NUOVE MINACCE

Attacchi a doppia estorsione: cosa sono e come contrastarli con una strategia cyber

Negli ultimi mesi si sta assistendo ad un boom dei rischi cibernetici e al dilagare degli attacchi ransomware evoluti indicati come attacchi a doppia estorsione. Ecco di cosa si tratta e quale strategia cyber adottare per contrastarli al meglio

13 Nov 2020
M
Luca Mella

Cyber Security Expert

L’accelerazione nei processi di digitalizzazione a cui abbiamo assistito in questi mesi è stata fondamentale per garantire la sopravvivenza di molti business alle durissime prove dei lockdown e delle restrizioni della pandemia, ma è anche vero che in diversi hanno saggiato l’altro volto della stessa medaglia di cui aziende e PMI avrebbero fatto volentieri a meno e cioè il boom dei rischi cibernetici e il dilagante fenomeno degli attacchi ransomware evoluti: un tipo di minaccia molto diversa dal passato, tant’è che si è stati costretti a coniare un nuovo termine ovvero gli attacchi a doppia estorsione (“Double Extortion”).

Gli attacchi a doppia estorsione: cosa sono

Molti degli attacchi cyber più altisonanti che hanno circolato anche tra le testate generaliste sono stati di fatto attacchi a doppia estorsione. A partire dal quanto accaduto a Garmin, che si è vista costretta ad impedire ai suoi clienti di accedere ai servizi digitali, o quanto più recentemente avvenuto a Luxottica e Campari, dove le ripercussioni sono state importanti anche nell’operatività del business.

Evento in presenza
SAP NOW, 20 ottobre | Sostenibilità e innovazione per un ecosistema digitale che rispetta il pianeta
Cloud
Datacenter

Di questi attacchi sentiamo spesso parlare come attacchi ransomware. Tuttavia, parlare di ransomware è estremamente riduttivo. Può sembrare un accanimento accademico, ma in realtà non è affatto così.

La sostanza e le modalità di questi attacchi sono decisamente più evolute e complesse. Il termine ransomware, infatti, circola nei media da ben prima della nascita del fenomeno degli attacchi a doppia estorsione: da quando questi attacchi colpivano per lo più i privati, cifrando i dati presenti nel pc locale o poco più.

La dinamica degli attacchi “double-extortion” è più articolata e coinvolge in maniera netta le aziende e il tessuto produttivo nazionale.

Però, c’è da dire che l’uso improprio del termine ransomware è in buona misura giustificabile: dentro un attacco a doppia estorsione c’è anche un attacco ransomware. Ma non solo quello. Se la ricetta per un attacco ransomware tradizionale è assimilabile alla preparazione di una pasta al pomodoro, quella per un attacco a doppia estorsione è degna di uno chef di buona fama.

Ma in cosa differiscono esattamente questi attacchi a doppia estorsione rispetto ai “Cryptolocker” a cui siamo abituati a pensare, ai WannaCry e ai NotPetya che hanno segnato la narrativa moderna della cyber security?

L’origine degli attacchi a doppia estorsione

Per rispondere a questa domanda è bene prima mettere il cappello da cyber-archeologi e riesumare un vecchio bollettino circolato nel 2015, il bollettino Yoroi N010715, dove – in un’altra era digitale – erano emerse avvisaglie di qualcosa che non ci si sarebbe mai aspettati divenisse così esteso e pressante.

Il bollettino è stato, infatti, una delle prime testimonianze di attacchi diversi dai ransomware che stavano già segnando il panorama digitale italiano. Veniva introdotto il concetto di attacco “ransom” in contrapposizione agli attacchi “ransomware”, dove la peculiarità stava proprio nell’ingaggio manuale di una attività offensiva che terminava con la cifratura dei dati e la richiesta di riscatto.

Una dinamica diametralmente opposta da quella degli attacchi ransomware più comuni che circolavano a quei tempi; un’estorsione dove l’intervento dell’attaccante umano permetteva di arrivare dove il software automatizzato non riusciva, lasciando di stucco persino quelli che “tanto ho i backup su di un NAS Linux”. Già allora, manualmente, i criminali si assicuravano che software di backup e dati venissero distrutti prima della cifratura.

Come si sono evoluti gli attacchi a doppia estorsione

Oggi, gli attacchi a doppia estorsione hanno evoluto questa componente manuale, tant’è che si parla di attacchi operati da squadre, di team organizzati che – etica a parte – operano come i “Red Team”, ovvero specialisti di alto livello in test di penetrazione cibernetica, ed è per questo che a volte si sente parlare di “Dark Team”.

Certo, la componente manuale nelle operazioni di cyber-intrusione non basta a chiarire l’arcano. Perché quindi si parla di doppia estorsione?

Questa è la parte semplice: chi conduce attacchi double-extortion richiede tipicamente denaro anche per “garantire” la cancellazione dei dati rubati. Benché il concetto sia semplice, si può facilmente cadere in fraintendimenti se ci si dimentica il quadro generale e la componente umana che caratterizza questi attacchi, che nella pratica possono rimanere celati per settimane.

La dinamica di un attacco a doppia estorsione ricorda, infatti, i modus-operandi degli attori di minaccia avanzati, i cosiddetti Advanced Persistent Threat (APT), entità che fino a qualche anno fa erano preoccupazione delle sole organizzazioni in settori strategici e nel finance. Ora le stesse metodologie operative sono state sdoganate anche nel cyber crimine di massa, manifestando prepotentemente l’altro volto del digitale.

I modus operandi utilizzati negli attacchi a doppia estorsione sono quindi in parte automatizzati ed in parte manuali, e gli attori che li conducono usano un insieme di strumenti che va ben oltre il solo “ransomware”, ovvero il malware che di fatto cifra i file.

Vengono utilizzati malware di altra natura, botnet, keylogger, impianti backdoor, tool di hacking e persino strumenti di sistema leciti. Poi anche il “ransomware”.

Insomma, quando la domenica mattina si guarda ad un server colpito nella notte da un attacco double-extortion, il processo che cifra i file – il ransomware – è sono l’ultimo anello di una più lunga catena che ha coinvolto tanti altri oggetti per molto più tempo di quello che si pensa. Catena dove c’è stato un momento in cui, un operatore criminale umano, ad un certo punto, ha deciso di utilizzare un altro strumento per rubare giga e giga di dati da qualche server aziendale, magari transitando dalle infrastrutture di qualche nostro fornitore connesso in rete.

Questo, grandi linee, è il livello di complessità dietro ad un attacco a doppia estorsione. Intimamente diverso dagli attacchi ransomware tradizionali dove “apro una mail e si cifra il PC”.

Bilanciare la strategia cyber

L’esplosione delle minacce a doppia estorsione ha quindi catapultato molte aziende in una condizione molto precaria. Nel giro di meno di un anno le strategie di cyber security che fino a poco fa riuscivano a garantire una certa tranquillità all’impresa, facevano dormire sonni tranquilli ai CISO e permettevano al business il lusso di ignorare molto dei rischi cibernetici, sono completamente saltate.

Il motivo è lo stesso anticipato poco fa, che possiamo riassumere in un passaggio: gli attacchi a doppia estorsione sono attacchi mirati, intrusioni operate da esperti di hacking che hanno due obiettivi, rubare dati e distruggere i sistemi; attacchi operati con dinamiche e modus-operandi molto più simili ai gruppi organizzati piuttosto che a comuni malviventi digitali.

Questo punto di rottura con il passato è tanto attuale quanto impossibile da ignorare. La convinzione che le vecchie strategie funzionino si infrange contro la violenza degli attacchi a doppia estorsione, che catapultano letteralmente l’azienda in una condizione di crisi – crisi cibernetica – da un sabato notte ad una domenica mattina. Crisi che mette di fronte al senior management una serie di problematiche ad altissimo impatto sull’operatività immediata, su responsabilità civili, penali, reputazione e competitività futura.

Realizzato questo, una cosa è certa: attuare strategie per mettersi al riparo da questi avvenimenti rappresenta vantaggio competitivo garantito. Tanto semplicemente quanto cinicamente se la mia azienda blocca in tempo un attacco double-extortion ed il mio competitor no, la mia azienda ne trae vantaggio, viceversa ne trae vantaggio il competitor.

Quindi, come fare per adeguare le strategie di sicurezza cibernetiche?

Strategie di sicurezza cibernetica: le best practice

Ci sono tante strade per farlo. In realtà di business complicate e tante volte complesse, le “best practice” sono in tanti casi esercizi di stile inapplicabili. Molto meglio parlare di “buone pratiche” e principi.

Un principio che si può usare come bussola per l’individuazione di una strategia è il bilanciamento. Lo si può applicare a qualsiasi framework di gestione del rischio cyber, anche in forma più semplificata.

Tra i più essenziali su cui possiamo ragionare in questi termini c’è BDA: Before, During e After. Ovvero cosa c’è in campo per gestire il prima dell’attacco (prevenzione), il durante (rilevamento) ed il dopo (risposta). Un framework elementare, molto più semplice del Framework Nazionale, che però ne conserva i principi e che può molto più facilmente entrare negli schemi di pensiero di tante aziende ai primi passi con la tematica cyber.

Applicare il principio del bilanciamento è molto semplice e si può fare in due fasi, la prima è trovare risposta a tre semplici domande:

  1. Quanto ho investito nel proteggermi e nel prevenire gli attacchi (Before)?
  2. Quanto ho investito nel rilevare gli attacchi che passano oltre protezioni (During)?
  3. Quanto ho investito nell’attrezzarmi a gestire un attacco che va a buon fine (After)?

La seconda è analizzare come gli investimenti sono distribuiti per capire dove è più probabile avere lacune. Ad esempio se l’azienda ha investito tanto in sistemi antivirus, antispam, firewall, proxy di nuova generazione, tecnologie che servono a bloccare gli attacchi, oppure servizi di assessment e penetration test ma ci si accorge che non si è mai discusso di come affrontare una crisi cibernetica, od ancora, non ci sono investimenti nel rilevare (During), mitigare e rispondere agli attacchi (After), questo è un ottimo indicatore su come e dove ribilanciare la strategia di cyber security.

Attenzione, però! Ci sono insidie nel fare queste valutazioni. Inutile nascondere che qualsiasi soluzione, servizio o appliance di sicurezza cercherà di valorizzarsi come trasversale su ognuna di queste dimensioni.

In parte è vero, certamente, ma ogni servizio, tecnologia, appliance o soluzione ha una sua anima che si focalizza un po’ di più su di una di queste tre dimensioni.

Per uscire dall’impasse che naturalmente accompagna queste situazioni si può usare un semplice trucco: valutare il peso degli aspetti tecnologici e degli aspetti di umani che caratterizzano l’oggetto che si sta analizzando.

Un utile schema rappresentativo delle differenze tra la metodologia TPP e una strategia cyber.

Una volta fatto si può avere una indicazione in più sulla natura della soluzione che si sta valutando. Infatti, ad oggi, per ovvie ragioni di scalabilità la componente predominante delle soluzioni preventive è tecnologica, mentre nelle dimensioni del rilevamento e della risposta le componenti umane di competenza e le informazioni diventano man in mano sempre più discriminanti per comprenderne il valore.

New call-to-action

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr