Collaborazione e/è difesa. Ransomware, un problema collettivo

Ransomware

Si riconferma in prima posizione, la minaccia informatica più temuta attualmente dalle aziende. Il ransomware si evolve continuamente per tipologia di vittime scelte, modalità d’azione e metodi di riscatto.

Ciononostante, per semplicità di attuazione e per via dei redditizi risultati, rimane il malware più utilizzato.

Vista la sua rapida diffusione in tutti i settori merceologici, la portata del problema è ormai diventata collettiva.

Vediamo quali sono le sue dinamiche e come è possibile difendersi.

La dinamica di un attacco Ransomware

Come funziona il ransomware?

• Il criminale entra all’interno del sistema informatico della vittima, sfruttando vulnerabilità infrastrutturali, umane e fisiche.

• Esegue dei Movimenti Laterali spostandosi all’interno dell’infrastruttura aziendale, di fornitori, partner e clienti estendendo l’attacco a tutta la Supply Chain (Ecosistema Aziendale) alla ricerca di dati critici e dei relativi back up.

• Terminata la fase di studio, mentre si trasferisce una copia dei dati della vittima, cifra gli originali. Successivamente chiede un riscatto prima di rilasciare la chiave di decrittazione per liberare il sistema. Ultimamente, si è diffusa la pratica della Double Extortion: nel caso in cui la vittima non accetti di pagare il riscatto, il criminale inizia a pubblicare i dati sul Dark Web, continuando a minacciarne l’intera pubblicazione.

Ogni giorno vengono pubblicate nuove statistiche su attacchi di tipo ransomware. Talvolta risultano incongruenti: non esiste una fonte ufficiale, ma dati ricavati da diverse fonti.

In generale, i dati pubblici risultano parziali, in quanto, la maggior parte degli attacchi non vengono denunciati dalle vittime, per questioni quali Privacy e Brand Reputation.

Quali conseguenze di un attacco ransomware?

Le conseguenze legate agli attacchi di tipo ransomware possono essere:​

Blocco della produzione o di altre attività operative​

• Dopo due anni di chiusure forzate dovute allo stato di emergenza sanitaria, le imprese hanno il terrore di subire ulteriori sospensioni delle attività per via di incidenti informatici. Eventuali danni potrebbero comprendere: ritardi nelle consegne o consegne mancate, blocco dei sistemi di prenotazione e assistenza online, malfunzionamento di portali per i servizi pubblici online, ecc.

Danni reputazionali

• Ogni azienda, al giorno d’oggi, mette al primo posto fra le priorità di business la difesa e la cura della propria reputazione. Ogni impresa è cosciente non solo del danno che eventuali incidenti possano rappresentare a livello di perdita economica, ma soprattutto consapevole della percezione pubblica (a livello mediatico locale e nazionale) e al danno d’immagine che questi eventi possono avere per il brand.

Perdita finanziaria

• Oltre al pagamento del riscatto in sé, la perdita economica riguarda soprattutto investimenti per la parte di ripristino dei dati, dei sistemi tecnologici e delle applicazioni. A questo si aggiunge la perdita di produttività.

Perdita produzione​

• Il tempo necessario per completare il ripristino delle attività, può determinare un fermo di produzione impedendo all’azienda, ai suoi dipendenti e fornitori di lavorare. Può altresì creare dei costi aggiuntivi e disservizi per il mancato rispetto dei tempi di consegna.

Costi legali e ICT​

• I team tecnici impiegano mesi per indagare, identificare e contenere un attacco per un solo incidente informatico. A questo si aggiungono i costi per notificare un data breach ed eventuali spese legali da sostenere.

Perdita di dati​

• Furti di cartelle cliniche, furti d’identità, furti di credenziali di accesso ad account bancari, furti di dati aziendali. Sono solo alcuni esempi di dati che possono essere esfiltrati.

Violazione GDPR

• L’azienda che ha subito l’attacco, deve notificare la violazione al Garante per la protezione dei dati personali. Quest’ultimo può, in caso di mancata notifica sanzionare l’azienda. Bisogna inoltre comunicare la violazione a tutti i diretti interessati, titolari di quei dati, utilizzando i canali più idonei ed efficaci.

Possibili Soluzioni

Servizi per l’azienda:

• Assessment Continuativo
• Attività di Threat Intelligence
• Monitoraggio delle Vulnerabilità
• Anomaly Behavior Monitoring
• Sviluppo di un Incident Response Plan

• Simulazioni di Attacco Ransomware

Soluzioni tecnologiche:

• Autenticazione a due fattori
• Segmentazione della rete, per cui il superamento di una parte del sistema da parte di un attaccante, non rende tutti i dati immediatamente disponibili
• Backup regolari consentono ad un’azienda di ripristinare la normalità in breve tempo

Soluzioni per le persone:

• Percorsi di Security Awareness
• Intraprendere percorsi di Trasformazione Culturale