Gli ultimi mesi hanno portato prepotentemente all’attenzione del grande pubblico il flagello digitale dei ransomware.

Michele Pinassi, Università di Siena

Dalla grande eco mediatica scatenata dall’attacco alla Regione Lazio, con pesanti conseguenze per molto servizi, tra cui la campagna vaccinale, non ancora placata, ecco che pochi giorni fa un’altra importante realtà sanitaria come l’Ospedale San Giovanni Addolorata di Roma si è trovata con i servizi ICT bloccati: oltre 300 server e 1500 postazioni fuori uso, con ripercussioni importanti sui servizi offerti dal nosocomio romano [1].

Questi sono solamente due dei tantissimi episodi che da qualche anno stanno flagellando le reti informatiche di tutto il mondo, Italia compresa. Nel nostro Paese, ottavo al mondo nella classifica dei più colpiti [2], le stime del Rapporto Clusit di marzo 2021 [3] evidenziano un forte aumento degli attacchi verso realtà del settore sanitario (complice la pandemia Covid-19) e pubblico, con un incremento degno di nota (dal 20% del 2020 al 29% del 2021) di quelli a scopo estorsivo, utilizzando malware di tipo ransomware (da “ransom”, riscatto).

Gli attacchi dei ransomware alle reti informatiche hanno generalmente un forte impatto sull’operatività delle stesse, causato dall’indisponibilità dei dati e minando, quindi, la business continuity, con conseguenti danni economici e reputazionali. Le stime dicono che per ogni dollaro investito in cybersecurity, i danni degli attacchi costano 7 volte tanto [4].

Nei casi peggiori, il ransomware procede anche all’esfiltrazione delle informazioni (inviando copia dei dati alla gang criminale che lo controlla). In questi casi parliamo di “double estortion” (doppia estorsione), chiedendo il riscatto per ottenere la chiave di decrittazione dei dati cifrati e un ulteriore riscatto per impedire la pubblicazione dei dati rubati sul web (dove possono esserci documenti, fatture commerciali, materiale riservato….).

Questi attacchi vengono perpetrati attraverso le classiche 5 fasi: individuazione dell’obiettivo, intrusione (exploitation), studio del network aziendale/movimenti laterali, accesso ai dati, attacco. Spesso le vittime si accorgono di essere state attaccate solo all’ultima fase, quando il malware procede alla cifratura dei dati bloccando l’operatività, come un ladro che prima si introduce negli archivi e copia tutti i documenti presenti, per poi renderli tutti illeggibili.

Sono state migliaia le realtà italiane, grandi e piccole, colpite (ricordiamo, a titolo di esempio, Campari [5], Luxottica [6], Accenture [7] ma anche alcuni comuni del Nord Italia [8] ). Attacchi condotti sia con la modalità “a strascico” sia mirati, sfruttando le vulnerabilità degli obiettivi per conquistare l’accesso alle loro reti interne.

Come fanno i criminali a entrare nelle reti dei loro bersagli?

Le tecniche per conquistare l’accesso alle reti istituzionali e aziendali sfruttano due macro categorie: vulnerabilità tecnologiche e quelle umane. Le vulnerabilità tecnologiche sono tutte le falle esistenti nei sistemi informatici, sia di frontiera (come firewall, router, server pubblici, VPN…) sia interni (ad esempio, vulnerabilità note in alcuni browser o sistemi operativi sfruttabili attraverso pagine web malevole), spesso lasciate aperte a causa di scarsa manutenzione nei sistemi stessi (pensiamo, ad esempio, che ancora oggi in Italia vi sono circa 900 realtà con apparati VPN potenzialmente compromessi [9], la cui patch è disponibile da 2 anni). Le vulnerabilità umane sono quelle che, sfruttando tecniche di social engineering (ingegneria sociale), riescono a far eseguire azioni malevole alle incaute vittime: rientrano in questa categoria il phishing e lo smishing (attraverso cui si sottraggono le credenziali di accesso), l’uso di software compromessi (come software illegale scaricato da Internet o contenuti in chiavette USB di dubbia origine) e il malware generico (es. documenti contenenti macro malevole o virus).

Le università e gli enti di ricerca, per la loro stessa natura, hanno un utilizzo particolarmente dinamico delle risorse di rete, con nuovi dispositivi connessi ogni giorno per scopi didattici o di ricerca e dati relativi a ricerche scientifiche, didattica, studenti e personale. Rappresentano quindi un potenziale bersaglio per queste “gang” di cybercriminali: ricorderete, ad esempio, il blocco alle attività didattiche dell’Ateneo Tor Vergata di Roma [10] un anno fa, dove a finire irrimediabilmente cifrati furono anche materiali relativi a ricerche e terapie per la cura del Covid19.

Diventa pertanto essenziale la formazione, continua nel tempo, di tutto il personale che lavora con gli strumenti informatici, assicurandoci nel contempo che tutti i dispositivi siano protetti con politiche di gestione degli accessi, IPS/IDS, firewall e antivirus aggiornati e correttamente funzionanti, in particolare per quelle realtà che consentono ai dipendenti e studenti l’uso dei propri dispositivi (BYOD - Bring your own devices). Fondamentale adottare anche strategie di backup e disaster recovery per i dati: procedure chiare, consolidate e verificate periodicamente, rispettando la goldenrule “3-2-1” (3 copie in 2 luoghi differenti di cui 1 delocalizzato), sono essenziali per mitigare l’impatto di un attacco ransomware e garantire la business continuity.

Importante anche l’identificazione di figure interne di riferimento per supportare l’adozione delle procedure tecniche e organizzative per migliorare la sicurezza delle infrastrutture telematiche (tra cui le “Misure minime di sicurezza ICT per le PA” [11] ) e la gestione degli incidenti, data breach inclusi, come richiesto dalla normativa e dal Regolamento Europeo per la Protezione dei Dati Personali 2016/679 “GDPR”.

Realtà come il PCI, attraverso il DSS, o il NIST -National Institute of Standard and Technology- hanno elaborato framework capaci di guidare nell’adozione di politiche e strategie per la protezione delle reti e dei servizi (sul tema, è stato appena pubblicata la bozza “NISTIR 8374” relativa al “Cybersecurity Framework Profile for Ransomware Risk Management” [12] ) ed è importante sottolineare come la cybersecurity comprenda sia soluzioni tecnologiche che, soprattutto, protocolli e policy capaci di instaurare cambiamenti culturali e metodologici improntati alla sicurezza dei dati e delle infrastrutture.

Un percorso sicuramente non facile: secondo i dati riportati dall’ENISA nel suo report [13] relativo agli investimenti per conseguire gli obiettivi della direttiva europea sulla protezione cyber “NIS” 2016/1148, i Paesi membri dell’EU investono attualmente troppo poco nella protezione dei dati e delle infrastrutture. Tuttavia le recenti novità normative [14], tra cui la costituzione di una Agenzia nazionale per la cybersicurezza, lasciano ben sperare per il prossimo futuro. Soprattutto perché i cambiamenti culturali e metodologici necessari per una “cultura della sicurezza”, in cui il fattore umano riveste un ruolo essenziale, hanno bisogno di essere adeguatamente sostenuti da strategie e budget adeguati.