Cybersecurity: così la pandemia fa volare gli attacchi Double Extortion

«Gli attacchi di questo tipo rappresentano un importante cambio di paradigma in ambito estorsione digitale. – spiega al Sole 24 Ore Marco Ramilli, Ceo e Founder di Yoroi - Nati per rispondere alla rassicurante certezza della vittima offerta da moderni sistemi di backup o disaster recovery, introducono nella fase di ricatto, la pubblicazione di documenti intimi per la vittima stessa. In questo modo la vittima non solo vede i propri sistemi informativi bloccati ma anche i propri documenti condivisi in rete. Una seconda leva psicologica estremamente significativa per ogni vittima. Ma non bisogna cedere a ricatti, non dobbiamo alimentare quel mercato che devia la giustizia digitale e per questo motivo abbiamo deciso di collaborare con Il Sole 24 Ore offrendo un set di informazioni gratuite per sensibilizzare il lettore sull'enorme frequenza di minacce digitali e sul loro andamento storico in modo da incuriosire ed allertare la sua attenzione verso ciò che più è rilevante in un preciso momento».

Il risultato della collaborazione con Yoroi è questa dashboard aggiornata quotidianamente su Lab24 con i principali attacchi, tendenze e tipologie di minacce informatiche.

Nel 2019 si era visto un aumento di questo trend cyber-criminale, facendo riferimento a gruppi come Dark Team. Ma all'epoca erano concentrati su un unico obiettivo: installare malware di tipo ransomware in tutta l’azienda.

Invece, nel corso del 2020 molti di questi operatori sono passati alla pratica della Double Extortion iniziando a rubare dati preziosi dalla rete della vittima e chiedendo denaro per “garantire” la cancellazione del loro bottino criminale.Inoltre, le dinamiche degli attacchi di Double Extortion ricordano il modus operandi degli “advanced threat actors”, le cosiddette Advanced Persistent Threat (APT). Questo è molto più di un banale dettaglio.

Tali intrusioni informatiche avanzate vengono avviate molte volte attraverso host infetti da malware per entrare nella rete aziendale. Quindi, i cybercriminali sfruttano il loro set di strumenti e impianti per spostarsi attraverso la rete aziendale, per rubare dati sensibili e infine per assumere completamente il controllo dell’infrastruttura IT, tagliando fuori gli amministratori di sistema e distribuendo massicciamente ransomware su qualsiasi asset aziendale.Affrontare tali minacce era, fino a pochi anni fa, solo una preoccupazione delle organizzazioni che operavano in settori strategici o in settori verticali fortemente presi di mira come il settore bancario, finanziario, la difesa o le infrastrutture critiche.

Dopo l’accelerazione verso il digitale, imposta dalla pandemia, le stesse metodologie operative dannose stanno ora minacciando moltissimi settori, ponendo il problema della sicurezza informatica a diversi livelli.«Questo punto di svolta – sostengono da Yoroi - è impossibile da ignorare. La convinzione che hanno molte aziende operanti in settori meno cyber-maturi – come ad esempio “le vecchie strategie sono ancora sufficienti” – va in frantumi di fronte alla violenza degli attacchi Double Extortion, che in poche ore catapultano letteralmente l’azienda in una crisi Cyber. Una situazione caotica che pone di fronte ai vertici aziendali una serie di problematiche di elevata gravità che hanno un impatto immediato sull'operatività del business, sulle responsabilità civili e penali, sulla reputazione del marchio e sulla competitività a lungo termine».

E allora, come è possibile adattare la strategia di sicurezza informatica aziendale per affrontare queste minacce? Secondo Yoroi «ci sono molti modi per farlo». In ambienti aziendali complessi «l’adozione delle migliori pratiche potrebbe tradursi però solo in costosi esercizi estetici; è molto meglio concentrarsi su buone pratiche e principi». Un principio che un CISO potrebbe utilizzare come bussola è «l'equilibrio». Ad esempio, «bilanciare le risorse e l’investimento tra prevenzione, rilevamento e risposta.

Rispondendo a domande del tipo: “Quanto ha investito l’azienda in controlli di sicurezza preventivi?” - oppure - “L’azienda sta investendo in rilevamento e risposta?” o anche “quando è stata l’ultima volta che l’azienda ha rivisto in profondità la sua strategia di sicurezza?” può aiutare molto nel processo decisionale».

Con questo in mente, «le strategie di cybersecurity possono essere sviluppate potenziando a livello aziendale la prontezza di risposta alle Cyber Crisis e i piani di emergenza. Investire in security operations, in tecnologie di rilevamento e risposta».