupandosi solo dello sviluppo del ransomware e delegando ad altri le operazioni di infiltrazione nei sistemi delle vittime e di estorsione. In altre parole, agiscono da fornitori di servizi per conto di altri criminali. Questo tipo di servizio si chiama Raas (Ransomware-as-a-service) e funziona in maniera simile a un qualsiasi altro servizio di software in abbonamento: le organizzazioni che sviluppano il software lo affittano ad altri criminali, chiamati affiliati, i quali possono così usare il ransomware noleggiato per ricattare chiunque riescano, cedendo in cambio una porzione dei loro profitti all’organizzazione che ha sviluppato il software.

Questi, oltre a noleggiare il proprio ransomware agli affiliati, offre loro supporto in chat in tempo reale e aggiornamenti del software. Inoltre, praticano offerte per attrarre nuovi affiliati a cui lasciano tra il 75 e il 90 per cento dei profitti.

I vari modi usati per estorcere denaro

Una volta introdottosi in un sistema e installato il ransomware, ogni ricattatore ha poi diversi modi per ottenere denaro dall’operazione. Prima di tutto, può chiedere un riscatto alla vittima per restituirle accesso ai dati criptati. Poi, dato che il ricattatore spesso copia i dati su server esterni a quelli della società prima di criptarli, può minacciare di diffonderli in cambio di altri soldi. Questa viene chiamata in gergo double extortion, doppia estorsione.

Ovviamente, anche nel caso che la vittima paghi il riscatto, non avrà mai la certezza che i suoi dati vengano cancellati dal server usato dal ricattatore, il quale anzi può guadagnare altri soldi rivendendoli a qualcun altro, indipendentemente dal fatto che la vittima abbia pagato il riscatto. Stessa cosa può essere fatta con le credenziali d’accesso a un sistema: l’hacker che sia entrato in possesso delle credenziali dell’amministratore di sistema può rivenderle ad altri una volta usate per i propri scopi.

Questo è uno dei motivi per cui tante istituzioni, consigliano di non pagare il riscatto: spesso non assicura nulla, mentre incentiva l’aumento del fenomeno. In generale, le vittime che decidono di pagare sono circa il 27 per cento del totale secondo Emsisoft.

L’industria di chi aiuta le vittime

Il fenomeno crescente degli attacchi ransomware ha fatto sì che nel tempo prendesse forma un’altra industria: quella delle società specializzate nell’assistenza ai ricattati. Imprese come Coveware aiutano le vittime nella negoziazione con gli estorsori e nel pagamento dei riscatti (operazione che ha un certo grado di complessità per chi non ha dimestichezza con le transazioni in criptovaluta), oltre a fornire strumenti e assistenza per tentare di ripristinare i dati.

Quest’industria non è vista di buon grado da diverse autorità, perché c’è chi sostiene che non faccia altro che alimentare il fenomeno, così come lo alimenterebbero le polizze assicurative sugli attacchi ransomware.

COSA ASPETTARCI DAL 2023

Ci sono infauste previsioni per il 2023, sul fronte della cyber security.
Il ransomware diventerà più cattivo che mai nel 2023 e potrà colpire tutti. Il phishing sarà più sofisticato, anche grazie ai nuovi strumenti di intelligenza artificiale. E mirerà anche ad aggirare i sistemi di doppia autenticazione.
Si creerà una voragine tra le aziende attente alla cyber in grado di formare bene i dipendenti e dotarsi di tecnologie adeguate e le altre, che diventeranno facile preda dei cyber criminali sempre più assetati di soldi (e dati personali), anche per colpa della probabile recessione economia che colpirà tutti.
Pesa la minaccia geopolitica, dove tanti cybercriminali filo-russi lavoreranno a braccetto con gli attivisti filo russi per danneggiare l’Occidente. Ma pesa anche la crisi economica, che spingerà diverse persone con competenze tecniche, soprattutto nei Paesi poveri, a fare soldi sulla via del cyber crime. Del resto in questa fase anche i profili tecnici e di aziende tecnologiche possono subire licenziamenti e riduzione di salari, come si è visto negli ultimi mesi.
Tuttavia, le organizzazioni più grandi nelle regioni fortemente colpite durante il boom del ransomware sono le più preparate per questa ondata, dopo aver investito tempo e denaro. Una nota positiva è che lo zero trust si è trasformato da un concetto nuovo a una best practice.

Ovvero tutti gli utenti, le app e i dispositivi che richiedono l’accesso sono considerati non autorizzati fino a prova contraria.
Secondo Ibm, chi ha fatto così ha risparmiato in media un milione di dollari rispetto a chi non l’ha fatto, in danni da attacchi cyber.
Tuttavia gli esperti notano anche che quest’architettura è complessa da adottare.
Di nuovo, ci sarà una grossa differenza tra chi è più preparato e tutti gli altri. I criminali mireranno a questi ultimi.

Fonte: Il Sole 24Ore

06/02/2023