Attacchi cyber: “altra” emergenza per l’Italia
L’Italia è tra i bersagli preferiti dagli hacker: sempre più spesso aziende e in molti casi utenti privati sono vittime di attività illecite informatiche, dal furto di dati o di identità, agli accessi indebiti, alla sottrazione di informazioni riservate. A cosa dobbiamo questo singolare quanto non invidiabile primato? Probabilmente a una scarsa presa di coscienza e consapevolezza dei rischi informatici, determinata nel nostro paese da una cultura del rischio informatico non certo al passo con i tempi.
La denuncia, molto netta e ben documentata, arriva da Emanuele Gentili, SVP of Threat Intelligence di TS-WAY. “L’Italia – spiega in un’intervista realizzata per GCSEC da Massimiliano Cannata – risulta una nazione cui gli hacker guardano con molta attenzione, per due motivi principali: la sovra esposizione di servizi informatici vulnerabili, perché non sottoposti correttamente a patching e spesso poco presidiati e mal gestiti. A questo importante fattore si aggiunge una scarsa cultura della cybersecurity, che mette in primo piano il tema dell’awareness e della formazione del personale che sottovaluta i rischi che anche un semplice allegato contenuto in una mail può rappresentare per la sicurezza dei dati e la privacy”.
I nuovi “pirati” informatici
Gentili ha, inoltre, anche tracciato un identikit dei nuovi “pirati” informatici: “dobbiamo distinguere tra la il malware in un certo senso semplice, cioè basato sul mero furto di informazioni e che mira alla qualità attraverso sistemi di mail a pioggia, e il ransomware, ovvero l’attività di un malware a cui segue una richiesta di riscatto; se parliamo di attività strutturate legate al ransomware o più semplicemente ci riferiamo a esfiltrazioni di informazioni (dati che vengono in qualche modo rivenduti), generalmente il profilo è riconducibile a una tipologia proveniente dall’Est Europa. Si può osservare, in particolare, come nella maggior parte di queste campagne, che purtroppo oramai ci accompagnano settimanalmente in più ondate, è presente una tecnica che agisce sul malware stesso se il sistema operativo su cui esso viene eseguito fa parte di quelli che sono i paesi CIS, quindi parliamo sostanzialmente della parte russa e le varie nazioni cuscinetto.
Va ricordato che stiamo parlando di un’area a rischio, tradizionale terreno fertile del cybercrime, che volge sovente sguardo e interessi verso l’Italia. Altra tipologia rispetto agli operatori ransomware oriented: non si tratta in questo caso di una semplice email con approccio a pioggia, ma al contrario vengono messe in campo delle attività strutturate. Le stesse skill degli attaccanti che stanno dietro a quel tipo di attività sono completamente differenti. Parliamo – ha concluso l’esperto – di due mondi che rappresentano due livelli differenti; per la parte ransomware, specialmente quella che riguarda le casistiche italiane, siamo di fronte ad avversari molto competenti, strutturati, capaci di operare una targetizzazione specifica e di presidiare la rete entro cui si muove la vittima. Mappano, capiscono come funzionano i sistemi e poi tipicamente, spesso nei weekend, lanciano l’attacco finale che paralizza i sistemi per poi passare alla richiesta di riscatto, molto spesso purtroppo anche dopo aver esfiltrato file. E’ evidente che esiste un livello differente quando che opera ha la finalità del riscatto”.
Importante individuare le attività più esposte al rischio. Anche su questo aspetto Gentili è stato molto chiaro: “Per quanto riguarda le attività riconducibili al malware generico (crimine tradizionale, furti di credenziali, carte di credito, ecc.) non è semplice identificare un target preciso, siamo di fronte a un’attività a pioggia, quindi prettamente opportunistica, che si sviluppa quando l’attaccante si rende conto di essere riuscito a compromettere una vittima. Per la parte relativa al ransomware esiste invece una selezione a monte delle aziende che possono essere nelle condizioni di pagare un riscatto. Un trend da tenere d’occhio, che non ha trovato ancora un’evidenza pubblica, riguarda il comportamento di cyber criminali impegnati a targettizzare aziende strutturate che possiedono un’assicurazione cyber, finalizzata a coprire i costi di un possibile riscatto. Il fenomeno, che potrebbe espandersi, non può essere sottovalutato”..
Alcune strategie di difesa
Come difendersi? “Chiaro – continua l’analisi del manager – che con il lockdown il paradigma un po’ è cambiato, ma la prima difesa è sempre conoscere i propri asset ed essere sicuri di fare collection informativa rispetto a quello che accade, quindi anche quando sono fuori perimetro deve esserci la necessità che si sia agganciati ai security operations center, che i log vengano trasmessi correttamente così da avere una visione in tempo reale di quello che accade e così via. Dall’altro lato, quello che va fatto, che poi rientra proprio nella parte di analisi del rischio, è la gestione e l’inserimento di metodologie e di approcci legati all’intelligence specifico. Fino a qualche anno fa si pensava che la costruzione di un fortino, quindi con dei firewall, degli strumenti perimetrali ecc, fosse assolutamente sufficiente. I fatti hanno dimostrato che purtroppo non è così.
E’ opportuno guardare all’esterno, conoscere quelle che sono le minacce, quelle che sono le vulnerabilità emergenti e quali delle vulnerabilità emergenti vengono effettivamente sfruttate per poter poi gestire una prioritizzazione di patching, di policy, di monitoraggio che siano effettivamente efficaci. Benissimo presidiare l’interno ma guardiamo anche all’esterno, cerchiamo di capire quello che succede, facciamo tesoro di quelle informazioni sia di target strategico o tattico, ma anche di tipo operativo, quindi gli indicatori di compromissione, e utilizziamoli a livello preventivo perché magari, l’attaccante che in questo momento ha colpito l’azienda A, colpirà anche me dell’azienda B. Conoscere quella tipologia di minaccia nello stadio iniziale della cyber pitch diventa assolutamente fondamentale.”
Autore: Marianna Cicchiello