Anche un digital player da oltre 40 miliardi di fatturato come Accenture è vittima di un tentativo di estorsione.
In Italia, dopo il grave incidente che ha il colpito la Regione Lazio, si sussurra tra gli addetti ai lavori che stia aumentando la lista delle aziende attaccate da ransomware.
Chiediamo a Pierguido Iezzi, Ceo di Swascan, innovativa azienda di cyber security impegnata nella ricerca delle vulnerabilità sistemiche delle principali aziende italiane, se ciò corrisponde al vero.
“Ho l’impressione – dice Iezzi - che sia in corso una guerra tra gangs che cercano di aumentare i profitti ed occupare quote di mercato. È questa competizione che sta causando un incremento degli attacchi. Swascan ha accolto infatti negli ultimi mesi sempre più richieste di assistenza da parte dei propri clienti per specifici attacchi ransomware. Ciò è dovuto al proliferare della modalità Ransomware as a Service, un concetto di marketing piramidale e franchising applicato al mercato dell’hacking criminale. Distribuendo la conoscenza e la tecnologia e moltiplicando gli attori, diminuiscono le barriere d’ingresso, aumentano i criminali, il mercato e i guadagni di tutti i partecipanti a questa economia illegale. Purtroppo, crescono esponenzialmente anche le aziende attaccate e le vittime”.
Il recente report di Varonis, cyber security software company americana quotata al Nasdaq di NY, conferma quanto afferma Iezzi. Esso, infatti, contribuisce a dare una dimensione del fenomeno, evidenziando che gli attacchi ransomware sono aumentati del 600% a causa del Covid 19 e dello Smart working. Nel 2021 fino ad oggi c’è stato nel mondo un attacco ransomware ogni 11 secondi. Siamo passati da 7,5 miliardi di dollari di costi nel 2019, ad una proiezione di oltre 20 miliardi stimati per l’anno corrente. Il costo medio di recovery da un attacco è di 1,85 milioni di dollari. Parliamo quindi di un enorme impatto sull’economia reale, specialmente se si pensa che le aziende che subiscono questo tipo di incidenti sono costrette ad un fermo delle attività mediamente di 15 giorni, con una perdita di 8500 ore lavoro.
L’italiana Swascan conferma questo preoccupante trend con una propria ricerca nel periodo compreso tra il 2 luglio e il 2 agosto, rilevando, tramite il servizio di Malware Threat Intelligence, oltre 90mila tipologie di malware, 2194 di nuova concezione o mai visti prima. Questo è un barometro piuttosto esemplificativo di come il cyber crime stia diventando una delle principali minacce quando si tratta di sicurezza digitale.
È un fenomeno destinato a crescere negli anni? Se sì, perché? E quali sono le caratteristiche di questo mercato?
Raoul Chiesa, decano degli ethical hacker italiani, dice “Osservo con crescente preoccupazione quello che sta succedendo. Analizzando le epoche storiche, raramente il Cyber crime è stato così aggressivo come in questi ultimi mesi. Quello che rilevo e che analizziamo in dettaglio con il SOC di Swascan è una competition, una vera e propria gara tra diverse Cyber crime gangs per essere i numeri uno. Già alcuni anni fa avevo fatto presente gli aspetti comportamentali e i cambi radicali nel modello di business proprio del Cyber crime: purtroppo ci siamo arrivati, è successo. Sempre di più "as a service", sempre di più attraverso il concetto di "partnership criminale". Quello che però spaventa maggiormente è l'offerta, alquanto sfacciata, della gang LockBit 2.0 (quelli del caso Accenture) di reclutare dipendenti "insiders" delle aziende, ai quali andrebbe poi una cospicua parte del guadagno. E stiamo parlando di milioni di euro, non di bruscolini”.
Guardando ai numeri e ascoltando gli esperti, pare di essere di fronte ad un fenomeno più ampio di un semplice mercato criminale. Si tratta di una emergenza che coinvolge sia il fattore umano, sia le dinamiche di pura economia criminale, se non di un vero e proprio fenomeno di terrorismo come ha dichiarato il Presidente della Regione Lazio.
Sull’importanza e il ruolo del fattore umano, Iezzi chiarisce “Il fattore umano è un elemento fondamentale per la corretta gestione del cyber security framework aziendale. Il “social engineering” attacca da sempre proprio questo elemento debole attraverso l’inganno, inducendo l’errore che è la causa più frequente degli incidenti informatici. Non è un caso che nell’attacco ransomware che ha visto coinvolta la Regione Lazio, il punto di ingresso sono state proprio le credenziali di un dipendente sottratte attraverso una botnet. Nella stessa direzione va il caso del data breach Accenture, scatenato dalla gang LockBit, che porta alla ribalta, in modo clamoroso, l’insider come elemento di minaccia del perimetro digitale, motivato dal guadagno, dalla sfiducia verso l’azienda e magari in futuro da ragioni di natura politica. La gang afferma di aver avuto accesso alla rete di Accenture proprio tramite questa vulnerabilità”.
Chiediamo al Professor Marco Lombardi, Professore Ordinario e Direttore del Dipartimento di Sociologia dell’Università Cattolica, Direttore di ITSTIME, se attaccare le strutture sanitarie, bloccandone la funzionalità, possa essere considerato un atto terroristico.
“Anche un attacco cyber è un attacco terroristico secondo una definizione di terrorismo che si fonda sulla valutazione degli effetti e non delle motivazioni. Innanzitutto, il cyber, cioè il mondo digitale, è il nuovo ecosistema nel quale la compresenza di reale e virtuale costituisce la specificità. La dicotomia virtuale – reale è ormai superata dalla sintesi del “digitale”, quel nuovo mondo significato dai nativi digitali, in cui non esiste più alternanza tra virtuale e reale, fusi in un continuum spazio-temporale che fornisce sia identità, sia relazione, sia operatività. Questo nuovo scenario colloca il terrorismo anche nel cyberwarfare, che diventa l’ambiente in cui si è quotidianamente immersi”.
Inoltre, le organizzazioni terroristiche tradizionali (Al Qaeda, Isis, Hamas) potranno rivolgersi a queste forme di attacchi per autofinanziarsi o per colpire i propri nemici?
“Il presupposto – continua Lombardi - è quello del terrorismo come organizzazione opportunista che non si lega unicamente ad una fonte di finanziamento ma utilizza ciò che è funzionale all’obiettivo, in questo caso finanziarsi. Gli eventuali impedimenti religiosi e ideologici vengono superati attraverso semplici escamotage: per esempio se non è opportuno commerciare in droga, si vende sicurezza a chi la droga la commercia. In tal senso, il cyber è ormai l’ecosistema più attenzionato in termini comunicativi, strategici ed economici. Alla luce di ciò, il terrorismo può perseguire due vie: gestire direttamente le opportunità con propri gruppi specializzati o lavorare in franchising (come già fatto in altri ambiti), nella fattispecie con esperti del cyberwarfare. Dunque, sono due situazioni da monitorare: da un lato, ci si aspetta un incremento del reclutamento di professionisti per agire in piena autonomia, dall’altro le organizzazioni terroristiche si affideranno a gruppi specializzati già operativi. Ci troviamo all’inizio di un nuovo scenario conflittuale in cui i diversi attori stanno prendendo reciprocamente le misure”.
In ultimo, Prof. Lombardi, vanno pagati i riscatti che sembrano essere un fattore di crescita del fenomeno ransomware?
“È indubbio: un riscatto si paga sempre quando il cittadino di un paese è minacciato. Questo vale anche nel cyberwarfare, in funzione del valore del soggetto minacciato che, se non è un cittadino nella sua forma fisica, si tratta di informazioni che definiscono un cittadino o una istituzione nella sua identità digitale. Ovviamente, al pagamento del riscatto deve sempre corrispondere una operazione il cui obbiettivo è l'indubbia eliminazione biologica dei criminali. Non vedo né alternative né vie migliori a questo tipo di risposta: semplice, rapido, efficace”.
Non sfuggono le implicazioni geopolitiche di vera e propria guerra asimmetrica del mondo digitale di questa emergenza.
“È evidente – racconta Giuliano Tavaroli, esperto in innovazione e rischi digitali, che queste gangs operano attraverso dei safe haven in Russia, Cina, Nord Corea, Iran, paesi attivi nell’arena della guerra digitale e difficilmente raggiungibili dal diritto internazionale. La dinamica di questi gruppi sembra ricalcare quella dei pirati ottocenteschi, contractor privati ante litteram, che agivano per conto degli imperi, attraverso le patenti di corsa, che li autorizzavano ad attaccare i trasporti commerciali nemici depredandoli. La recente vicenda di REvil sembra confermare questa ipotesi, ossia un prolifico gruppo criminale tra i più attivi nell’attaccare obiettivi negli Stati Uniti, tra gli ultimi l’azienda IT americana Cattleya, che scompare dalla rete dopo la telefonata tra Biden e Putin, nel corso della quale il Presidente degli USA Biden chiedeva un impegno da parte del suo omologo russo a limitare gli attacchi verso gli Stati Uniti. Cresce intanto il dibattito internazionale sul concedere il diritto a rispondere “hack back” agli attacchi cyber, anche da parte delle organizzazioni private. Recentemente, i membri della Commissione Finanze del Senato US hanno chiesto al Department Homeland Security di studiare un progetto di legge che consenta anche ai privati di rispondere. Questo denota il livello di frustrazione che i recenti attacchi hanno generato nei policy makers statunitensi”.
Quali soluzioni all’orizzonte per l’Italia?
Ci sono importanti novità in atto: il perimetro di sicurezza nazionale, la nuova agenzia per la cyber sicurezza (ACN) e gli oltre 200 miliardi del PNRR dedicati a favorire la digitalizzazione del Paese. Strumenti che rappresentano un’opportunità da non perdere e una grande sfida per il rilancio dell’Italia.
“In un particolare contesto come questo - dice Iezzi – bisogna investire sulla prevenzione che costa meno della gestione di un incidente e del suo ripristino, anche in termini reputazionali, che abbiamo visto mediamente costare circa 2 milioni di dollari ad incidente. Prevenire significa attuare misure di sicurezza predittiva e porre l’accento sul tema della Threat Intelligence, per conoscere la propria esposizione al rischio cyber, il danno potenziale e come allocare efficientemente le risorse. Il cyber crime – conclude Pierguido Iezzi – è una guerra di conoscenza che si vince con l’informazione”.
Comments