A fronte del continuo aumento degli attacchi informatici, in particolare dei ransomware, occorre sensibilizzare sempre di più le organizzazioni ad intraprendere “il cammino della Cybersecurity”. Dopo aver analizzato i dati che delineano la situazione attuale, saremo guidati da Christian Maggioni, Managing Director di Altea 365 e Chief Security Officer di Altea Federation, attraverso i passi fondamentali da compiere nella prevenzione, dotandosi delle giuste soluzioni e pianificazioni. Scopriremo quali tipologie di attacchi potremmo incontrare lungo il nostro percorso e quali siano le misure immediate da adottare per rispondere nel caso si subisca un cyber attack ransomware. Per esplorare, infine, l’impatto dell’Intelligenza Artificiale sul futuro del nostro viaggio e difenderci in modo sempre più efficace.

Incominciando il nostro viaggio nella Cybersecurity, analizziamo la situazione degli attacchi informatici a livello globale e in Italia. Per capire qual è lo scenario di partenza utile a sensibilizzare le organizzazioni sulla protezione dei propri sistemi.

Secondo il Rapporto Clusit 2023, nel corso del 2022 gli attacchi informatici a livello globale sono aumentati del 21%. I dati ci dicono anche che la situazione in Italia è peggiorata particolarmente: i cyber attack sono aumentati del 169% rispetto al 2021.

Al di là delle singole ricerche e analisi, in generale, i dati sono concordi nell’indicare una tendenza al continuo aumento degli attacchi informatici.

Fra le minacce informatiche, i ransomware sono la tipologia a cui le organizzazioni dovrebbero prestare più attenzione. Si tratta di una classe di malware che rende inaccessibili i dati dei computer infettati e chiede un pagamento per ripristinarli.

Un attacco ransomware è paragonabile a un sequestro di dati, perché improvvisamente tutti i dati aziendali vengono crittografati e il cybercriminale mira a ottenere un riscatto. Con una catena di attacchi, l’aggressore può operare una serie di azioni diverse e trovare il modo per accedere al sistema, ad esempio penetrando l’account di posta elettronica e accedendo al sistema via internet, quindi da remoto (vicino o lontano non è dato sapere). Una volta dentro, lancia un software CryptoLocker e blocca i file. Di fatto, il computer è funzionante, ma i file non sono utilizzabili. È un sequestro, l’azienda si blocca e perde il controllo del dato. Solo in quel momento ci si rende realmente conto di che cosa vuol dire non poter accedere ai file e quanto vale davvero il capitale informativo, ma fra chi non ha subito un attacco è raro trovare la giusta sensibilità al problema.

– Christian Maggioni

I ransomware rappresentano una minaccia in continuo aumento negli ultimi anni. Secondo il Rapporto Clusit 2021, nel 2018 i ransomware rappresentavano il 23% di tutti i malware, nel 2019 sono diventati il 46% e nel 2020 sono arrivati al 67%, quindi circa i due terzi degli attacchi.

Un report di Sophos ha rilevato che nel 2022 gli attacchi ransomware hanno interessato il 31% delle organizzazioni italiane. A fronte di questo scenario, crediamo che la sensibilizzazione sul tema non sia ancora abbastanza nelle aziende italiane, che necessitano di tutelarsi maggiormente.

Le vittime degli attacchi ransomware sembrano essere cambiate nel tempo: il mirino si sposta sempre di più sulle piccole e medie imprese. Lo conferma un nuovo report di Infosecurity Magazine, i cui dati rivelano che il trend è iniziato nella seconda metà del 2022, quando il 47% delle nuove vittime era rappresentato da aziende di piccola dimensione. Nel primo semestre del 2023, invece, il 57% delle vittime sono state organizzazioni che contano fino a 200 dipendenti.

I dati globali indicano un costo medio di 7 milioni di dollari per attacco informatico, ma sono dati che riguardano prevalentemente grandi telco, grandi banche e assicurazioni o aziende energetiche, non PMI. Nel caso delle PMI, il costo medio di un attacco può scendere notevolmente.

Il punto di vista di Altea Federation è prettamente legato al mondo delle PMI italiane e Altea 365 ha un Incident Response Team che interviene proprio in caso di sequestro di dati. Una volta la criminalità si concentrava su prede grandi, oggi siamo chiamati anche da aziende con 3-4 persone.

– Christian Maggioni

Per comprendere la situazione dei crimini cibernetici è fondamentale analizzare le fonti di dati, e i molteplici studi arrivano quasi tutti alla stessa conclusione: gli attacchi cyber sono in aumento. Bisogna però tenere in considerazione che un certo numero di aziende e ancor di più privati non denunciano gli attacchi alle autorità competenti. Si può facilmente immaginare che ci siano gruppi di dati “sommersi” che mancano all’appello.

Molti individui e aziende potrebbero non essere consapevoli della gravità degli attacchi cibernetici o delle potenziali conseguenze che potrebbero subire, sottovalutano l’importanza di segnalare gli attacchi o potrebbero non essere adeguatamente informati sui canali e le procedure per farlo. Inoltre, la paura delle conseguenze legali o di una possibile esposizione pubblica potrebbe scoraggiare le vittime a denunciare gli attacchi alle autorità competenti. A questo si aggiunge anche per alcuni una mancanza di fiducia nel sistema giudiziario o nella capacità delle autorità di fornire giustizia, che potrebbe anch’essa contribuire alla mancata segnalazione degli attacchi. Pertanto, l’assenza di denunce alle autorità competenti spesso è attribuibile a una combinazione di scarsa consapevolezza, paura delle conseguenze e carenza di fiducia nel sistema.

La crescita degli attacchi informatici è costante, di lungo periodo, e il trend si è originato molto prima del Covid, ma nel periodo dell’epidemia il mondo è cambiato, e con esso il paradigma della sicurezza IT. Con il lavoro a distanza, il modello di difesa e prevenzione si è dovuto adeguare, ma questo non è avvenuto subito, ci è voluto tempo per adattarsi. Risulta più difficile dare sicurezza agendo da un sistema decentralizzato. Il castello è vuoto, tutti si sono sparpagliati nel territorio circostante, e proteggere un gregge disperso richiede un approccio diverso.

Anche dall’altra parte della barricata qualcosa è cambiato. Un tempo la connotazione degli attacchi era prevalentemente politica e rivolta ai siti di istituzioni, con l’obiettivo di generare disservizi e indebolire il prestigio dei governi, delle amministrazioni o delle forze dell’ordine. Ora il quadro è diverso: la diffusione dei bitcoin e delle altre criptovalute consente di ‘monetizzare’ in modo anonimo il riscatto, e così gli attacchi informatici sono diventati un’attività di carattere economico e senza particolari barriere all’ingresso. Nel dark web, infatti, si trovano piattaforme RaaS (Ramsomware as a Service) che offrono kit per lanciare attacchi anche a persone senza competenze tecniche.

– Christian Maggioni

Ora che abbiamo analizzato la situazione attuale, se la sensibilizzazione ci ha portato a decidere di attivarci nella protezione dei nostri sistemi informatici, possiamo chiederci: da dove devono partire le organizzazioni per difendersi dagli attacchi, e in particolare dai ransomware? Una risposta efficace inizia sicuramente dalla prevenzione, per mettere in atto una corretta protezione, garantire la business continuity e un eventuale ripristino dei sistemi.

Fra le misure di prevenzione principali troviamo l’implementazione di soluzioni di sicurezza evolute, ma non è scontato che le aziende siano dotate degli strumenti giusti. Ad esempio, secondo uno studio di UpCity del 2022, solo il 50% delle piccole e medie imprese statunitensi disponeva di sistemi di sicurezza informatica. Aziende di questo tipo, estremamente esposte ai ransomware, dovrebbero dotarsi delle giuste soluzioni per evitare di perdere i dati e le informazioni aziendali necessarie alle attività quotidiane.

Fra gli strumenti che si dovrebbero implementare per proteggere le reti troviamo le soluzioni XDR, o ancora meglio MDR, per la protezione degli endpoint; i firewall di ultima generazione con IPS e packet inspection; i sistemi di rilevamento delle intrusioni e l’autenticazione a due fattori. Per un monitoraggio costante è consigliabile utilizzare le soluzioni di analisi del traffico di rete, come Network Detection & Response (NDR), che siano in grado di rispondere in modo autonomo e siano integrate con firewall e XDR. Questi strumenti permettono di rilevare attività sospette o anomalie nelle reti aziendali e rispondere immediatamente agli attacchi.

La strada verso una prevenzione efficace continua con la corretta gestione delle password utente, da non dare per scontata. Le aziende dovrebbero implementare una policy delle password sufficientemente robusta, combinando una complessità media associata ad una lunghezza di almeno 12 caratteri.

Questo però non basta.

Numerose ricerche hanno evidenziato la necessità di evitare il cambiamento delle password ogni 30 o 60 giorni. Questa pratica, infatti, non migliora la sicurezza dei sistemi IT, poiché spinge gli utenti a creare password ripetitive e facilmente indovinabili.

Inoltre, è fondamentale utilizzare password diverse per i diversi servizi di accesso. Troppo spesso osserviamo casi in cui la stessa password o una simile viene utilizzata per accedere sia ai sistemi aziendali, come la posta elettronica, che ai social media o ad altri servizi su Internet. In molti casi, gli aggressori sono riusciti ad ottenere l’accesso utilizzando credenziali sottratte da altri sistemi e riutilizzandole.

Come già accennato, per i servizi di accesso è consigliato adottare sistemi di autenticazione a due fattori. Questa misura, spesso di facile implementazione, riduce significativamente le possibilità di successo di un attacco da parte dei criminali. In questo ambito, consigliamo anche l’uso di password manager centralizzati e integrati con LDPA / MS Active Directory, da mettere a disposizione degli utenti.

L’utilizzo degli strumenti di Cybersecurity non sostituisce però la sensibilizzazione in azienda sul tema della sicurezza. È fondamentale educare e formare i dipendenti sulle migliori pratiche, come evitare di aprire allegati o cliccare su link sospetti nelle e-mail, utilizzare password forti e aggiornare regolarmente il software.

Proseguendo con le misure di prevenzione, arriviamo all’importanza di una pianificazione puntuale. È stato dimostrato che le aziende che sono riuscite a rispondere efficacemente ad un attacco ransomware erano dotate di un piano di risposta già predisposto. La pianificazione per la business continuity e il ripristino dei sistemi informatici si è rivelata uno strumento indispensabile per mitigare gli effetti di un attacco ransomware e ripristinare le operazioni aziendali nel minor tempo possibile. I test delle procedure di risposta, ossia Disaster Recovery Plan e Business Continuity Plan, sono fondamentali per sapere come comportarsi.

Dalla nostra esperienza diretta e da alcune osservazioni statistiche, queste pratiche di pianificazione non rappresentano la normalità. Siamo ancora in una fase di bassa o media consapevolezza, dove si lavora quasi al 70% su risposta agli incidenti e al 30% sulla prevenzione e pianificazione. Alcuni anni fa percepivamo una proporzione leggermente diversa, indicativamente 80-20%, quindi ci stiamo muovendo nella giusta direzione, ma probabilmente questo cambiamento deriva principalmente dall’aumento esponenziale degli attacchi e delle vittime.

– Christian Maggioni

Un altro passo avanti decisivo nella prevenzione sono i backup regolari e l’archiviazione offline dei dati, necessari a garantire il ripristino dei propri sistemi senza dover pagare un riscatto.

Secondo il report del 2022 di VEEAM, nel 95% dei casi gli attacchi ransomware prendono di mira anche gli archivi di backup. Le aziende, quindi, devono prevedere backup off-site multipli dislocati e adeguatamente nascosti. Allo stesso tempo è necessario svolgere i test periodici di ripristino, almeno una volta all’anno, indispensabili per essere sicuri di avere disponibilità delle copie necessarie in qualsiasi momento. Senza una verifica periodica, non è garantita la possibilità di recuperare i backup.

Spesso i nostri clienti acquistano un servizio di assessment per verificare se i sistemi di backup sono configurati secondo le best practice e che i dati siano effettivamente ripristinabili. Questo aiuta il team IT ed il management ad avere una chiara visione del gap esistente tra le best practice e la situazione reale. Di frequente, infatti, il team IT è sovraccaricato da altre attività di routine o emergenze e non riesce a dare la giusta attenzione a questo importante aspetto.

– Christian Maggioni

Gli elenchi delle varie tecniche di sicurezza da adottare possono essere più o meno lunghi e complessi a seconda del caso, ma sono tutte parte essenziale della Cyber Security Higiene: ad esempio fare aggiornamenti costanti, verificare lo stato dei sistemi, utilizzare password adatte e un buon prodotto anti malware.

Questo elenco di regole riduce i rischi derivanti dall’uso di sistemi informatici. In generale, è importante analizzare i propri rischi IT per stabilire i livelli adeguati di protezione e soluzioni tecniche da adottare.

È anche utile parlare con aziende vittime di attacchi informatici e condividere esperienze, per generare consapevolezza dei rischi, scambio di conoscenze, collaborazione, diffusione di best practice e una sensibilizzazione efficace che parta dal Management.

Quando le organizzazioni si saranno concentrate sulla corretta prevenzione, dotandosi di giusti strumenti, piani di risposta e promuovendo sensibilizzazione in azienda, avremo compiuto molti passi avanti nel cammino di Cybersecurity. Nonostante questo, gli attacchi di criminali informatici potranno comunque verificarsi. Ma in che modo? Quali metodologie utilizzeranno e quali vulnerabilità potranno sfruttare?

In generale, accanto al classico malware, sono in grande crescita gli attacchi ai sistemi via mail, i Phishing e le BEC (Business Email Compromising). Queste ultime richiedono un impegno articolato, ma impattano molto. Una volta preso possesso di una casella di posta elettronica si possono fare diverse cose, per esempio indurre ad effettuare acquisti e pagamenti a favore di estranei. E, purtroppo, riuscire a ottenere le credenziali di accesso a una casella elettronica non è difficile, nel dark web si trovano database con milioni di username e password.

Per nostra esperienza, abbiamo notato che gli attacchi informatici spesso non sono così sofisticati come si potrebbe pensare. Abbiamo potuto constatare che vengono sfruttate vulnerabilità o punti deboli facilmente utilizzabili. Se possiamo dire che gli utenti sono “pigri” ed utilizzano quasi sempre le stesse password, anche gli hacker sono tendenzialmente “pigri” e cercano la strada più facile. Alla base di un attacco di successo spesso ci sono password deboli, sistemi esposti direttamente su Internet e senza aggiornamenti, credenziali di accesso esfiltrate da altri servizi e attacchi di phishing nei quali gli stessi utenti forniscono inconsapevolmente le credenziali di accesso direttamente ai malfattori.

– Christian Maggioni

Nonostante questo, a volte il cybercrime utilizza una serie di metodi più sofisticati per diffondere i ransomware.

Si parla di vulnerabilità zero-day quando i criminali sfruttano le vulnerabilità di sicurezza non ancora note o non corrette per infiltrarsi nei sistemi delle vittime e distribuire il ransomware in modo silenzioso, senza essere rilevati dai sistemi di sicurezza.

La tecnica del Malvertising, invece, coinvolge l’inserimento di annunci pubblicitari dannosi su siti web legittimi. Quando gli utenti visitano tali siti, gli annunci infetti possono sfruttare le vulnerabilità del browser o del sistema operativo per scaricare il ransomware sui loro dispositivi.

Gli Exploit kit sono strumenti preconfezionati utilizzati per sfruttare le vulnerabilità dei browser web e dei plugin correlati. Quando gli utenti visitano un sito compromesso che ospita un exploit kit, vengono automaticamente indirizzati verso pagine che cercano di sfruttare le vulnerabilità presenti nel loro sistema.

Infine, le tecniche di Evasion e Data Obfuscation consentono di non farsi “notare” dai sistemi di difesa EDR / XDR, firewall, IPS e NDR.

Le soluzioni EDR/XDR non configurate a fondo possono non rilevare un attacco e la connessione inversa, dalla rete attaccata verso quella dei criminali, può stabilirsi correttamente. Per proteggersi da queste tecniche, consigliamo di condurre una revisione completa delle politiche di configurazione, prestando particolare attenzione che tutte le funzionalità avanzate siano abilitate: scansione della memoria, raccolta di telemetria, analisi comportamentale, uscita dalla rete, sandboxing, emulazione ecc. Aziende che hanno acquistato tecnologie EDR, XDR spesso hanno la falsa sensazione di essere ben protetti, ma anche la miglior tecnologia (e ce ne sono molte) se non ben configurata non è sempre in grado di rilevare e bloccare attacchi semplici.

– Christian Maggioni

Se un ransomware ha infettato i sistemi dell’organizzazione, possiamo ancora continuare il nostro percorso di Cybersecurity e adottare alcune misure immediate per difenderci.

Il nostro consiglio prima di tutto è: niente panico. In caso di richiesta di riscatto, la prima cosa da fare è mantenere la lucidità e soprattutto affidarsi a professionisti, in grado di fornire un aiuto concreto. Chi subisce un attacco è la parte lesa. Non è solo un problema IT, ma bisogna coinvolgere diverse figure dell’organizzazione, in un approccio multidisciplinare, per gestire al meglio la crisi.

Sempre di più oggi si dispone di un buon sistema di backup, che tiene i dati al sicuro in caso di attacco. Questo consente in breve tempo di procedere con il restore senza particolari problemi.

Mantenendo la calma, bisogna procedere immediatamente a isolare e disconnettere il sistema compromesso dalla rete, per evitare la diffusione dell’attacco ad altri dispositivi. Poi si effettua il cambio delle password, prima quelle degli amministratori di rete o dei profili privilegiati, Amministratori Di Sistema, e poi tutte le altre utenze. Prima di proseguire con i restore dei dati, bisogna effettuare il reset kerberos del dominio.

In seguito, è bene utilizzare il Data Breach Self Assessment disponibile sul sito del Garante della privacy per i titolari del trattamento di dati personali. Questo strumento consente di individuare le azioni da intraprendere a seguito di una violazione dei dati personali derivante da un incidente di sicurezza.

È importante anche avere una rete dedicata per i servizi di business ed una diversa dove ripristinare i sistemi bonificati.

Consigliamo di affidarsi a specialisti del settore. Noi di Altea 365 offriamo un team specializzato capace di rispondere ed intervenire nel giro di poche ore.  Gli attacchi ransomware sono una perdita di controllo dei dati: tutti i sistemi e i file sono ancora lì, ma non si riesce ad utilizzarli perché i criminali li hanno crittografati con delle chiavi molto complesse.

– Christian Maggioni

Arrivati a questo punto del nostro viaggio nella Cybersecurity e avendo approfondito la tematica dei ransomware, ci si potrebbe chiedere come varia la redditività di un attacco. Qui entrano in gioco diversi fattori, come ad esempio la capacità delle vittime di pagare il riscatto, oppure se sono stati esfiltrati o meno dati sensibili o rilevanti per il business dell’azienda caduta vittima. Ma in realtà non esiste una regola univoca da seguire. Semplificando al massimo, si potrebbe dire che un riscatto vale meno col passare del tempo, ma è vero solo per lo sblocco del sequestro dei dati. Ecco perché alcuni gruppi criminali mettono all’asta dati esfiltrati al miglior offerente. In questi casi, sta all’inventiva di altri gruppi criminali capire come sfruttare queste informazioni. Quindi, attribuire un valore ad un attacco usando una regola univoca è una semplificazione che può portare verso un risultato sbagliato.

L’intelligenza artificiale è un vero game-changer dei nostri tempi e sta influendo sempre più anche il mondo e il mercato della Cybersecurity.

Dal recente studio “AI In Cybersecurity Global Market Report 2023” pubblicato da Reportlinker, emerge che le grandi aziende hanno già aumentato gli investimenti in questo settore e il mercato dell’AI nella sicurezza informatica sembra destinato a crescere dai 15,9 miliardi di dollari del 2022 ai 20 miliardi di dollari del 2023. Nel 2027 il mercato globale dovrebbe raggiungere i 49,2 miliardi di dollari, con un tasso di crescita annuale del +25,3%.

Anche se l’attenzione al tema è aumentata ultimamente, per via della diffusione di programmi come ChatGPT che possono essere sfruttati per eseguire cyber-attacchi, l’intelligenza artificiale è entrata nel mondo della Cybersecurity da diversi anni.

Dal punto di vista della sicurezza informatica, i grandi vantaggi dell’Intelligenza Artificiale sono la sua capacità di riuscire a reagire agli attacchi in pochi secondi, di fare analisi predittiva, di non interrompere le normali attività e la proporzionalità della reazione agli attacchi. Oggi ha un costo un poco più elevato, ma rappresenta certamente un nuovo standard di sicurezza cyber.

Altea 365 implementa e integra tecnologie basate su modelli di apprendimento del sistema immunitario umano. Gli algoritmi brevettati rilevano e combattono in tempo reale gli eventuali attacchi, anche nel caso di minacce sconosciute, analizzando i dati e imparando dai comportamenti del sistema che devono proteggere.

– Christian Maggioni

In futuro, il nostro viaggio nella sicurezza informatica incontrerà l’evoluzione dell’Intelligenza Artificiale, che potrebbe influenzare anche il panorama degli attacchi ransomware. Attualmente non si hanno evidenze concrete di ransomware che utilizzino l’AI in modo sofisticato, ma possiamo esplorare alcune delle ipotesi.

Uno dei modi in cui l’AI potrebbe essere utilizzata dal cybercrime è automatizzare il processo di creazione di varianti di ransomware. Gli algoritmi di apprendimento automatico potrebbero essere addestrati per generare codice malevolo che sia più resistente alle tecniche di rilevamento e che possa adattarsi rapidamente alle contromisure adottate dai difensori. Per evitare la generazione automatizzata di ransomware, ci auguriamo che le aziende proprietarie dei sistemi di Intelligenza Artificiale riescano ad inibirne un uso malevolo.

L’AI potrebbe essere sfruttata anche per compiere attacchi più mirati e personalizzati, raccogliendo e analizzando grandi quantità di dati personali sulle potenziali vittime, al fine di creare attacchi di Spear phishing più sofisticati e convincenti. Questo potrebbe rendere più difficile per gli utenti riconoscere le minacce e aumentare il tasso di successo degli attacchi. L’AI potrebbe quindi supportare i gruppi criminali facilitando l’attività di analisi delle potenziali vittime e del target di attacco.

Per mezzo dell’Intelligenza Artificiale potrebbe anche essere sviluppato ransomware adattivo e stealth, che può monitorare l’ambiente circostante e adattarsi in tempo reale per evitare la rilevazione. Ad esempio, il payload malevolo potrebbe analizzare le difese di sicurezza presenti sul sistema infettato e modificare il suo comportamento per evitare di essere scoperto.

Un’altra ipotesi di cui tenere conto è l’offensive AI, che potrebbe sviluppare attacchi avanzati e mirati a compromettere i sistemi di difesa. Ad esempio, algoritmi di apprendimento automatico potrebbero essere utilizzati per identificare le vulnerabilità nei modelli di rilevamento degli attacchi o per generare falsi positivi al fine di distrarre le risorse di sicurezza.

Anche se abbiamo visto come l’AI possa offrire vantaggi agli attaccanti, è importante sottolineare che allo stesso tempo può aiutare con strumenti potenti per la difesa. Gli stessi algoritmi di apprendimento automatico e le tecniche di analisi dei dati possono essere impiegati per rilevare e mitigare gli attacchi ransomware in modo più efficace. La community che sviluppa soluzioni di sicurezza continuerà a sfruttare l’AI per creare strumenti di difesa sempre più sofisticati e contrastare le minacce emergenti.

In futuro, ci auguriamo che la sensibilizzazione al tema della Cybersecurity si diffonda e porti le organizzazioni a dotarsi di strumenti innovativi, migliorare la prevenzione e difendersi dagli attacchi cyber in modo sempre più efficace.

Altea Federation, con la sua Company Altea 365, accompagna le aziende in questo percorso di security awareness offrendo servizi di Cybersecurity.

A partire da Christian Maggioni, Executive Managing Director & Equity Partner di Altea 365, che è autore di questo “Speciale Cybersecurity” e ha approfondito alcuni dei temi trattati nell’articolo “Cybersecurity e IA, ecco i 5 maggiori pericoli in arrivo nel 2024” pubblicato su Econopoly – Sole24ore.