800 561720
Il riscatto da 75 milioni di dollari pagato da una società americana al collettivo di cybercriminali denominato “Dark Angels” risolleva il dibattito in merito alla gestione degli attacchi ransomware e, in particolare, alla scelta se pagare o meno il riscatto richiesto. Negli ultimi due anni il passaggio dalla semplice cifratura dei dati alla minaccia dell’esfiltrazione sul web sta costringendo le vittime a cedere alle richieste dei cybercriminali. Secondo il Garante, però, “pagare il riscatto è solo apparentemente la soluzione più facile”. Per difendersi servono misure di data governance, formazione e moderni protocolli di sicurezza.
Dalla cifratura all’esfiltrazione
Gli attacchi ransomware rappresentano una delle minacce piu’ temute per la cybersecurity delle aziende, sia per le conseguenze in termini di continuità operativa (business continuity), sia per il devastante impatto economico. A giocare un ruolo determinante nella resa economica degli attacchi, è stato il passaggio dalla cifratura all’esfiltrazione.
Secondo l’Agenzia dell'Unione europea per la cibersicurezza (ENISA), infatti, negli ultimi due anni abbiamo assistito ad un mutamento nella natura di questi vettori malevoli. Fino al 2022 gli attacchi si basavano sulla tecnica del cripto-blocco dei sistemi, ovvero la stessa tecnica introdotta per la prima volta nel 1989 (per la cronaca, allora il riscatto richiesto per “sbloccare” i files era stato pari a 189 dollari). A partire dal 2023 lo scenario è cambiato. I gruppi di cybercriminali si sono resi conto che i guadagni stavano diminuendo in modo sostanziale, mentre cresceva la riluttanza delle vittime a pagare i riscatti richiesti. Pertanto, hanno iniziato a comparire i primi ransomware basati sulla tecnica dell’estorsione di denaro, dietro minaccia dell’esfiltrazione pubblica dei dati rubati.
La resa economica del ransomware
Proprio il mutato scenario ha elevato nuovamente la resa economica dei ransomware, incentivando ulteriormente il cybercrime.
La tecnica dell’esfiltrazione è molto più efficiente della tecnica del cripto-blocco con cifratura dei dati: molte aziende, in particolare quelle che trattano informazioni di natura più sensibile (ospedali, istituzioni scolastiche, banche, etc.), si sono trovate con le spalle al muro, dinanzi alla scelta, quasi obbligata, di pagare il riscatto. Ma è davvero una scelta obbligata per le vittime?
La metodologia del “Big Game Hunting”: un riscatto da 75 milioni
Secondo l’ultimo rapporto annuale di Zscaler, Inc. , fra le maggiori multinazionali operanti nel settore della cloud security, all’inizio del 2024 una società americana rientrante della c.d. “Fortune 500”, lista pubblicata dalla rivista Fortune che classifica le 500 maggiori imprese societarie statunitensi misurate sulla base del loro fatturato, avrebbe pagato un riscatto pari a 75 milioni di dollari: il più alto mai registrato.
Il gruppo di criminalità informatica “Dark Angels”, che ha rivendicato l’attacco, utilizza un approccio altamente mirato, il che significa che il numero di vittime è ridotto, ma selezionato con molta attenzione. Questo approccio, si legge nel report di Zscaler, “è in netta contrapposizione con la maggior parte dei gruppi organizzati di ransomware, che prendono di mira le vittime in modo indiscriminato ed esternalizzano la maggior parte dell’attacco a reti affiliate”.
Altro elemento che caratterizza i Dark Angels è il furto dei dati, al fine di attuare la minaccia dell’esfiltrazione: poche aziende colpite hanno subito la crittografia dei propri file, tutte hanno subito il furto di dati (in media da 10 a 100 terabyte per le grandi aziende).
La strategia di colpire un piccolo numero di organizzazioni di alto valore, utilizzando la tecnica dell’esfiltrazione è una tendenza da monitorare attentamente.
La scelta di pagare il riscatto
“Il crescente utilizzo di modelli di ransomware-as-a-service, insieme ai numerosi attacchi zero-day ai sistemi legacy, all'aumento degli attacchi di vishing e all'emergere di attacchi basati sull'AI, ha portato a pagamenti di riscatti da record” ha dichiarato Deepen Desai, Chief Security Officer di Zscaler.
I cybercriminali stanno diventando sempre più bravi anche nel fare i conti: i riscatti economici richiesti sono attentamente studiati e calibrati in modo da indurre la vittima a pagare. La cifra viene commisurata in modo che sia:
- effettivamente sostenibile dalla vittima, sulla base del fatturato e delle ricerche condotte dai cybercriminali (facilitate dal supporto dei sistemi di intelligenza artificiale);
- leggermente inferiore al costo del downtime operativo e della ricostruzione dei sistemi da zero (in caso di ransomware basati sul cripto-blocco dei sistemi).
La scelta di pagare diventa così, apparentemente, la soluzione più conveniente e facile da seguire.
Quali implicazioni?
È bene considerare, però, che la minaccia di un ransomware non solo implica la richiesta di un riscatto monetario, ma alimenta anche un circolo vizioso in cui i fondi ottenuti vengono spesso reinvestiti per potenziare le stesse reti che operano in modo malevolo, aumentando il budget e le risorse a disposizione degli aggressori. Questo ciclo perpetuo rende la lotta contro le esfiltrazioni dei dati un campo di battaglia sempre più complesso e imprevedibile.
Altre implicazioni evidenziano come la strada più breve non sia sempre quella preferibile e impongono cautela:
- in primo luogo, come anticipato, il pagamento del riscatto può ritorcersi contro le stesse vittime in quanto, con i proventi illeciti ottenuti, i criminali informatici saranno in grado di sviluppare minacce ancora più sofisticate ed evolute;
- inoltre, è possibile che l’azienda che cede alle richieste dei cybercriminali venga riconosciuta come “buona pagatrice”, e che quindi venga nuovamente presa di mira;
- le normative vigenti in alcuni Paesi potrebbero perseguire penalmente chi decide di pagare un riscatto;
- non vi sono garanzie in merito al fatto che i criminali informatici, una volta ricevuto il pagamento, forniscano la chiave per decifrare i dati bloccati – in caso di ransomware basati sulla cifratura;
- così come non vi sono garanzie che i criminali informatici, una volta ricevuto il pagamento, non diffondano i dati rubati sul web – in caso di ransomware basati sull’esfiltrazione;
- il recupero delle risorse non significa che le informazioni rubate non saranno successivamente divulgate o vendute;
- infine, alimentare la criminalità sponsorizzando – di fatto – attività malavitose può ritorcersi contro le stesse aziende, anche in termini di reputazione.
La scelta se cedere alle richieste dei cybercriminali resta in capo alle singole organizzazioni colpite, che sono tenute a ponderare attentamente le conseguenze delle proprie azioni. Nel contesto della scelta, i DPO dovrebbero informare i titolari del trattamento rispetto a tutte le implicazioni, in modo da permettere agli stessi di prendere una decisione pienamente consapevole.
Data governance, AI-based security tools e formazione
Sebbene alcune organizzazioni stiano investendo in apposite assicurazioni per tutelarsi e coprire i costi in caso di attacchi ransomware, la migliore strategia di azione resta la prevenzione. Le tecniche informatiche applicabili alla prevenzione da attacchi basati sulla cifratura dei dati, sono simili a quelle volte a prevenire il furto: in entrambi i casi – generalmente - vi è una perdita della disponibilità, con la differenza che, nel secondo caso, si aggiunge la perdita della riservatezza. Le Agenzie e le Autorità compenti in materia di cybersicurezza aggiornano periodicamente le best practices applicabili contro le minacce ransomware (si riportano in calce alcuni collegamenti utili).
Fra queste misure si segnalano, in particolare:
- l’applicazione di policy che consentano di presidiare tutto il processo di gestione dei dati trattati, mediante l’adesione a processi standardizzati di riferimento (ISO, certificazioni, etc.);
- l’introduzione sul mercato di strumenti innovativi, basati sull’Intelligenza Artificiale, che possono fare la differenza nell’identificare e neutralizzare le minacce;
