Attacchi ransomware contro le principali infrastrutture di Stati Uniti, Australia e Regno Unito: un vademecum sulla riduzione dei rischi
Ransomware attacks against major infrastructures in the United States, Australia and the United Kingdom:
a vademecum on risk reduction
ABSTRACT
Il presente contributo si pone l’obiettivo di esaminare il report congiunto di Stati Uniti, Australia e Regno Unito in cui sono stati analizzati i numerosi attacchi ransomware che, nel corso del 2021, hanno interessato le principali infrastrutture dei tre Paesi.
Il Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA) e la National Security Agency (NSA) hanno registrato, nel 2021, copiosi attacchi ransomware alle infrastrutture più sensibili del Paese e, in particolare, al servizio sanitario nazionale, al settore alimentare e agricolo e al settore industriale della difesa.
Anche l’Australian Cyber Security Centre (ACSC), in Australia, e la National Cyber Security Centre (NCSC-UK), nel Regno Unito, hanno osservato i medesimi attacchi.
Questi ultimi hanno interessato, principalmente, il mercato finanziario, il settore dell’istruzione, della ricerca e dell’energia, soprattutto nel territorio inglese.
In particolar modo, sono stati osservati attacchi che hanno investito aziende, enti di beneficienza ed enti di professionisti legali, tanto da considerare il ransomware come la più grande minaccia informatica attualmente esistente.
La pericolosità del ransomware deriva dal fatto che si sono fortemente evoluti nel corso del tempo e, oggi, utilizzano una tecnologia estremamente sofisticata.
Da qui è nata l’esigenza, per le Autorità di sicurezza informatica di Stati Uniti, Australia e Regno Unito, di redigere un vero e proprio avviso congiunto che possa coadiuvare e sostenere il lavoro di chi si occupa di ridurre al minimo il rischio di compromissioni informatiche delle strutture cardine dei diversi Paesi.
Il ransomware, attualmente, è, senza dubbio alcuno, una delle maggiori minacce informatiche a livello globale.
The purpose of this paper is to examine the joint report by which the US, Australia and the UK have attempted to identify and analyse the numerous ransomware attacks that have affected key critical infrastructures in the three countries during 2021.
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA) and the National Security Agency (NSA) recorded copious ransomware attacks on the country’s most sensitive infrastructure in 2021, most notably, the National Health Service, the food and agriculture sector and the defence industry.
The Australian Cyber Security Centre (ACSC) in Australia and the National Cyber Security Centre in the UK (NCSC-UK) also observed the same attacks.
These mainly affected the financial market, education, research and energy sectors, especially in the UK.
In particular, the UK has seen attacks that have affected companies, charities and legal professionals, to the extent that ransomware is considered the biggest cyber threat currently.
The danger of ransomware stems from the fact that it has evolved dramatically over time and now uses extremely sophisticated technology.
Hence the need for the US, Australian and UK Cyber Security Authorities to draw up a real joint warning to co-divide and support the work of those involved in minimising the risk of cyber compromise of our countries’ pivotal facilities.
Ransomware today is undoubtedly, one of the biggest cyber threats globally.
Sommario
1. Introduzione
2. Profiling dei criminali informatici
3. Come ridurre i rischi di attacchi ransomware
4. Conclusioni
Summary
1. Introduction
2. Profiling cybercriminals
3. How to reduce the risks of ransomware attacks
4. Conclusions
1. Introduzione
I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e richiedono il pagamento di un riscatto per ripristinarli. Quest’ultimo aspetto è ciò che differenzia, principalmente, il ransomware dal malware.
I malware sono codici, o programmi dannosi, che consentono agli aggressori di prendere il controllo di un sistema informatico, che non risponderà più ai comandi dell’utente. I ransomware, considerati estremamente pericoli, sono, invece, sottoinsiemi di malware, progettati per prendere di mira soprattutto sistemi informatici di grandi organizzazioni nazionali ed internazionali, centri nevralgici di sistemi economici e sociali, che permettono agli aggressori di ottenere il pieno controllo del sistema, limitando l’accesso a file personali e riservati, a meno che non venga pagato un riscatto.
Il ransomware, pertanto, è un tipo di cyber attacco particolarmente redditizio: il Rapporto Clusit 2021 ha confermato che i ransomware, nell’anno 2018, rappresentavano il 23% di tutti i malware; nel 2019 sono diventati quasi la metà (46%) e, nel 2020, sono arrivati al 67%. In sintesi, sono ransomware i due terzi degli attacchi[1].
SonicWall ha pubblicato i dati della sua attività di threat intelligence: nel terzo trimestre 2021, gli attacchi ransomware sono aumentati del 148% a livello globale. A far data dal primo gennaio, gli incidenti registrati sono stati 495 milioni ma, a fine 2021, il conteggio globale ha raggiunto i 714 milioni di attacchi.
Si è appreso, altresì, che il malware IoT è aumentato del 33% a livello globale, con accenti maggiori in Nord America ed Europa. Il Vecchio Continente, inoltre, ha vissuto un’impennata di attacchi basati sul cryptojacking.
Dmitriy Ayrapetov, Vice President of Platform Architecture di SonicWall, sottolinea un altro aspetto importante: “le tecniche dei gruppi ransomware si sono evolute ben oltre gli attacchi smash-and-grab di pochi anni fa. I criminali informatici di oggi effettuano ricognizioni, pianificano ed eseguono gli attacchi in maniera chirurgica contro infrastrutture aziendali e governative. Questo porta a colpire vittime di alto livello e a fare incassare riscatti elevati”[2].
Le difese allestite per ora non sono efficaci.
Nei primi nove mesi dell’anno, il Regno Unito ha visto un aumento del 233% del numero di attacchi ransomware; negli Stati Uniti il valore si è assestato a +127%. Secondo i calcoli di SonicWall, ciascuno dei suoi clienti ha subito 9,7 tentativi di attacchi ransomware in ogni giornata lavorativa.
L’unica difesa è implementare le migliori pratiche di sicurezza informatica per ridurre la superficie di attacco, come segnalato da tutti gli esperti di cybersecurity.
2. Profiling dei criminali informatici
Le autorità di sicurezza informatica di Stati Uniti, Australia e Regno Unito, nel report condiviso, hanno individuato una serie di tendenze comportamentali dei criminali informatici nell’attuare gli attacchi ransomware[3].
In particolare, i cyber criminali tentano di operare gli attacchi con l’accesso alle reti tramite phishing, oppure tramite credenziali RDP (Remote Desktop Protocols), sottratte con la forza, o sfruttando le vulnerabilità dei software[4].
Questi, ad oggi, risultano essere i principali vettori della minaccia ransomware.
Nel momento in cui gli autori di minacce ottengono i codici per accedere ai dispositivi o alla rete, essi distribuiscono facilmente il ransomware.
Come specificato nel report, tra il 2020 e il 2021, si è registrato un aumento delle “infezioni” da ransomware, in quanto il diffondersi della pandemia a causa del virus Sars-CoV-19 ha comportato un forte utilizzo dei sistemi informatici, dovuto principalmente allo smart working e alla didattica da remoto.
Altra modalità con cui vengono operati attacchi ransomware è quella dell’uso di ransomware-as-a-service (RaaS).
Il Ransomware come Servizio o RaaS è una strategia imprenditoriale che include un nuovo soggetto nel processo dell’attacco informatico.
Da una parte, infatti, ci sono le classiche organizzazioni di sviluppatori di malware dotate di tutte le competenze tecniche per elaborare il codice di un ransomware.
Tali organizzazioni, dopo aver sviluppato e distribuito con successo il proprio prodotto, ossia il ransomware stesso, si occuperanno di perfezionarlo, per renderlo sempre più letale, mettendolo a disposizione sotto forma di servizio in abbonamento.
Dall’altra parte, quindi, si trova una platea di nuovi soggetti, senza competenze tecniche necessarie per creare un malware, che si affilieranno all’organizzazione criminale e si occuperanno di individuare gli obbiettivi e gli strumenti per la distribuzione del ransomware[5].
Il mercato del ransomware, invero, è diventato sempre più “professionale” nel 2021 e il modello di business criminale utilizzato è ormai ben consolidato.
Oltre all’aumento dell’uso di ransomware-as-a-service (RaaS), gli autori delle minacce hanno impiegato servizi indipendenti per negoziare i pagamenti, per assistere le vittime di attacchi nell’effettuare i pagamenti, nonché per arbitrare le controversie sui pagamenti tra queste ultime e altri criminali informatici.
NCSC-UK ha osservato che molti autori di minacce ransomware hanno offerto alle loro vittime servizi di centri di assistenza, ai quali è possibile rivolgersi a tutte le ore, sette giorni su sette, per accelerare il pagamento del riscatto così da poter ottenere il ripristino dei sistemi o dei dati crittografati.
Nel report, le autorità di cybersicurezza di Stati Uniti, Australia e Regno Unito hanno stimato che se il modello di business criminale continua a produrre profitti finanziari per gli autori degli attacchi, inevitabilmente, l’utilizzo di tali strumenti sarà sempre più frequente.
Ogni volta che viene pagato un riscatto, infatti, si conferma l’efficacia finanziaria del modello de quo.
Le autorità di cybersicurezza, inoltre, hanno avuto modo di osservare che il modello di business criminale spesso complica, ulteriormente, l’individuazione dei titolari degli attacchi, in quanto esiste una rete di sviluppatori, affiliati e freelance estremamente complessa. Pertanto, diventa molto difficile identificare definitivamente gli attori di un attacco ransomware.
La condivisione di informazioni sulle vittime è un ulteriore schema attraverso il quale operano gli autori di attacchi informatici.
Si è appreso che i gruppi di ransomware eurasiatici[6] hanno condiviso le informazioni sulle vittime con lo scopo di diversificare la minaccia per le organizzazioni prese di mira.
A titolo esemplificativo, basti pensare che, dopo aver annunciato la sua chiusura, il gruppo ransomware “BlackMatter” ha trasferito le informazioni delle vittime già prese di mira, facendole confluire in infrastrutture di proprietà di un altro gruppo di criminali informatici, noto come Lockbit 2.0.
Nell’ottobre 2021, il gruppo criminale Conti, oggi tra i principali autori di attacchi ransomware, ha iniziato a vendere l’accesso alle reti delle vittime, consentendo attacchi successivi da parte di altri attori di minacce informatiche[7].
Nella prima metà del 2021, le autorità di sicurezza informatica di Stati Uniti e Australia[8] hanno osservato attori di minacce che prendevano di mira le organizzazioni “big game”, ossia quelle dotate di grade prestigio oppure che forniscono servizi critici. Tra le vittime: la Colonial Pipeline Company, JBS Foods e Kaseya Limited.
Tuttavia, le autorità statunitensi, a metà del 2021, hanno sferrato un forte attacco ai gruppi criminali; ciò ha comportano che, successivamente, molti autori delle minacce abbiano reindirizzato i propri sforzi lontano dai “grandi giochi” e verso vittime di medie dimensioni, così da eludere i controlli.
L’ACSC[9], invece, ha osservato come il ransomware abbia preso di mira le organizzazioni australiane di tutte le dimensioni, compresi i servizi critici e i “big game”, per tutto il 2021.
L’NCSC-UK ha precisato, invece, che le organizzazioni britanniche sono state minate per tutto l’anno, con alcune vittime del “grande gioco”. Complessivamente, le vittime includevano imprese, enti di beneficenza, società di professionisti legali e i servizi pubblici nei settori dell’istruzione, del governo locale e della sanità.
Altra modalità di azione dei gruppi ransomware consiste in una diversificazione degli approcci per estorcere denaro. Dopo aver criptato le reti delle vittime, gli attori delle minacce ransomware hanno sempre più utilizzato la “tripla estorsione”, minacciando di rilasciare pubblicamente le informazioni sensibili sottratte, di interrompere l’accesso ad Internet della vittima e di informare i partner, gli azionisti o i fornitori della stessa sull’incidente.
L’ACSC[10] ha continuato ad osservare episodi di “doppia estorsione” in cui l’attore della minaccia utilizza una combinazione di crittografia e furto di dati per indurre le vittime a pagare le richieste di riscatto.
I gruppi di ransomware hanno aumentato, ulteriormente, il loro impatto, prendendo di mira il cloud, ossia le infrastrutture in-the-cloud per sfruttare le vulnerabilità ad esse connesse e anche gli account del cloud, le interfacce di programmazione delle applicazioni (API) e i sistemi di backup e archiviazione dei dati, così da negare l’accesso alle risorse e da crittografare i dati.
Oltre a sfruttare le debolezze per ottenere un accesso diretto, gli attori delle minacce a volte raggiungono i sistemi di archiviazione in-the-cloud compromettendo i dispositivi locali (on-premises) e spostandosi lateralmente verso i sistemi in-the-cloud.
Inoltre, sono anche stati presi di mira i fornitori di servizi in-the-cloud con l’obiettivo di criptare grandi quantità di dati dei clienti[11].
I ransomware prendono, altresì, di mira i fornitori di servizi gestiti (MSP).
Gli MSP hanno accessi diffusi e fidati nelle organizzazioni dei clienti.
Compromettendo un MSP, un attore di minacce ransomware potrebbe accedere a più vittime attraverso una sola compromissione iniziale.
Le autorità di sicurezza informatica negli Stati Uniti, in Australia e nel Regno Uniti hanno osservato che potrebbe manifestarsi, con molta probabilità, un aumento degli incidenti ransomware in cui gli attori delle minacce prendono di mira gli MSP per raggiungere i loro clienti.
Gli attacchi, spesso, interessano i processi industriali. Pur se la maggior parte degli incidenti ransomware contro le infrastrutture critiche interessa le informazioni aziendali e i sistemi tecnologici, l’FBI ha osservato che diversi gruppi di ransomware hanno sviluppato codici progettati per fermare infrastrutture critiche o processi industriali.
Gli attacchi hanno riguardato anche la catena di fornitura del software[12]. A livello globale, nel 2021, gli autori delle minacce ransomware hanno preso di mira entità della catena di fornitura del software per poi compromettere ed estorcere i loro clienti. Ciò ha consentito di aumentare la scala dei loro attacchi, danneggiando più vittime attraverso una singola compromissione iniziale.
I gruppi criminali, inoltre, tendono ad agire nei giorni festivi e nei fine settimana. L’FBI e la CISA hanno osservato, infatti, che essi hanno condotto attacchi sempre più incisivi, contro gli enti statunitensi, nei giorni festivi e nei fine settimana per tutto il 2021, considerati quali momenti interessanti, posto che ci sono meno difensori della rete e personale di supporto IT nelle organizzazioni vittime[13].
Per visualizzate la rivista CLICCA QUI!
[2] Si veda, https://bit.ly/3Ox2VxM.
[3] Si segnala, United States Federal Bureau of Investigation: https://www.fbi.gov/investigate/cyber
[4] In merito, C. beaman, A. Barkworth., t.d. Akande,Hakak S. Khan m.k., Ransomware: Recent advances, analysis, challenges and future research directions, Comput Secur, 2021.
[5] Per approfondire, https://cyberment.it/malware/raas-o-ransomware-as-a-service-un-nuovo-modello-di-business/#header2.
[6] Si rinvia a: https://bit.ly/3vvJw7p; 2021 Trends Show Increased Globalized Threat of Ransomware, 2021 Trends Show Increased Globalized Threat of Ransomware.
[7] Si raccomanda, https://bit.ly/3uVpWmj
[8] In questo senso, United States Federal Bureau of Investigation; United States Cybersecurity and Infrastructure Security Agency; United States National Security Agency, Australian Cyber Security Centre.
[9] Sul punto vedi anche, https://bit.ly/3OkZFW0.
[10] Degno di nota, https://bit.ly/3OmLrUt.
[11] Per una lettura integrale, https://bit.ly/3MgD5vO, ult. op.cit.
[12] Si veda, https://www.cisa.gov/stopransomware/
[13] Advisory congiunto FBI-CISA sulla sicurezza informatica, Ransomware Awareness for Holidays and Weekends.
