“All we know is MONEY! Hurry up! Tik Tak, Tik Tak, Tik Tak!”
Questo è un estratto da una raggelante richiesta di riscatto che i funzionari IT di Baltimora hanno ricevuto da hacker che sono riusciti a bloccare la maggior parte dei server della città a maggio. Gli aggressori hanno chiesto 76.000 dollari, pagati in Bitcoin, per una chiave di decrittazione. Baltimora ha rifiutato di pagare, scegliendo, invece, di assorbire circa 18 milioni di dollari in costi di recupero.
Circa 15 mesi prima, nel marzo 2018, Atlanta è stata colpita da un’aggressione simile e allo stesso modo si è rifiutata di pagare un riscatto di $ 51.000, mangiando $ 17 milioni di danni.
Per quanto sbalorditivi fossero questi due attacchi di alto profilo, non iniziano a trasmettere l’intera portata di quello che un fenomeno pervasivo e distruttivo è diventato il ransomware: a individui, aziende di tutte le dimensioni e, ultimamente, ad agenzie locali scarsamente difese.
Sondaggio e saccheggio
Il ransomware è altamente resiliente e flessibile. La sua attrazione principale per i criminali è che si tratta di un canale diretto per raccogliere denaro illecitamente come qualsiasi truffatore potrebbe immaginare: pochi intermediari necessari.
Da un livello elevato, il ransomware è essenzialmente una piattaforma aperta che opera su principi di mercato, attorno ai quali ha preso forma un fiorente ecosistema di fornitori e specialisti. Ciò ha aperto la porta ai fornitori inesperti, con modeste capacità tecniche, per entrare nel campo, dando a questi novizi un accesso facile ed economico a potenti strumenti e servizi chiavi in mano. Nel frattempo, i collettivi di hacking avanzati investono in innovazione e si spingono avanti. Il risultato netto è una continuazione di stili comprovati di attacchi ransomware, così come una costante ricerca di tasche vulnerabili e saccheggi lungo nuovi percorsi.
Secondo l’FBI, l’anno scorso il numero assoluto di attacchi ransomware giornalieri è diminuito leggermente. Tuttavia, questa è più una funzione degli hacker che prendono di mira meno gli individui e di più le aziende e i governi. E come evidenziato dagli assalti a Baltimora e Atlanta, i comuni sono tra i bersagli più caldi del momento. Un’indagine sui resoconti dei media locali di Recorded Future ha registrato 38 attacchi ransomware contro città nel 2017, salendo a 53 attacchi nel 2018. Solo nei primi quattro mesi del 2019, sono stati rilevati circa 22 attacchi.
Questo cambiamento ha attirato l’attenzione dei comuni a livello nazionale, tanto che 225 sindaci statunitensi che hanno partecipato alla Conferenza dei sindaci degli Stati Uniti a Honolulu all’inizio di luglio si sono sentiti obbligati a firmare una risoluzione per non pagare mai un riscatto agli hacker.
Capitolazione calcolata
Ah, ma non è mai così semplice, vero? Basta chiedere ai funzionari dei borghi della Florida di Riviera Beach e Lake City. A giugno, Riviera Beach, popolazione 35.000, ha pagato un riscatto di 65 Bitcoin, quindi del valore di $ 600.000, mentre Lake City, popolazione 12.046, ha pagato un riscatto di 42 Bitcoin, o $ 460.000, per una chiave di decrittazione. Dopo settimane di interruzione dei servizi cittadini e di fronte alle pressioni degli elettori, i leader della città hanno considerato il pagamento di un riscatto a sei cifre come la soluzione meno dolorosa e più rapida.
Non sono solo le città a dover affrontare questi dilemmi. Imprese, piccole e medie imprese (PMI) e singoli consumatori continuano a essere presi di mira, in modo intensivo, dagli attacchi ransomware. E molti stanno giungendo alla conclusione che la capitolazione sia la loro migliore opzione. Un sondaggio di professionisti IT negli Stati Uniti, Canada, Germania e Regno Unito condotto da Osterman Research ha rilevato che quasi il 40% delle vittime di ransomware sceglie di pagare.
Nel suo rapporto annuale più recente, il colosso assicurativo britannico Beazley Worldwide ha riferito che la domanda media di ransomware nel 2018 era di oltre $ 116.000, una cifra certamente distorta da alcune richieste molto grandi. La più alta richiesta ricevuta da un cliente Beazley era di $ 8,5 milioni, l’equivalente di 3.000 Bitcoin all’epoca. La mediana era di $ 10.310.
Beazley ha anche riferito che le PMI, che tendono a spendere meno per la sicurezza delle informazioni, corrono un rischio maggiore di essere colpite da ransomware rispetto alle aziende più grandi e che il settore sanitario è stato più colpito dagli attacchi di ransomware, seguito da istituzioni finanziarie e servizi professionali.
Nel suo sondaggio condotto su 600 leader aziendali e 1.000 consumatori negli Stati Uniti, IBM ha rilevato che il 70% delle aziende infettate da ransomware ha pagato un riscatto per riottenere l’accesso ai dati e ai sistemi aziendali, mentre il 55% dei genitori ha dichiarato che sarebbe disposto a pagare riscatto per riottenere l’accesso alle foto di famiglia digitali.
Picchi di danni
Queste metriche suonano assolutamente vere. Considera che l’FBI lo scorso novembre ha accusato due hacker iraniani di aver orchestrato l’attacco ransomware ad Atlanta. Gli investigatori affermano che questo faceva parte di una serie di campagne di estorsione informatica rivolte a ospedali, comuni, istituzioni pubbliche e reti critiche negli Stati Uniti e in Canada. Si ritiene che il duo iraniano da solo sia responsabile di attacchi a 230 entità, raccogliendo $ 6 milioni in riscatto e causando $ 30 miliardi di danni, dice l’FBI.
Inoltre, una recente analisi di Coveware, un fornitore di servizi di risposta agli incidenti, conclude che il costo degli attacchi ransomware in tutti i settori è aumentato durante il secondo trimestre del 2019, con pagamenti di riscatto in aumento del 184% a una media di $ 36.295 in aprile, maggio e giugno, rispetto a a $ 12.762 nei primi tre mesi di quest’anno. Coveware ha anche riscontrato che il tempo di inattività medio derivante da un attacco ransomware è aumentato a 9,6 giorni nel secondo trimestre del 2019, rispetto ai 7,3 giorni nel primo trimestre del 2019.
I tempi di inattività, come vi dirà qualsiasi dirigente aziendale, non sono economici, soprattutto per le PMI a corto di liquidità. Un sondaggio di Datto, che fornisce servizi e sistemi a fornitori di servizi gestiti (MSP), ha rilevato che i tempi di inattività derivanti dal ransomware in genere costano alle PMI più di 8.500 dollari l’ora. Datto ha intervistato 1.100 MSP in tutto il mondo e ha scoperto che il 63% aveva a che fare con attacchi ransomware che hanno portato a tempi di inattività pericolosi per le aziende. Le PMI devono affrontare richieste di riscatto che vanno da $ 500 a $ 2.000, mentre il 7% degli intervistati al sondaggio di Datto ha affermato che il pagamento del riscatto non ha comportato la restituzione dei dati. E il 91% dei partecipanti al sondaggio ha affermato che i propri clienti sono stati colpiti da ransomware negli ultimi 12 mesi, con il 40% che ha segnalato più di sei attacchi separati durante lo scorso anno. Circa il 31% degli intervistati ha dichiarato di aver subito più attacchi in un solo giorno.
Matematica di sopravvivenza
At first blush it might seem valid to adopt a policy of categorically refusing to pay a ransom. However, the operational imperatives in today’s world of internet-centric commerce often boil down to survival math, especially for SMBs. In fact, such scenarios have become so common that Forrester Research recently published a guide to paying ransomware.
Due diligence for smaller and mid-sized organizations in today’s environment, it seems, can now include retaining a specialized third-party firm to negotiate with cybercriminals in pursuit of an acceptable outcome. This can include steering to a staged process and taking steps to build rapport with the attacker. This all goes toward ascertaining whether the criminal is willing and able to supply a viable decryption key, according to Josh Zelonis, senior analyst for cybersecurity and risk at Forrester.
A very recent development foreshadows many more SMBs and small cities facing these decisions: MSPs have now become a favorite target of ransomware gangs on the leading edge. This makes very good sense from the criminal perspective. MSPs make wide use of remote management tools to administer company email and manage file sharing on behalf of their clients.
Imperativi delle migliori pratiche
L’estorsione informatica ha fatto davvero molta strada. Durante la segnalazione per USA Today nel 2009, ho scritto di come i truffatori hanno lanciato campagne di scareware per bloccare gli schermi dei computer come mezzo per estrarre $ 80 per una protezione antivirus senza valore. Nessuno immaginava, all’epoca, come questa forma di ricatto informatico di basso livello, che prende di mira principalmente i singoli consumatori e ottiene milioni di dollari per determinati anelli di hacking, si sarebbe trasformata in un’impresa criminale multimiliardaria che è diventata oggi.
Chiaramente, il mazzo è impilato. I fornitori di ransomware hanno tutti gli incentivi, per non parlare di tutti gli strumenti di cui hanno bisogno, per trovare organizzazioni vulnerabili e costringerle a fare calcoli di sopravvivenza. Nel mercato digitale di oggi, la risposta tradizionale – rifiutarsi categoricamente di capitolare – semplicemente non si adatta.
Coloro che sono in prima linea a difendere questi attacchi – gli analisti della sicurezza che gestiscono i SOC aziendali, gli amministratori IT delle PMI e gli MSP che servono più aziende – hanno un onere di sicurezza più grande che mai da sopportare. Le migliori pratiche di sicurezza sono un must. Gli strumenti e le linee guida più recenti e il supporto nel settore della sicurezza informatica tramite iniziative come il programma No More Ransom sono assolutamente necessari. È fondamentale mantenere aggiornati i sistemi antimalware, firewall e di prevenzione delle intrusioni precedenti. Tutti devono acquisire maggiore competenza nell’inventario e nella gestione proattiva dell’accesso e dell’autenticazione. È assolutamente necessario instillare e coltivare una mentalità di sicurezza top-down. Parla di più presto.
L’evoluzione del ransomware
Il ransomware ottiene l’accesso non autorizzato a file o sistemi informatici mirati. Quindi utilizza una crittografia avanzata, che richiede una chiave di decrittazione per la quale la vittima deve pagare un riscatto, il più delle volte in Bitcoin. Ecco una cronologia dei recenti progressi del ransomware:
2013-2014. Funzionalità di ottimizzazione: CryptoLocker si diffonde attraverso siti Web compromessi e allegati e-mail dannosi e inizia a richiedere il pagamento in Bitcoin.
2016: Petya – Petya si propaga attraverso i servizi di condivisione di file nel cloud. Il nome Petya è un riferimento al film di James Bond del 1995 GoldenEye.
2017: WannaCry – Gli aggressori sfruttano gli strumenti di hacking rubati dalla NSA. WannaCry fa rivivere il worm Internet auto-propagante come mezzo per diffondersi automaticamente, da macchina a macchina, senza che sia richiesta alcuna azione da parte dell’utente. In meno di un giorno blocca i dischi rigidi di 200.000 macchine Windows in oltre 150 paesi, richiedendo $ 300 per una chiave di decrittazione.
2019: città statunitensi colpite – Baltimora, Cleveland Airport e Taos, NM, le scuole sono tra almeno 24 enti governativi locali duramente colpiti nella prima metà del 2019. Due comuni più piccoli della Florida, Riviera Beach e Lake City, pagano $ 600.000 e $ 460.000, rispettivamente, per le chiavi.
