Il ransomware non vuole lasciare in pace l’Italia e ora è stagione soprattutto di Emotet, di cui vari ricercatori (Darktrace, Exprivia…) e lo Csirt rilevano sempre nuove campagne di malspam. Il cyber security hunter JAMESWT ha rilevato qualche giorno fa campagne mail che usavano false fatture Enel Energia come esca in allegato o presunte comunicazioni socio-sanitarie, sempre in Italia.
Un ransomware ha appena colpito Luxottica e il gruppo Carraro (multinazionale nel comparto delle macchine agricole della provincia di Padova), in questo secondo caso costringendo settecento dipendenti alla cassa integrazione per il blocco della produzione.
Perché il ransomware si mostra così efficace
Questa “popolarità” del ransomware non deve sorprendere. Il ransomware è uno strumento a bassa complessità e ad alto ritorno per i criminali.
Nel mondo informatico quello che nel mondo fisico è definito “cavallo di ritorno”, ossia la richiesta di pagamento di un riscatto rivolta a chi ha subito un furto per riottenere ciò che è stato rubato. E come nel mondo fisico, dove questa “abitudine” illegale nasce, più critico è il servizio, maggiore è la possibilità che questo diventi interessante agli occhi di un criminale.
Per rendere efficace un attacco di tipo ransomware sono necessarie organizzazioni capaci di studiare approfonditamente il mercato per poter individuare le vittime. Ed è proprio qui che si trova la principale differenza tra mondo fisico e mondo digitale. Nel mondo fisico, infatti, la vittima è inequivocabilmente unica e specificamente individuata. Nel mondo digitale invece, pur non escludendo che le vittime possano essere mirate, queste possono essere svariate e spesso sono quelle meno consapevoli della minaccia a cui sono esposte.
Una volta individuata la vittima, vanno costruiti o acquistati gli strumenti necessari per sviluppare l’attacco. La tecnica più utilizzata è quella del cryptolocker, un ransomware che cripta il dato vitale (ma spesso anche altri dati) e chiede un riscatto alla vittima per la decriptazione. Ma vi sono anche altre tipologie di ransomware. Ad esempio, vi sono attacchi consistenti nel minacciare il possessore di un portale B2C/servizio internet in genere di un attacco di tipo DDoS verso il servizio che renderebbe lo stesso inutilizzabile, o attacchi consistenti nel modificare le password di accesso a servizi molto importanti. Si tratta di tecniche di attacco molto complesse: l’attaccante deve rendere inutilizzabile il servizio lasciando però il dispositivo agonizzante ed in grado di poter essere utilizzato per richiedere il riscatto e ottenere della criptovaluta, senza la quale questa attività servirebbe a poco. Quindi l’attaccante deve preoccuparsi di distribuire il malware e per far questo utilizza spesso campagne di social engineering e phishing.
Proseguiamo nella descrizione del ciclo di vita di un ransomware. Una volta che il malware è stato distribuito deve essere installato, effettuare il danno per cui è stato creato e comunicare con l’esterno al fine di poter consentire l’acquisizione delle cryptovalute oggetto dell’attività.
Una fase che spesso non viene citata nei manuali di cyber security è quella relativa all’utilizzo delle criptovalute, che sono veicoli di trasmissione del riscatto, ma spesso richiedono una ulteriore trasformazione per essere fruibili. Infatti, le criptovalute non sono facilmente consumabili per beni comuni, necessitano pertanto di essere riciclate in valuta corrente. Non si tratta di pochi spiccioli, ma di milioni di valuta.
Improbabile che una sola persona abbia le competenze per poter portare a termine un attacco di questo tipo. Gli attacchi vengono costruiti creando alleanze tra gruppi criminali che sono specializzati in aree specifiche. Non è pertanto inusuale avere delle botnet utilizzate per il command&control in diversi attacchi. Ad esempio, si nota spesso che in certi periodi dell’anno i ransomware diminuiscono a favore del cryptojacking (entrambi hanno l’obiettivo di produrre cryptovaluta per i criminali, nel primo caso direttamente tramite richiesta di riscatto, nel secondo caso utilizzando le stesse componenti ma per far generare criptovaluta dai dispositivi controllati).
Come prevenire o gestire un incidente
Cosa fare per prevenire è abbastanza chiaro. Oltre che investire nei controlli minimi di sicurezza (che non riguardano solo la cyber security ma anche principi architetturali e di service management classici, quali fare il backup e salvare il backup su reti diverse), migliorare la consapevolezza dell’utente finale ridurrebbe fortemente la possibilità di un incidente.
Cosa fare dopo un incidente invece è meno ovvio. Sicuramente non pagare, e questo non solo perché è legalmente ed eticamente corretto, ma lo è anche tecnicamente. I criminali, infatti, creano un attacco facendo degli investimenti e la parte a loro meno redditizia è quella del ripristino dei dati. Non è pertanto improbabile che, anche avendo la chiave per decriptare i dati, non si riesca a farlo.
Sicuramente la prima cosa da fare è contattare i gruppi di primo intervento che hanno già affrontato situazioni del genere. Non è improbabile che il cryptolocker che vi ha colpito sia presente da diverso tempo online e incidentalmente vi abbia raggiunto. In tali situazioni le chiavi per decryptare potrebbero essere già note.
Infine (e più importante), è necessario capire cosa è successo e come è successo. Non si tratta solo di decriptare il dato, ma di capire da quanto tempo l’attaccante era in casa, cosa ha rubato e cosa conosce. Senza questa analisi, dopo il primo incidente con grande probabilità si potrebbe verificare un secondo incidente.
Cyber security: la situazione in Italia
Solo nel mese di luglio 2020, sono stati riscontrati sei ransomware differenti che hanno interessato il territorio italiano, in lieve decrescita rispetto al mese di giugno 2020 quando si è verificato un picco di nove ransomware riscontrati ed identificati.
Secondo l’Osservatorio Exprivia sulla CyberSecurity, è stato registrato un aumento dei ransomware CoronaLocker, Ekans, Funicorn e RAGNAROK.
Il pericoloso ritorno del trojan bancario
Ma la principale novità, tra le minacce informatiche, è il ritorno di Emotet, famoso per essere il più pericoloso trojan bancario.
Da metà luglio fino a fine luglio, c’è stata una predominanza dei malware Emotet e AgentTesla, che hanno iniziato a propagarsi, attraverso differenti campagne malspam, anche in Italia.
Emotet, che nel tempo si è evoluto realizzando un numero indefinito di varianti e con una serie di nomi differenti, è attualmente il malware più temuto in circolazione. Il malware è stato impiegato nella campagna di spam a tema COVID19.
Non dimentichiamo che spesso (se non sempre) il malware si diffonde tramite social engineering. Il fattore umano resta pertanto al centro anche di attacchi tipo ransomware, oltre alla mancanza di controlli sufficienti di sicurezza.
In Italia, vuoi per la trasformazione che è stata necessaria a causa del COVID che ha costretto molti ad adottare modalità di lavoro agili, vuoi per la diffusa mancanza di consapevolezza dei rischi dovuti al cybercrime, negli ultimi mesi si è verificato un notevole aumento di attacchi ed incidenti.
