LA GUIDA PRATICA

Attacchi ransomware e fattore umano: come costruire una protezione sempre più solida

Se ci sono lacune nella catena di sicurezza di un’azienda, è molto probabile che i cyber criminali riusciranno a trovarle e approfittarne: ciò è ancor più vero nel caso di attacchi ransomware che sfruttano la debolezza del fattore umano. Ecco i consigli per costruire una linea difensiva a prova di hacker

21 Ott 2020
M
Peter Mackenzie

Global Malware Escalations Manager Sophos

Il fattore umano rappresenta indubbiamente l’anello debole nella catena difensiva di un’organizzazione e questa affermazione è ancora più vera quando ci si trova di fronte ad attacchi ransomware.

Nessuna azienda vuole diventare vittima del cyber crimine, ma se ci sono lacune di sicurezza (ad esempio configurazioni errate, risorse a rischio o vulnerabilità non risolte), è molto probabile che i cyber criminali riusciranno a trovarle e ad approfittarne e potrebbero trascorrere mesi, se non di più, prima che la vittima scopra cos’è successo.

Gli esperti sono da sempre al fianco delle aziende per identificare, bloccare e attenuare l’impatto degli attacchi e di conseguenza, hanno esperienza diretta dell’impatto del cyber crimine sulle vittime.

La sicurezza infallibile è una leggenda

Secondo il principio guida della cyber security, chi si difende deve sempre agire correttamente, mentre a chi attacca basta colpire nel segno una volta sola.

17 novembre, milano
Scopri Insight e Tips & Tricks dai migliori professionisti di settore: un evento unico ti aspetta!

È un fatto sconcertante per i team di IT security, ma in realtà è vero solo in parte. Poiché gli hacker stanno diventando molto abili a camuffarsi per evitare di suscitare i sospetti dei team di sicurezza e attivare il rilevamento, ciò da cui non si può prescindere è un approccio basato su vari livelli di sicurezza, che siano in grado di interrompere la catena di attacco in vari punti.

Tra i vari stratagemmi a cui ricorrono i cybercriminali spicca l’utilizzo strumenti informatici legittimi per eludere le tecnologie di sicurezza, analizzare i computer e spostarsi lateralmente all’interno della rete.

Inoltre, spesso agiscono in modo da compromettere gli account di amministrazione esistenti per poter agire indisturbati. Se vengono identificati e bloccati, provano semplicemente un’altra tattica.

Questo ci porta a uno degli aspetti più significativi degli attacchi informatici, che è anche uno di quelli più sottovalutati dalle vittime: la battaglia non è contro un codice, ma contro delle persone reali

Attacchi ransomware e fattore umano: mani sulla tastiera

Sebbene la violazione iniziale possa essere automatica e magari opportunistica, una volta ottenuto accesso alla rete, spesso l’attacco viene orchestrato in maniera mirata e inesorabile da una persona che decide come utilizzare i vari strumenti.

In un caso osservato dai nostri esperti di incident response, un hacker ha cercato di compromettere i sistemi della vittima utilizzando quattro metodi di attacco diversi nell’arco di soli 15 minuti.

Dopo il blocco di tutti gli attacchi, il cybercriminale ha cercato di attaccare l’RDP, uno strumento spesso non adeguatamente protetto.

A quel punto, ha rivelato l’IP del suo computer ed è stato identificato dal team di sicurezza. Game over. La cosa più difficile per le vittime è che molto spesso i cybercriminali utilizzano strumenti legittimi, per cui i team di IT security non possono mai abbassare la guardia e devono essere sempre in grado di riconoscere se l’uso di questi strumenti sia a scopo malevolo o meno.

Da quanto tempo si trovano nella rete i cyber criminali?

Secondo quanto emerso dalle nostre analisi, la maggior parte delle vittime pensa che la violazione si sia verificata appena prima della parte visibile di un attacco (ovvero il ransomware), ma questo avviene molto raramente.

In realtà è probabile che i cyber criminali siano rimasti all’interno della rete per diverso tempo, rimanendo nell’ombra mentre analizzavano i sistemi, installavano backdoor, rubavano informazioni e consolidavano la propria persistenza per poter intercettare i comandi di backup e ripresa dopo un riavvio.

Questi sono tutti problemi di sicurezza che le vittime devono identificare e attenuare, per potersi riprendere completamente da un attacco; inoltre, sono tutti fattori che incidono ulteriormente su una situazione già estremamente stressante.

La parte dell’attacco che molto spesso rivela alle vittime la presenza di un intruso è il lancio del ransomware. È il punto nella catena di eventi in cui il cyber criminale molto probabilmente ha già portato a termine tutte le operazioni che desiderava compiere ed è pronto a uscire allo scoperto e rendersi visibile.

In altre parole, di solito l’implementazione del ransomware segna la fine di un attacco, piuttosto che il suo inizio.

Il ransomware dilaga

Il 90% circa degli attacchi osservati aveva come protagonista il ransomware; spesso l’impatto di questo tipo di attacco è devastante, in particolar modo per le organizzazioni, in quanto gli effetti riguardano un contesto più ampio.

Tra questi esempi vi sono gli enti sanitari, per i quali un attacco andato a segno significa la cancellazione di interventi chirurgici, la perdita delle lastre dei pazienti, l’impossibilità di accedere ai risultati delle analisi per rilevare il cancro e molto altro.

Alcune vittime pensano di non avere altra alternativa se non quella di pagare il riscatto, ad esempio nel caso in cui vengano eliminati anche i backup dei dati su sistemi di archiviazione on-line o accessibili in altro modo.

Altre organizzazioni si rifiutano categoricamente di pagare, indipendentemente dalle circostanze. Altre ancora sono talmente preoccupate dell’impatto che la pubblicizzazione di un caso di furto dei dati potrebbe avere sulla propria reputazione, che non esitano a pagare per le chiave di decifratura.

La complessità del ransomware può variare: esistono tipologie più professionali e sofisticate, così come ce ne sono anche di disorganizzate e di bassa qualità.

I nostri esperti di risposta agli incidenti hanno osservato che, sebbene tutti gli attacchi abbiano sulle vittime un effetto intimidatorio ed estenuante, a volte anche i cybercriminali possono essere messi sotto pressione ed essere soggetti all’ansia.

Un esempio è un’organizzazione che è stata colpita dal ransomware-as-a-service REvil/Sodinokibi. Da un giorno all’altro, gli hacker hanno cifrato il 90% dei server dell’azienda, la quale ha dovuto interrompere ogni attività. I cyber criminali sono riusciti a infiltrarsi nei sistemi finanziari critici dell’azienda e ne hanno subito approfittato, come dimostrano le loro richieste di riscatto.

La prima richiesta di riscatto pari a 3 milioni di USD è giunta in meno di 24 ore. La comunicazione giustificava la somma richiesta elencando i vari flussi di fatturato dell’azienda, il fatto che erano idonei a chiedere un prestito a una certa banca, i potenziali costi che avrebbe avuto l’impatto del ransomware e i pagamenti mensili in caso avessero stipulato il suddetto prestito per pagare il riscatto.

La comunicazione indicava anche che la dichiarazione dei redditi dell’azienda non ne sembrava riflettere accuratamente il fatturato effettivo.

Questi tentativi non hanno avuto l’esito desiderato, in quanto l’azienda, che non aveva un’assicurazione contro il ransomware, si rifiutò di pagare. La questione è degenerata rapidamente. Sono arrivate molte altre e-mail minacciose rivolte ai singoli dipendenti, con dati prelevati dal reparto Risorse umane.

È seguita un’altra e-mail rivolta all’intera azienda che esortava i dipendenti a persuadere i dirigenti a pagare il riscatto, che aveva raggiunto la cifra di 8 milioni di dollari.

Infine, i cyber criminali hanno cominciato a bombardare un già esausto team IT di telefonate, intimandoli a leggere le e-mail e a pagare il riscatto. La vittima alla fine non ha pagato. Ha ripristinato tutti i dati possibili, cercando di assorbire il colpo quando gli hacker hanno pubblicato on-line i dati aziendali in tre riprese. L’azienda è ancora in attività.

La sfida della ripartenza

Abbiamo rilevato che molte vittime non riescono a capire come agisce il malware quando si sposta all’interno di un’organizzazione.

Generalmente si ritiene che si diffonda dall’interno verso l’esterno in tutte le direzioni, mentre in realtà viene distribuito strategicamente su una serie di computer preselezionati. Inoltre, i cybercriminali non puntano solamente a prelevare documenti e altri dati, bensì cercano di rendere i computer quasi completamente inutilizzabili.

Lasciano solamente le funzionalità necessarie per fare in modo che la vittima possa avviare i computer e visualizzare la nota di riscatto.

Per la vittima, questo significa che recuperare i sistemi non comincia con il ripristino dei backup e il recupero dei dati prelevati o cifrati dai cybercriminali.

Spesso si tratta invece di dover reimpostare tutti i computer che sono stati attaccati e a questa sfida si aggiunge il difficile compito di identificare da dove provenga l’attacco degli hacker e se questi si trovino ancora all’interno della rete.

Costruire una protezione sempre più solida

Man mano che gli attacchi diventano sempre più insidiosi e più abili a sfruttare strumenti legittimi, le vittime riconoscono sempre maggiormente l’importanza di un threat hunting supervisionato da essere umani.

Il threat hunting svolge un ruolo complementare rispetto agli algoritmi più avanzati dei software di sicurezza next-gen, in quanto sfrutta le competenze umane di esperti disponibili 24h su 24 e 7gg su 7, in grado di valutare tutte le sfumature di un attacco meglio di quanto possa fare un software.

È come avere un sistema di videosorveglianza: le videocamere possono registrare immagini e distogliere i criminali dai loro intenti, ma non possono bloccarli attivamente.

Sono le guardie di sicurezza che monitorano il sistema di videosorveglianza in tempo reale a dover intraprendere le azioni necessarie. Capita troppo frequentemente che i team di IT security comincino la giornata dovendo esaminare le dinamiche di un incidente verificatosi, piuttosto che trovando i dettagli di un attacco sventato.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2