ll ransomware sembra spesso un problema insormontabile che ci affliggerà per sempre, ma dati recenti suggeriscono che stiamo finalmente facendo progressi. La chiave per risolvere i problemi più difficili è comprendere le dimensioni e la portata delle minacce, analizzarne il funzionamento interno ed elaborare mezzi strategici per affrontare le cause alla radice. Abbiamo bisogno di curare il disturbo tanto quanto abbiamo bisogno di medicine per curare i sintomi.
Stabilire un rapporto di fiducia
Valutare dimensioni e portata è più difficile di quanto sembri. Per anni, la comunità IT ha ostracizzato le vittime per le loro “mancanze” che hanno portato alla compromissione, incolpando le persone di aver fatto clic su qualcosa, di aver collegato unità USB (o floppy!) o di essere troppo occupate per aver notato un rilascio di patch di allerta da parte di un fornitore strategico, che richiedeva un’azione immediata. Tutte queste cose hanno portato al “victim shaming” (vergogna delle vittime) e alla conseguente sotto-segnalazione dei crimini informatici.
Inoltre, molte aziende non vogliono che il pubblico ludibrio trascini a fondo la loro reputazione o il loro valore azionario – più persone sono a conoscenza del vostro stato di vittima, più è probabile che subirete ulteriori danni oltre al crimine stesso. Naturalmente, c’è anche una sana dose di fatalismo: perché preoccuparsi di denunciare questi crimini? Tanto la polizia non può aiutarci, i criminali sono in Stati nemici intoccabili, e così via.
Le ultime linee guida della SEC (Securities and Exchange Commission) e le imminenti norme CIRCIA (Cyber Incident Reporting for Critical Infrastructure Act) della CISA (Cybersecurity and Infrastructure Security Agency) hanno cercato di colmare questa mancanza di visibilità. È probabile che questo abbia aumentato il numero di organizzazioni statunitensi disposte a chiedere aiuto attraverso una normalizzazione della segnalazione degli incidenti.
I dati più recenti emersi da un sondaggio commissionato da Sophos e analizzati nel report “The State of Ransomware 2024” mostrano che abbiamo fatto progressi significativi su questo fronte. Il 98% delle organizzazioni statunitensi (n=496) vittime di un attacco ransomware ha segnalato l’attacco alle forze dell’ordine o alle autorità governative. Ancora meglio, il 65% di coloro che hanno contattato le autorità ha ricevuto assistenza per indagare sull’attacco, il 63% ha ricevuto consigli e un terzo ha ricevuto supporto per recuperare i dati cifrati o rubati.
Un piccolo numero, l’11%, ha riferito che è stato molto difficile fare rapporto e confrontarsi con le forze dell’ordine. Di solito ciò è dovuto al caos e al panico della gestione degli incidenti e alla mancanza di preparazione. Non solo le organizzazioni hanno bisogno di un piano di “incident response” ben collaudato, ma devono anche stabilire un rapporto con la cyber-cavalleria prima del momento di crisi.
Sapere chi contattare in caso di emergenza è il motivo per cui nel 1968 è stato istituito il sistema semplificato 9-1-1 per le emergenze di polizia, mediche e antincendio negli Stati Uniti. Anche se non esiste un numero a tre cifre per chiamare la “cavalleria informatica”, avere il loro nome e il loro numero tra i contatti del telefono e nel piano di risposta agli incidenti può alleviare il carico di lavoro di chi deve intervenire tempestivamente. (In effetti, le migliori pratiche di preparazione agli incidenti vi incoraggiano a familiarizzare con la vostra polizia informatica locale in anticipo, se possibile. Non c’è niente di male a presentarsi o a prendere un caffè prima che tutto vada a rotoli).
Dove stiamo fallendo
Stiamo migliorando la cooperazione e riducendo i tempi di risposta, entrambi progressi eccellenti. È bello sapere che quasi tutti si rivolgono a noi per denunciare questi crimini e che più della metà riceve un beneficio tangibile dal proprio impegno. Il problema è che si tratta solo di curare i sintomi e non di affrontare i problemi più importanti: la prevenzione e la dissuasione.
I dispositivi di rete con vulnerabilità esposte e non patchate non vengono gestiti con sufficiente rapidità, o non lo sono affatto. Nella nostra analisi “Sophos Active Adversary Report for H1 2024” abbiamo rilevato che in quasi un sesto degli incidenti gli aggressori hanno ottenuto l’accesso attraverso vulnerabilità esposte. Molte di queste ultime vulnerabilità avevano patch disponibili da settimane, mesi o anni prima di essere utilizzate per l’attacco.
Nonostante l’autenticazione a più fattori abbia fatto il suo debutto per la maggior parte di noi appartenenti alla comunità della sicurezza negli anni ’90, con i primi brevetti che facevano riferimento alla tecnologia dell’epoca, come i segnalatori acustici bidirezionali, non è ancora ampiamente diffusa nei gateway di accesso remoto delle organizzazioni di piccole e medie dimensioni. In almeno il 56% dei casi analizzati nei dati del rapporto 2023, le credenziali rubate sono state la causa principale della violazione. (Il caso più recente di Change Healthcare, violato da aggressori che si sono introdotti nell’azienda multimiliardaria attraverso un singolo server privo di MFA, ricorda che queste lacune nell’implementazione non sono limitate alle organizzazioni di piccole e medie dimensioni).
Infine, ovviamente non spetta solo a noi alzare il tiro; i sistemi giuridici di tutto il mondo non hanno fatto molti progressi nella prevenzione e nella dissuasione attraverso l’incarcerazione. Sebbene il numero di arresti e di smantellamenti di reti criminali sia aumentato, non si riesce a incidere più di tanto su questo problema da svariati miliardi di dollari. Poiché molti dei responsabili si trovano in Paesi non collaborativi, si tratta di un compito arduo da portare a termine, dato che nella maggior parte dei casi l’incarcerazione non è un’opzione.
Quali sono i prossimi passi da compiere?
La risposta più ovvia è fare ancora di più ciò che funziona e non soffermarsi su ciò che non può essere realizzato. Molti di noi sono felici di vedere le persone che si occupano dell’hacking di ospedali e scuole nella vecchia prigione di ferro, ma questi risultati sono lenti da raggiungere e spesso non sono disponibili a causa di considerazioni geopolitiche.
Ecco una breve tabella di marcia basata sul punto in cui mi sembra che ci troviamo oggi.
– Sfruttare i dati che mostrano gli alti livelli globali di denuncia degli attacchi ransomware da parte delle vittime alle forze dell’ordine, per sostenere la necessità di finanziare agenti di polizia specializzati in ransomware, che possano lavorare per espandere l’azione di disturbo che ha iniziato ad accelerare nel 2023. Ci sono stati alcuni successi importanti come QakBot, ALPHV/BlackCat e LockBit, ma ad oggi sembrano essere stati solo dei rallentamenti. Dobbiamo amplificare queste interruzioni che non solo smantellano gran parte dell’infrastruttura necessaria per condurre con successo questi attacchi, ma minano anche la rete di fiducia tra i criminali stessi. Questo è il nostro strumento offensivo più potente.
– Dobbiamo migliorare le nostre difese, e questo è un compito enorme. Negli Stati Uniti ci sono poco più di 8,1 milioni di organizzazioni e circa 6,8 milioni di esse hanno meno di 500 dipendenti – il contingente di cui abbiamo parlato a lungo nel nostro ultimo Sophos Threat Report. Le organizzazioni con meno di 1.000 dipendenti raramente dispongono di personale dedicato alla sicurezza e di solito hanno uno staff IT ridotto all’osso. Il CISA ha svolto un lavoro fantastico pubblicando elenchi utili di vulnerabilità sfruttate e fornendo altri consigli utili, ma per contare bisogna avere un pubblico che ascolti. La CISA ci sta provando, ma si limita a un piccolo numero di carote e a un altrettanto piccolo bastone per ottenere un cambiamento.
Ci sono due approcci a questo problema, ma entrambi devono essere affrontati come un’iniziativa globale, non solo come un problema degli Stati Uniti. Parte di ciò che dà potere a questi criminali è la scala e l’efficienza con cui operano. Per ottenere una riduzione significativa dell’attività, è necessario ridurre i loro sforzi in tutti i settori. I prodotti devono essere più sicuri da usare senza un intervento costante e le organizzazioni devono adeguare il loro calcolo del rischio per includere la quantità e la qualità dei loro dispositivi e servizi esposti.
– I fornitori di software e di sistemi di rete devono distribuire prodotti più sicuri e rendere l’aggiornamento di questi ultimi sicuro e senza attriti. A tal fine, Sophos si unisce all’invito del CISA ai fornitori di software a firmare un impegno a continuare a sviluppare i nostri prodotti in modo che siano “Secure by Design”. Abbiamo già fatto enormi progressi verso molti degli obiettivi delineati dal “Secure by Design”, ma c’è sempre più lavoro da fare. Come industria, dobbiamo continuare a migliorare non solo la qualità del nostro codice, ma anche l’esperienza di utilizzo dei prodotti in modo sicuro. I sette punti dell’impegno del CISA contribuiranno a colmare le lacune più frequentemente sfruttate in natura e a fornire un’esperienza più sicura a tutti i clienti, anche se non hanno competenze in materia di sicurezza o la capacità di tenere traccia di tutti gli aggiornamenti disponibili per mantenerli al sicuro.
– Una delle cose più importanti che possiamo fare è rendere l’aggiornamento semplice o, meglio ancora, automatico. Come abbiamo visto con le vulnerabilità dei browser e persino con gli aggiornamenti del software dei nostri telefoni cellulari, gli update di sicurezza continui e automatici migliorano drasticamente i risultati in termini di sicurezza per i clienti. Come il vostro browser, i firewall di Sophos utilizzano le correzioni di sicurezza di emergenza per default e sono costantemente monitorati per individuare eventuali intrusioni che potrebbero mettere a rischio gli ambienti dei clienti.
Le aziende devono inoltre assumersi una maggiore responsabilità in merito alle informazioni private che sono state loro affidate e valutare in modo più accurato i rischi per la sicurezza, soprattutto per quanto riguarda le credenziali rubate e le apparecchiature non patchate collegate a Internet. Sul primo fronte, il lavoro costante dei professionisti della privacy ha portato alla ribalta i concetti di responsabili e incaricati del trattamento dei dati – due tipi diversi di custodi dei dati, entrambi con l’esplicita responsabilità di gestire correttamente i file privati. Sul secondo fronte, il CISA ha annunciato un programma beta per le organizzazioni con sede negli Stati Uniti che prevede la scansione delle vulnerabilità presenti nell’elenco delle Known Exploited Vulnerabilities (KEV). Inoltre, i fornitori di servizi di sicurezza offrono servizi simili con funzionalità di ripristino e servizi di rilevamento e risposta gestiti (MDR) per monitorare lo sfruttamento attivo.
Ultimo, ma non meno importante, il nostro vecchio amico: l’abuso di criptovalute. Le azioni in questo caso sembrano essere simili alla situazione dei takedown. Gli Stati Uniti hanno perseguito in modo aggressivo i truffatori di bitcoin e i tumbler, e questo deve continuare ed espandersi fino a diventare uno sforzo internazionale. Grazie al suo flusso di denaro straordinariamente elevato, il bitcoin stesso è l’unico mezzo pratico di raccolta e riciclaggio di grandi somme di “ricchezza” acquisite illecitamente, ma la tracciabilità intrinseca di questa specifica valuta è una caratteristica – se un numero sufficiente di ecosistemi può essere regolamentato in modo significativo. Il persistere di sanzioni, la chiusura di anonimizzatori/tumblers/mixer e l’applicazione aggressiva delle leggi sul know your customer (KYC) applicate a livello globale o almeno quando i pagamenti dei riscatti attraversano le borse di scambio conformi (dato che le bande di ransomware in genere non recuperano i loro riscatti negli Stati Uniti o in Paesi altrettanto accessibili alle forze dell’ordine) contribuiranno a rallentare l’emorragia e ad aumentare il rischio per coloro che considerano questo crimine “sicuro” con un percorso facile per incassare.
Tutt’altro che impotenti
Le ruote della giustizia girano con una lentezza esasperante, ma stanno guadagnando terreno. Mentre continuiamo a formare ed educare i sistemi giudiziari e le forze dell’ordine su questi crimini moderni, dobbiamo continuare ad esercitare pressione su tutti gli aspetti dell’infrastruttura del ransomware: bloccare il denaro; perseguire aggressivamente i responsabili nei luoghi in cui possono esserlo; migliorare la nostra preparazione; minare la rete di fidelizzazione dei criminali; unirsi al di là dei confini internazionali, pubblici e privati.
Non c’è tempo da perdere. Diamoci da fare.