La pandemia ombra: i pericoli presenti e futuri del ransomware per le aziende

Nel bel mezzo della lotta in corso contro COVID-19, i governi e le aziende globali devono affrontare l'ennesima minaccia virale, dalla quale nessuno è immune. Gli attacchi ransomware sono aumentati negli ultimi due anni al punto che l'Interpol ora li considera una pandemia mondiale. In un urgente invito all'azione lanciato a metà del 2021, Jurgen Stock, il segretario generale dell'organizzazione per la sicurezza globale, ha affermato che la lotta al ransomware è diventata un compito troppo grande per qualsiasi organizzazione o industria da sola. Senza una risposta globale, ha affermato, nulla può frenare la crescita esponenziale della follia del crimine ransomware.

A ottobre, il Consiglio di sicurezza nazionale della Casa Bianca ha convocato un vertice globale sulla sicurezza informatica virtuale e le 30 nazioni partecipanti si sono impegnate a formare una coalizione simile alla NATO incentrata sulla difesa informatica. Ma gli esperti consultati da Toptal affermano che anche i leader aziendali devono impegnarsi nella battaglia contro il ransomware.

"Questo deve essere qualcosa di più di un semplice gruppo di governi e organizzazioni internazionali come l'Interpol", VS Subrahmanian, leader mondiale nella ricerca sulla sicurezza informatica e nell'antiterrorismo, e professore e docente presso il Roberta Buffett Institute for Global Affairs presso la Northwestern University , dice a Toptal Insights. La prevenzione del ransomware deve "includere le principali aziende e deve includere le persone che pensano a queste cose in modo molto approfondito, come i ricercatori indipendenti o accademici".

Gli attacchi ransomware sono aumentati al punto che l'Interpol ora li considera una pandemia mondiale.

Rallentare la crescita dell'ecosistema ransomware e difendere l'economia globale proteggerà le aziende sia ora che in futuro. Anche le aziende che dispongono di liste di controllo per la sicurezza informatica di alto livello non sono immuni dalla minaccia del ransomware di oggi. E i leader aziendali che credono di potersi riscattare da un attacco potrebbero essere turbati nell'apprendere che solo l'8% di coloro che pagano gli hacker recuperano tutti i propri dati.

"In questo momento gli aggressori evolvono costantemente le loro strategie per eludere o superare le difese, quindi questa è una battaglia costante", afferma Subrahmanian, che ha co-fondato SentiMetrix, una società di scienza dei dati e analisi sociale che collabora con agenzie governative statunitensi, aziende Fortune 500, e prestigiose università. "Il numero di attacchi è in aumento e tutte le aziende sono in pericolo."

L'attuale stato di avanzamento

L'improvviso passaggio al lavoro a distanza e la maggiore dipendenza dal cloud computing durante l'arresto del COVID-19 del 2020 ha messo in luce i punti deboli nelle reti di molte aziende e ha creato più punti di ingresso per malware: programmi software dannosi che consentono agli hacker di bloccare i dati di un'organizzazione, rimuoverli da computer dell'azienda e tenerlo in ostaggio su server esterni.

L'importo totale pagato dalle organizzazioni americane agli aggressori ransomware è più che raddoppiato tra il 2019 e il giugno 2021, secondo le stime del Financial Crimes Enforcement Network (FinCen) del Dipartimento del Tesoro degli Stati Uniti. Anche il pagamento medio del riscatto richiesto a ciascuna vittima è esploso, da poco meno di $ 1 milione di dollari nel 2019 a oltre $ 5 milioni nel 2020, secondo Unit 42, un gruppo globale di ricerca sulle minacce e analisi del malware di proprietà della società di sicurezza informatica Palo Alto Networks.

In uno degli attacchi più paralizzanti della storia recente, gli hacker hanno costretto l'interruzione della fornitura di benzina a gran parte della costa orientale degli Stati Uniti per cinque giorni nel 2021, fino a quando Colonial Pipeline Co. ha pagato 4,4 milioni di dollari di riscatto. Più o meno nello stesso periodo, il colosso assicurativo con sede a Chicago CNA ha pagato agli aggressori ransomware 40 milioni di dollari, stabilendo un nuovo record per un singolo attacco.

Alla fine del 2021, Ultimate Kronos Group, leader mondiale delle soluzioni software per le risorse umane, è stato colpito da un attacco che ha costretto i principali datori di lavoro a cercare modi alternativi per pagare i propri dipendenti, due settimane prima delle vacanze di Natale. L'importo del riscatto richiesto non è stato reso pubblico, ma è probabile che sia enorme, considerando che UKG ha registrato guadagni di 3,3 miliardi di dollari nel 2021.

La crescita esponenziale dei profitti per i criminali sta attirando sempre più opportunisti da tutto il mondo. La Cina è nota per essere un hotspot della criminalità informatica; altri paesi attivi per gli hacker includono Brasile, Polonia, Iran, India, Stati Uniti, Russia e Ucraina.

Gli attacchi ransomware di oggi sono sempre più spietati

Gli attacchi ransomware seguivano una procedura molto semplice: “Sareste attaccati. Alcuni dei tuoi file sarebbero crittografati. Dovresti pagare un riscatto in Bitcoin per riavere quei file", afferma Subrahmanian. Questi tipi di attacchi sono iniziati alla fine degli anni '80, quando i virus informatici sono stati distribuiti su floppy disk a vittime ignare che avrebbero dovuto inviare denaro a caselle postali anonime per sbloccare i loro computer. Man mano che il business globale si spostava online, anche gli schemi si spostavano.

Nel corso degli anni, le organizzazioni si sono rese conto che il backup frequente dei file su dischi rigidi esterni o server cloud neutralizza la minaccia del blocco dei dati. "Quindi ciò che hanno fatto gli attori delle minacce ransomware è stato cambiare il loro modus operandi", afferma Subrahmanian. “Quando effettuano un attacco, non si limitano a crittografare i tuoi dati. Ne rubano anche un po'".

Sfruttando i dati rubati, gli hacker ora impiegano regolarmente fino a quattro tipi di estorsioni durante gli attacchi. Il primo è crittografare i dati della vittima ed esfiltrarli (rimuoverli) su un server controllato dal criminale informatico. La seconda minaccia di divulgare pubblicamente i segreti di proprietà dell'organizzazione o le informazioni che potrebbero danneggiare la reputazione dell'azienda. Un terzo tipo di estorsione riguarda la minaccia di un attacco Denial of Service (DOS), che chiude i siti Web di un'organizzazione rivolti al pubblico.

Questi sono attacchi informatici davvero aggressivi e le persone che li portano a termine hanno più potere degli stati-nazione. —Austin Dimmer, esperto di DevSecOps

Un nuovo quarto tipo di estorsione di ransomware, la cosiddetta "estorsione esterna", è emersa nel 2020 in un attacco unico nel suo genere contro una società privata che gestisce 25 cliniche di salute mentale in Finlandia. Non solo gli aggressori hanno chiesto denaro in modo che l'azienda potesse riottenere l'accesso ai suoi sistemi ed evitare che i suoi dati interni venissero pubblicati, i criminali hanno anche estorto decine di migliaia di singoli pazienti, minacciando di rilasciare pubblicamente i loro appunti riservati del terapeuta e i record di trattamento se non lo avessero fatto pagano in media 200 euro a testa.

"Si tratta di attacchi informatici davvero aggressivi e i ragazzi che hanno effettuato questi attacchi hanno più potere degli stati-nazione ora", dice Austin Dimmer a Toptal Insights. Esperto in DevSecOps (sviluppo, sicurezza e operazioni) che ha costruito e gestito reti sicure per la Commissione Europea, Lego e Publicis Worldwide, Dimmer ha assistito alla sua parte del lavoro dei criminali informatici. "Sono solo spietati e non mostrano pietà".

Una rete complessa rende gli attaccanti difficili da catturare

La natura decentralizzata e complessa del mercato dei ransomware rende incredibilmente difficile catturare gli aggressori. La rete di persone che perpetrano un singolo attacco va ben oltre uno sviluppatore di software dannoso che crea il malware. Gli sviluppatori raramente effettuano gli attacchi da soli. Piuttosto, scaricano le loro merci nel dark web per l'acquisto o l'affitto. A quel punto, i distributori contraggono con gli sviluppatori il diritto di distribuire il software ed eseguire attacchi.

Quindi, una volta pagato un riscatto, una rete di riciclatori di denaro criptato si fa avanti, strofinando i fondi e distribuendo i profitti agli sviluppatori, ai distributori e ad altri attori.

Anche quando gli aggressori ransomware vengono trovati e arrestati, la restituzione monetaria per le vittime è generalmente minima. Nel caso Colonial Pipeline, ad esempio, l'FBI è stata in grado di tracciare le transazioni di criptovaluta solo per recuperare circa la metà dei $ 4,4 milioni di riscatto pagato.

Prevedere e prevenire attacchi futuri

Con poche speranze di rintracciare criminali e riscattare fondi dopo il completamento di un attacco ransomware, Subrahmanian si concentra sulla previsione e sulla prevenzione. Lui e il suo team della Northwestern stanno attualmente sviluppando un sistema predittivo in grado di anticipare il tipo e i tempi di futuri attacchi ransomware prima che i dati vengano compromessi.

Il suo software utilizza l'intelligenza artificiale per tenere traccia delle comunicazioni e delle tendenze sul dark web e sui social media per identificare il nuovo malware in fase di sviluppo e per notare quando viene promosso a potenziali distributori.

Subrahmanian mira a individuare non solo quando, ma anche come gli hacker cercheranno di infiltrarsi nei sistemi. I suoi risultati iniziali hanno mostrato che delle migliaia di possibili vulnerabilità identificate nelle checklist di sicurezza e dai consulenti, gli hacker prendono di mira solo il 9,3% dei punti deboli. Ciò significa che le organizzazioni potrebbero sprecare il 90% dei loro sforzi di sicurezza IT per le protezioni sbagliate.

Sebbene sia quasi impossibile anticipare le azioni di gruppi di hacker anonimi e individui diffusi a livello globale, il monitoraggio delle comunicazioni aggregate segnalate per connessioni alla criminalità informatica può essere indicativo di crescenti aree di minaccia. Come osservare il flusso dei mercati finanziari per prevedere le tendenze, Subrahmanian spera che l'osservazione dell'ampio mercato delle attività di ransomware aiuterà i ricercatori a riconoscere il malware emergente e i suoi potenziali bersagli in modo che le organizzazioni possano adottare misure proattive.

Modi innovativi con cui il settore privato può aiutare a combattere la criminalità informatica

Senza il tipo di previsioni affidabili che il team di Subrahmanian sta cercando di creare, le prime linee sono ancora un luogo straziante per le organizzazioni in cui operare. Ma queste quattro strategie possono aiutare i leader aziendali a reagire in questo momento:

Riduci i profitti per gli aggressori di ransomware

Se gli attacchi ransomware continuano a fornire enormi guadagni ai criminali informatici, Dimmer ritiene che la maggior parte degli sforzi del governo e delle forze dell'ordine siano destinati a fallire. Ci sono semplicemente troppe opportunità di profitto, ragiona, soprattutto considerando che altre opportunità economiche simili potrebbero non esistere in alcuni dei paesi in cui hanno sede gli hacker.

Per indebolire questo motore economico, le aziende dovrebbero prendere in considerazione l'adozione di regole interne contro il pagamento di riscatti e sostenere una legislazione che renderebbe illegale il pagamento di un riscatto, affermano Subrahmanian e Ismael Peinado, Chief Technology Officer di Toptal. “Pensa solo al motivo per cui stiamo avendo questi attacchi. Perché gli aggressori stanno ottenendo i soldi. E perché sta peggiorando? Perché continuano a ricevere i soldi", dice Peinado. “Perché non paghiamo un riscatto alle persone che entrano in banca e prendono ostaggi? Per la stessa ragione."

Può sembrare controverso criminalizzare le azioni intraprese dalle vittime di ransomware, ma Subrahmanian osserva che le aziende che pagano i criminali informatici per salvare i propri dati potrebbero già violare il diritto internazionale se gli aggressori provengono da paesi con sanzioni internazionali contro di loro o sono affiliate a organizzazioni che sponsorizzano il terrorismo. Un rapporto sui pagamenti in criptovaluta agli hacker che hanno tracciato i paesi di destinazione dei pagamenti in criptovaluta per ransomware ha mostrato che almeno il 15% dei pagamenti è finito nelle mani di entità vietate, in violazione delle leggi internazionali.

Inoltre, pagare non garantisce che gli hacker manterranno la loro parte dell'accordo. Secondo un recente sondaggio condotto dalla società di sicurezza informatica Sophos su oltre 5.000 leader IT in tutto il mondo, le organizzazioni che hanno pagato hanno recuperato in media solo il 65% dei loro dati. Solo l'8% delle vittime è stato in grado di recuperare tutti i propri file.

Concentrati su SecOps invece di checklist e audit esterni

I leader tecnologici che cercano di proteggere le loro aziende spesso utilizzano elenchi di controllo delle migliori pratiche di sicurezza, investono nel software di sicurezza più recente e assumono costosi revisori della sicurezza per testare le vulnerabilità della rete. Sfortunatamente, Peinado, un leader globale della sicurezza informatica con 20 anni di esperienza di lavoro con organizzazioni governative, startup e grandi aziende in forte crescita, afferma che questo è l'approccio sbagliato.

Inseguire elenchi di controllo e certificazioni e concentrarsi sulla semplice conformità normativa può divorare le risorse IT di un'istituzione creando al contempo un falso senso di sicurezza tra i dirigenti aziendali. Con i punti di accesso aggiuntivi ai sistemi e la dipendenza dal cloud computing, ottenere l'accesso alle reti non è più così difficile come una volta, afferma. Eppure le aziende di sicurezza trascorrono ancora innumerevoli ore a controllare le vulnerabilità nelle reti che potrebbero non essere mai un bersaglio degli hacker. "Alla fine della giornata, perdono la concentrazione su ciò che fanno i veri hacker, ovvero se ti metti al sicuro un modo per entrare in casa, trovano semplicemente un altro modo per irrompere", dice.

Invece, Peinado consiglia ai leader tecnologici di integrare la sicurezza direttamente nelle operazioni di progettazione e di eliminare il ciclo costante di test e patch. Questi tipi di operazioni di sicurezza, denominate DevSecOps o SecOps, integrano la sicurezza direttamente nelle operazioni di sviluppo software di un'azienda e promuovono un ambiente di risposte agili alle nuove minacce, afferma.

Ad esempio, quando una nuova funzione o caratteristica del sito Web di un'azienda viene creata e lanciata pubblicamente, emerge una nuova serie di vulnerabilità per gli hacker. In un ciclo di lavoro tradizionale, gli sviluppatori creavano le funzioni del nuovo sito Web in un silo e quindi le sottoponevano a test da parte di esperti di sicurezza interni (e talvolta esterni). La sicurezza verrebbe quindi corretta e sovrapposta alle vulnerabilità rilevate dopo il fatto.

In un ambiente SecOps, gli ingegneri e gli sviluppatori che costruiscono il sito o la funzionalità siedono accanto a un ingegnere della sicurezza per garantire che il livello di sicurezza adeguato sia integrato durante lo sviluppo del prodotto. Questo approccio integrato rende gli sviluppatori SecOps più consapevoli e responsabili in un modo che semplicemente non è possibile nelle procedure più tradizionali, afferma Peinado.

Sfrutta il talento contingente di sicurezza informatica

Dimmer, che lavora con i clienti nell'ambito della rete di talenti degli sviluppatori di Toptal, afferma di ricevere reazioni contrastanti quando cerca di introdurre il punto di vista SecOps nei processi dei clienti, spesso a causa delle lacune di competenze nei team IT interni: i sistemi diventano più difficili da usare poiché li rendi più sicuri. Il successo significa non solo disporre dei sistemi giusti, ma anche disporre del personale qualificato per utilizzarli, afferma.

L'assunzione di personale in ruoli tecnologici di alto valore come gli ingegneri della sicurezza continua a essere un punto dolente per le aziende. Quasi 1 organizzazione su 10 intervistata da TechBeacon per un rapporto sullo stato delle operazioni di sicurezza ha affermato che la mancanza di talenti qualificati è stata la sfida numero uno alla sicurezza informatica nel 2021 e quasi il 30% ha affermato che era tra i primi tre ostacoli.

I migliori talenti tecnologici possono essere assunti attraverso reti contingenti, come Toptal, per aiutare a colmare queste lacune. Sviluppatori in trincea e leader tecnologici come Dimmer sono stati molto richiesti per decenni, ma lo sono ancora di più ora a causa della massiccia carenza di addetti alla sicurezza informatica. L'Information Systems Security Association ha stimato un divario di 4 milioni di professionisti nel settore nel 2019 e il suo sondaggio tra i leader IT nel 2021 ha rilevato che da allora il divario si è ampliato.

Alcuni leader aziendali potrebbero essere riluttanti a utilizzare talenti esterni per i progetti di sicurezza più sensibili, come l'inclusione di liberi professionisti nelle trincee di SecOps. Ma affidare parte delle operazioni di sicurezza a talenti esterni è, in effetti, già la norma: più della metà delle organizzazioni intervistate da TechBeacon ha riferito di utilizzare una combinazione di risorse interne ed esterne per affrontare le proprie funzioni di sicurezza informatica.

Il futuro della lotta alla criminalità informatica

Finora, il software di intelligenza artificiale di Subrahmanian ha dimostrato di essere efficace al 70% nel prevedere gli attacchi ransomware in modelli sperimentali, afferma. Se i test continuano ad andare bene, spera di pubblicare le previsioni per gli attacchi nel mondo reale a partire dalla metà del 2022.

La sua ricerca si concentra anche sul divario tra quando vengono identificate le vulnerabilità nel software e quando le patch software e gli aggiornamenti di sicurezza sono ampiamente disponibili al pubblico. I risultati iniziali di questa ricerca rivelano che quasi la metà degli attacchi di malware avviene durante questo periodo, che, in media, dura circa 132 giorni. Questo lungo periodo di vulnerabilità rende la sua ricerca di un modello predittivo efficace ancora più fondamentale per fermare gli hacker all'insorgere di nuove minacce.

Nel frattempo, Big Tech si sta intensificando. Google si è impegnata a spendere 10 miliardi di dollari nei prossimi cinque anni per aiutare a proteggere la catena di fornitura del software ed espandere l'uso di sistemi zero-trust, framework di sicurezza che richiedono l'autenticazione continua di tutti gli utenti interni ed esterni. Microsoft offre 150 milioni di dollari in servizi tecnici per aiutare i governi locali negli Stati Uniti ad aggiornare le proprie difese. E Amazon si è impegnata a iniziare a offrire la stessa formazione sulla sensibilizzazione alla sicurezza che offre ai suoi dipendenti al pubblico e a rendere gratuita l'autenticazione in due passaggi per tutti i client Amazon Web Services (AWS).

Combattere il ransomware come minaccia in continua evoluzione prenderà un villaggio globale, afferma Subrahmanian, e le aziende, grandi e piccole, devono farne parte.

Correlati: Sfoglia la Directory delle competenze degli sviluppatori di Toptal per SecOps Talent