Sommario
Ransomware:
la situazione in Italia
Aspetti
legati alla prevenzione
La
gestione della fase di recovery
Indice delle figure
Figura 1 - Media giornaliera tra gli attacchi
ransomware
Figura 2 - Rapporto tra P.A. e mondo privato
Figura 3 - Distribuzione geografica degli attacchi
ransomware in Italia
Figura 4 - Il tweet con cui la Regione Lazio
confermava l'attacco hacker
Figura 5 - Attacchi e collettivi hacker
Indice delle tabelle
Non è stata trovata alcuna voce dell'indice delle figure.
Scopo del documento
Dal 2012 l’Italia riceve un numero crescente di attacchi hacker di varia natura; ci sono attacchi con finalità politica, di lucro, di danneggiamento. Tenerne traccia è assai difficile data l’eterogeneità delle sorgenti, dei mezzi usati per il contagio (vettori) e degli obiettivi (target).
Alcuni organismi italiani hanno provveduto a mettere assieme dati provenienti da più fonti, con lo scopo di creare uno scenario analitico più completo possibile. D’altro canto, c’era necessità di analizzare a fondo la tendenza di crescita di alcune tipologie di cyber attacco poiché dal 2012 ad oggi l’hacking ha subito un forte mutamento.
Da fenomeno prettamente tecnico, dimostrante la preparazione tecnica degli attaccanti, è mutato in una forma di fenomeno sociale con l’intenzione di incarnare gran parte del malcontento della popolazione. È stato trasformato dagli hacker stessi, in un certo senso, in una forma di “scudo” contro le ingiustizie dello Stato. Un esempio tra tutti sono le operations di Anonymous, intenzionate a denunciare le negligenze, gli abusi e gli illeciti della macchina statale seppur con mezzi illeciti.
Oggi l’hacking è diventato qualcosa a cui ci stiamo lentamente abituando ma, per chi lo studia, sta diventando anche un fenomeno di “stress” delle leggi nazionali ed europee, prima tra tutte il GDPR. Per gli hacker la continua normazione senza la corretta divulgazione della cultura della sicurezza e l’applicazione delle sanzioni previste, è semplicemente inutile. Per dimostrarlo sono stati compiuti numerosi attacchi nell’autunno del 2018 e tutti finalizzati a stressare il GDPR e i meccanismi di segnalazione.
Con il presente documento si fornisce uno spaccato circa i dati raccolti, offrendo un’analisi sia qualitativa che quantitativa, basata su mesi di studi e di confronto con altri analisti di sicurezza. In questa prima versione del “Cyber AntiSec Report”, si è cercato quindi di mettere a sistema la molteplicità di dati raccolti. È mio più profondo auspicio sperare che questo documento possa essere di aiuto ai lettori per comprendere meglio un fenomeno crescente e di fondamentale importanza per chi vuole intraprendere una professione nel digitale.
Novità dell’edizione 2022
Il documento è stato profondamente rivisto perché rispetto gli anni precedenti sono cambiate le tipologie di attacco che l’Italia ha subìto e sta subendo. Si parla, per lo più, di attacchi ransomware che non hanno risparmiato né le aziende private, né le pubbliche amministrazioni. Per questo motivo
Il rapporto è stato anche sintetizzato per consentire una più agevole lettura e quindi facilitare la comprensione dei fenomeni raccontati internamente.
Ransomware: la situazione in Italia
Dal 2019 è stato avviato un osservatorio[1] sul sito edoardolimone.com per tracciare l’attività ransomware all’interno delle realtà private e di quelle pubbliche. L’attività è stata monitorata attraverso fonti ufficiali quali: comunicati stampa degli obiettivi colpiti, articoli di giornale, presenza su database contenenti la lista degli attacchi. Le fonti, quindi, sono state verificate al fine di garantire una qualità del dato ottimale. È altresì possibile che non siano presenti proprio tutti gli attacchi ma l’universo statistico registrato è sufficiente per formarsi una chiara idea di come il fenomeno si svolge all’interno dei nostri confini nazionali.
Il primo dato rilevante riguarda la Media giornaliera tra due attacchi ossia quanto tempo trascorre tra un primo attacco ransomware ed un secondo.
Figura 1 - Media giornaliera tra gli attacchi ransomware
Il risultato è particolarmente significativo perché è in grado di illustrare molto bene le caratteristiche di sviluppo del fenomeno. Se nel 2019 si sono registrati una media di 61 giorni tra un attacco ransomware ed il successivo, nel 2020 questo intervallo è sceso a 24 giorni e nel 2021 si è ulteriormente ridotto a 6 giorni. Parliamo di un attacco a settimana, una media poco invidiabile per un paese che ha normative europee e nazionali studiate per proteggere fortemente i dati ma che, in molti casi, si ostina a non applicare. Il 2021 è stato poi un anno molto difficile per le aziende sanitarie, colpite duramente e frequentemente verso la fine dell’anno. Viene quindi da chiedersi quanto sia tenuta in considerazione la pubblica amministrazione italiana da parte degli hacker stranieri.
Figura 2 - Rapporto tra P.A. e mondo privato
Se nel 2019 il maggior numero degli attacchi è stato registrato verso il mondo della pubblica amministrazione, nel 2020 c’è stata una forte inversione di questa tendenza. Nel 2021, tuttavia la quota di attacchi ai danni della P.A. è nuovamente aumentata seppur non paragonabile all’ambito privatistico. Il fenomeno si spiega in modo piuttosto semplice: gli attacchi ransomware hanno sempre colpito obiettivi statali ed in molti casi (alcune contee americane), il riscatto è stato pagato poiché è nel pubblico la mole di dati maggiore. Potremmo ad esempio fare il caso della Contea di Jackson[2] oppure di Lake City in Florida[3], questo fenomeno iniziale ha visto vittime quali ministeri, municipi, ospedali, scuole ed in molti casi di strutture pubbliche. Ricordo che l’ambito pubblico possiede la quantità di dati maggiore ma, soprattutto, l’eterogeneità dei dati è senza pari: all’interno dei DB della pubblica amministrazione è possibile trovare dati di ogni tipologia e spesso le misure di sicurezza non sono lontanamente adeguate a mantenere al sicuro quelli più particolari.
In Italia gli hacker si sono comportati allo stesso modo, provando ad attaccare maggiormente le strutture pubbliche ma ricavandone molta meno soddisfazione rispetto a quanto accaduto all’estero. La Contea di Jackson pare abbia pagato il riscatto di 600.000 dollari, Lake City pare ne abbia pagati 400.000, in Italia queste cifre non erano nemmeno pensabili. Tra l’altro l’Italia è il paese delle PMI e quindi l’ambito privatistico è particolarmente fruttuoso, motivo per il quale nel 2020 la tendenza di attacco si è letteralmente spostato verso l’ambito privato tralasciando quasi il pubblico ma questo non dovrebbe meravigliarci. Ciò che invece dovrebbe incuriosirci come analisti del fenomeno, è la grande attenzione all’economia interna del Paese: studiando gli attacchi è stato possibile riscontrare un fenomeno interessante.
Figura 3 - Distribuzione geografica degli attacchi ransomware in Italia
Il numero maggiore degli attacchi ransomware è concentrato nel nord Italia e, principalmente, nelle regioni ritenute più ricche. Questa scelta non può essere una coincidenza e deve lasciar supporre che vi sia un attento studio dell’economia interna del Paese: Lombardia, Veneto, Piemonte, Emilia-Romagna ma anche il Lazio e su quest’ultimo bisogna aggiungere qualche dettaglio.
Figura 4 - Il tweet con cui
la Regione Lazio confermava l'attacco hacker
Si ricorderà che il 1 agosto 2021 la Regione Lazio è stata vittima di un attacco ransomware[4] con esfiltrazione dei dati da parte del collettivo RansomEXX[5]. Analizzando i dati regionali ci si potrebbe domandare come mai il Lazio entri nella “classifica” delle regioni più ricche ma la risposta potrebbe essere differente e non legata allo stato di ricchezza della regione. Il Lazio è, per definizione, la regione con maggiori istituzioni al suo interno per via della presenza di Roma Capitale, il che la rende un obiettivo particolarmente indicato qualora si cercassero pubbliche amministrazioni centrali da colpire e da cui aspettarsi il pagamento di un riscatto. Tutto questo dimostra una premeditazione, uno studio, un’attenzione particolare all’andamento dell’economia interna che non sono trascurabili e ci danno la dimensione di un fenomeno piuttosto complesso e serio.
Un altro aspetto altrettanto interessante è legato ai collettivi hacker che, dal 2019, si sono sviluppati nella tecnica ma anche nel numero. In alcuni casi, come Defray, hanno cambiato nome e si sono fatti riconoscere grazie alla tipologia di minaccia adottata. In altri casi, invece, sono nati dalla costola di un collettivo più ampio e talvolta sono semplicemente nati nel tentativo di sfruttare la tendenza del lucro illegale.
Tuttavia, al 2021, gruppi come LockBit 2.0 o Conti, hanno numeri di attacco sensibilmente più alti rispetto agli altri e vantano una complessità nella gestione dei rapporti con le vittime assolutamente notevole.
Figura 5 - Attacchi e collettivi hacker
Questo ha spinto società come la ClearSky a produrre report come il “Conti Modus Operandi and Bitcoin Tracking”[6] (aggiornato al febbraio 2021), nel tentativo di informare sulla modalità di attacco, di gestione dei riscatti (grazie al tracciamento della criptovaluta effettuato da WhiteStream) e della gestione del rapporto con la vittima. Quest’ultimo aspetto si è rivelato particolarmente interessante per via dell’utilizzo di una tecnica molto simile a quella utilizzata nella negoziazione degli ostaggi e che prende il nome di negoziazione multi-parte.
La negoziazione del riscatto
Molti collettivi hanno dotato i loro portali di una chat con la quale la vittima può richiedere informazioni e una riduzione del riscatto. Secondo lo studio di ClearSky, in molti casi è possibile ottenere una riduzione di anche il 70% della cifra iniziale e questo lo si fa interagendo tramite questa chat nella quale dall’altra parte c’è un soggetto definito support. Il support che, psicologicamente suggerisce proprio l’idea di aiuto offerto alla vittima e la ben dispone all’interazione, altro non è che un mediatore adottato dal collettivo hacker per trattare in modo da dare l’impressione alla vittima di svolgere il ruolo di intermediario. Nel caso riportato all’interno del report, il negoziato è iniziato il 30/12/2020, 16:34:05 e di è concluso il 20/01/2021, 18:24:43. Dobbiamo considerare quasi un mese di interazioni finalizzato a pagare un riscatto inferiore ma pur sempre cospicuo. Durante questa fase, tuttavia, si è evidenziato un dato importante: il riscatto sovrastimato era stato calcolato sulla base di documenti finanziari di tipo previsionale. Il che ha lasciato supporre che gli hacker non abbiano assolutamente analizzato nel dettaglio la realtà fiscale del target o che la strategia sia stata studiata a tavolino per mostrare la forte riduzione del prezzo del riscatto.
We have a
lot of questions. Maybe you've got the wrong price because we have no idea what
internal financial documents show that we can pay $8,500,000.
È abbastanza chiara la sorpresa con cui Amy Lynn, la mediatrice dell’azienda, risponde alla richiesta di riscatto iniziale degli hacker. Una richiesta di 8.500.000 dollari che si concretizzerà con un riscatto pagato per 600.000 dollari.
Aspetti legati alla prevenzione
La gestione della fase di recovery
In molte realtà private e pubbliche, la fase di recovery continua ad essere problematica; questo essenzialmente a causa della carenza di procedure e strumenti. Le procedure permettono all’organizzazione di sapere cosa fare in condizioni emergenziali come quella post-attacco. Gli strumenti, ovviamente, permettono materialmente la reazione alla crisi, consentendo un recupero dei dati, o la preparazione di nuovi sistemi in sostituzione di quelli infetti.
La gestione metodologica della fase di recovery può essere (e dovrebbe essere) affrontata all’interno di uno dei documenti strategico-programmatici che l’organizzazione dovrebbe predisporre. Può esserci, ad esempio, una strategia anti-ransomware all’interno di un’analisi del rischio, piuttosto che all’interno di un’analisi d’impatto indipendentemente dalla sua obbligatorietà[7].
È necessario specificare che, al di fuori dell’ambito informatico, la preparazione di procedure e documentazioni metodologiche, è considerata una buona prassi per la corretta gestione tanto della fase emergenziale, quanto delle fasi immediatamente ex-ante ed ex-post la crisi.
Penetration Test
Sono anche carenti le simulazioni deputate alla verifica di eventuali falle nella sicurezza infrastrutturale: i cosiddetti penetration test che spesso sono effettuati senza rispettare i criteri di esecuzione tradizionale. Tali strumenti hanno la finalità di saggiare la resistenza di configurazioni, apparati di rete, sistemi, applicativi, simulando attacchi come avverrebbe durante una normale offensiva. I penetration test possono essere condotti su un segmento ridotto dell’infrastruttura organizzativa, possono riguardare dati fittizi e non arrecano, quindi, danni e disservizi all’organizzazione. Tuttavia, parte di questi test dovrebbe essere effettuata realmente e non solo attraverso “script automatici” finalizzati a raggiungere un obiettivo previsto contrattualmente.
Ad esempio, dovrebbe essere testato il personale operante per comprendere se suscettibile ad azioni di ingegneria sociale, ad attacchi di spear-phishing o similari. Un’infrastruttura solida su cui opera un personale impreparato è assolutamente vulnerabile alle minacce tanto quanto un’infrastruttura insicura. Su questo punto c’è ancora molta superficialità, soprattutto sulle modalità di verifica: molti test nevralgici vengono eseguiti in modalità white-box, ossia informando il personale di quando e come avverrà l’attacco, vanificandone gli effetti. Anche la modalità grey-box con cui si forniscono parziali informazioni sull’attacco è abusata e viene utilizzata anche nelle simulazioni di attacchi ransomware, il che rende davvero poco realistica la simulazione. In alcune occasioni è stato chiesto come mai si sono preferite queste due modalità alla canonica e più corretta black-box: nella quale non viene fornita alcuna informazione sul “quando” e sul “come” sarà condotta l’offensiva. La risposta è stata che si è ritenuto che l’esito del test fosse vitale per soddisfare il requisito contrattuale, creando così un vizio di forma non indifferente.
Il requisito contrattuale dovrebbe essere indipendente dall’esito del penetration test e quest’ultimo dovrebbe essere seguito da un’analisi finalizzata a capire se il fornitore di una tecnologia/servizio sta operando correttamente sull’organizzazione e se quest’ultima ha adottato tutti i criteri di sicurezza necessari a proteggere i dati. Questo punto è importante perché in molti contratti si legge che il penetration test, quando presente, viene effettuato dallo stesso fornitore di tecnologie e/o servizi, creando un altro potenziale vizio di forma basato su un ovvio conflitto d’interessi.
Conclusioni
La particolare condizione legata ai lockdown da COVID-19, unita all’incremento della minaccia ransomware, ha favorito attacchi a scopo di lucro con esfiltrazione di dati particolari come quelli sanitari. L’aumento di questa tendenza è stato costante per tutto il 2021 ed è proseguito anche per il 2022. In aggiunta a questo fenomeno c’è la frequente impreparazione nella gestione delle conseguenze dell’offensiva: mancanza di strategie per il contrasto dell’esfiltrazione dei dati, incapacità a definire strategie efficaci, controllo di configurazione carente, conoscenza del personale non aggiornata.