Attacco hacker alla SIAE: il Ransomware e il prezzo del riscatto

Attacco hacker alla SIAE: il Ransomware e il prezzo del riscatto

Mentre vi proponiamo le riflessioni che seguiranno, la SIAE è stata oggetto di un attacco informatico che avrebbe causato il furto di circa 60 GB di dati sensibili (fonte AGI) con una richiesta di riscatto che secondo le prime indiscrezioni parrebbe dell’ordine di circa 3 milioni di euro.

In attesa di capire come reagirà SIAE a questo incidente, non possiamo far altro che aggiungere il suo nome al lungo elenco che caratterizza le vittime illustri degli attacchi informatici, che nel solo primo semestre del 2021 hanno già superato l’intero fatturato criminale dell’intero 2020.

Rimandando l’appuntamento con i report e i poco invidiabili primati ad un’altra occasione, vogliamo piuttosto interrogarci sull’opportunità o meno di cedere ai ricatti dei criminali qualora si venisse colpiti da un loro attacco, sia in merito alla possibile mitigazione del danno, che per quanto concerne le inevitabili conseguenze che un atteggiamento cedevole potrebbe innescare nell’incoraggiare i bassifondi dell’illegalità nella rete.

Ransomware: una minaccia costante, da cui nessuno può considerarsi al sicuro

La pandemia Covid-19 ha accelerato la trasformazione digitale delle aziende, allargando a dismisura la superficie di attacco a disposizione degli hacker. Le reti sono spesso soggette a vulnerabilità evidenti, che i malintenzionati sfruttano per accedere all’interno del perimetro di sicurezza e sottrarre i dati sensibili, siano essi informazioni riservate, piuttosto che asset strategici in termini di segreti industriali.

Rispetto alla prima generazione di ransomware, caratterizzato dall’epopea di Wannacry, piuttosto che di NotPetya, che miravano soprattutto a criptare i dati e i sistemi della vittima per richiedere un riscatto liberatorio, gli hacker hanno diabolicamente affilato le loro armi, per colpire su due fronti, con una minaccia definita a doppia estorsione.

Anche se si parla genericamente di attacco ransomware, prima di criptare in maniera automatica i file, generalmente ci si infiltra all’interno di un sistema informatico per rubare i dati, in modo che quando entrare in azione il ransomware la vittima si ritrova all’interno di una forbice micidiale.

Anche qualora disponesse di un backup dei file rubati e compromessi, nulla potrebbe difenderla dalla possibilità di data leak, con la conseguente diffusione pubblica delle informazioni o la vendita sul dark web ai migliori offerenti, tra cui potrebbero facilmente esservi i più agguerriti competitor dell’azienda vittima.

La doppia estorsione rende dunque vane le tradizionali strategie di sicurezza informatica. Oggi i CISO devono necessariamente alzare barriere più robuste, a partire dai test di vulnerabilità utili a diagnosticare le falle dei sistemi informatici, che gli hacker utilizzano per penetrare negli storage e mettere le mani sul bottino.

Il manico, inutile dirlo, è attualmente dalla parte dei criminali, in deciso aumento ed in grado di colpire un numero sempre maggiori di aziende, a partire da coloro che potrebbero dire: “ma figurati se capita proprio a me, perché i miei dati dovrebbero essere tanto interessanti?”.

Detto, fatto, e sono davvero dolori, soprattutto se si cade nella trappola di organizzazioni di cybercriminali che di scrupoli, al di là del fatto economico, se ne pongono decisamente pochi.

Pagare o non pagare: questo è il problema

A scanso di equivoci, esistono sicuramente organizzazioni solide e capaci di difendersi in maniera adeguata ad un ampio fronte di attacchi, per cui probabilmente nessuno riuscirà a rubarle i dati e qualora un errore di un dipendente dovesse aprire le porte ad un ransomware, è probabile che la sua azione risulti limitata alle aree meno sensibili della rete, opportunamente segmentate rispetto alle zone in cui risiedono i dati più critici.

Tali realtà possono veder gratificato il proprio impegno anche nel momento più difficile, dove un attacco condotto con successo potrebbe far seguire una richiesta di riscatto. Se i dati non vengono rubati, il semplice blocco può essere più o meno facilmente ripristinato grazie al contenuto di un backup. Arrivederci e grazie.

Allo stesso modo, non vogliamo credere che nel 2021 vi siano aziende sprovviste di un minimo di strategia di backup & recovery, per cui ci rifiutiamo di approfondire questo sconfortante scenario.

Nel caso della doppia estorsione, per le ragioni pocanzi accennate, la situazione si fa decisamente più complessa, ed occorre prendere una decisione molto difficile: pagare o non pagare il riscatto che viene richiesto per liberare le risorse criptate e garantire la certezza della distruzione dei dati rubati.

Secondo il report 2021 del Clusit, almeno un terzo dei CISO o dei responsabili IT di un ampio campione rilevato ritiene che la propria azienda sicuramente pagherebbe il riscatto. Un dato particolarmente significativo se si considera che almeno la metà delle realtà coinvolte dal survey si aspetta nei prossimi anni di subire un attacco.

Insomma, le aziende italiane sarebbero perfettamente consapevoli della loro fragilità e dell’attuale livello inadeguatezza nei confronti dei sistemi di sicurezza che le contraddistinguono.

Pagare o non pagare diventa dunque una questione di opportunità, di scegliere il male minore per il business dell’azienda e le possibili conseguenze che potrebbero derivare dalla resistenza all’estorsione.

Fermo restando che la caratura morale dei cybercriminali non costituisce propriamente la miglior garanzia di tutela anche nel caso in cui si procedesse al pagamento della cifra richiesta.

Tale decisione va pertanto presa caso per caso.

Purtroppo, più società cedono al ricatto, più si alimenta un trend capace di incoraggiare l’azione dei malviventi, che possono investire più risorse e prendersi maggiori rischi, consapevoli dell’elevata probabilità di successo in termini di ritorno economico.

Da vittime a colpevoli, il passo è breve

Preso atto del fatto che decidere se cedere o meno ad un ricatto costituisce un momento molto difficile, anche a livello psicologico. Sui piatti della bilancia ci sono un notevole esborso economico a fronte di un danno sensibile sotto vari aspetti, compreso un possibile crollo della reputazione aziendale, da cui potrebbe essere davvero difficile risollevarsi.

È pur vero che in altri contesti, le dinamiche di estorsione costituirebbero reato per entrambe le parti in causa, ma nel caso dei crimini informatici lo scenario ci pare piuttosto quello della vera e propria rapina, in cui vittime e colpevoli sono piuttosto ben delineati. Nonostante ciò, vi è una certa tendenza mediatica a colpevolizzare chi cede al ricatto, sulla base del fatto che tale azione incoraggia la diffusione della pratica criminale.

Ciò è indubbiamente vero, ma chi scrive in tal modo, oltre a dimostrare scarsa empatia con chi contribuisce al tessuto produttivo del sistema paese, rischia di perdere di vista quello che dovrebbe essere il vero bersaglio della questione.

Tale presa di posizione rischia infatti di rivelarsi pericolosa e fuorviante, per almeno due buoni motivi: colpevolizzare una vittima, già gravata di una serie di condizioni molto penalizzanti, oltre a costituire un atto piuttosto ingeneroso, rappresenta un assurdo anche qualora la vittima stessa avesse dimostrato delle evidenti negligenze dal punto di vista delle strategie e degli investimenti in fatto di sicurezza informatica.

Al danno si aggiunge la beffa, in quanto si rischierebbe soltanto di “normalizzare” l’operato dei criminali, riducendolo alla stregua di un evento meteorologico, un episodio neutro, quando nella razionalità delle cose l’azione illegale dovrebbe costituire l’unica fonte di evidente biasimo. Gli hacker e le organizzazioni del cybercrimine, almeno inizialmente, non hanno un volto, le vittime si, e questo agevola una presa di posizione che riteniamo inopportuna, almeno nell’ottica di un atteggiamento costruttivo.

Per vincere la battaglia contro il crimine informatico bisogna innanzitutto volerlo combattere e farcela da soli non è in alcun modo possibile, tale è la disparità di risorse che separa una qualsiasi singola realtà dall’esercito di hacker nascosto nella rete, con cui non è possibile giocare a carte scoperete.

Servono iniziative comuni, capaci di fare rete e condividere le conoscenze utili per difendersi e reagire in modo adeguato agli incidenti che possono verificarsi.

Dimostrare solidarietà a chi paga le scarse precauzioni o la mancata risposta ad un incidente, potrebbe rappresentare il primo passo per promuovere una cultura diffusa nei confronti della cybersicurezza, soprattutto se si trovasse terreno fertile nell’umiltà di voler imparare dagli errori commessi.

Cultura ed educazione informatica: le migliori armi contro il cybercrime

In altri contesti, ben più radicati nel corso della storia, la cultura e l’educazione hanno spesso consentito di creare quelle situazioni di consapevolezza capaci di creare un fronte comune contro le organizzazioni criminali: il cybercrimine non fa eccezione.

La sicurezza informatica costituisce un elemento di valore per il business, e le aziende non possono permettersi di non rendere prioritari gli investimenti in tale direzione.

Per diffondere questa cultura è necessario partire dalla formazione.

Dai C-level all’ultimo degli stagisti, è importante che vi sia una cultura diffusa sugli elementi base in fatto di sicurezza informatica, per evitare di cadere maldestramente nelle trappole degli attacchi automatizzati, come il phising, piuttosto che i malware diffusi tramite link ed allegati malevoli.

Non è questione di tecnologia, si tratterebbe semplicemente di capire che nessun soggetto credibile, quale una banca, piuttosto che l’Amazon di turno ci richiederebbe via mail delle informazioni di cui, per motivi che dovrebbero essere ovvi, ma evidentemente non lo sono, ovviamente già dispone. Si tratta di un concetto alla portata di un bambino, ma occorre spiegarglielo.

Se consideriamo il digitale come una materia essenziale in tutti i momenti che caratterizzano la nostra vita sociale e lavorativa, la formazione sui concetti fondamentali della sicurezza informatica dovrebbe addirittura essere istituita nella didattica di base, dove i più giovani potrebbero assimilarla con la stessa facilità con cui si approcciano alle lingue, alla matematica, piuttosto che alle altre discipline di base.

Per quanto riguarda la dotazione dei sistemi di sicurezza, attraverso le varie missioni che lo articolano, il PNRR ha ad esempio previsto risorse importanti per digitalizzare le aziende pubbliche e private del paese, laddove rientrano anche la formazione e gli strumenti hardware-software nell’ambito della cybersicurezza. Si tratta quindi di far seguire al programma di finanziamento europeo più ambizioso dal secondo dopoguerra quelle azioni concrete per rendere più moderne e competitive le nostre aziende.

In questo contesto, la difesa dagli attacchi informatici deve essere necessariamente posta sullo stesso piano degli altri rischi derivanti dallo svolgimento di un’attività economica. Soltanto allora si potrà imparare davvero dagli errori finora commessi e rendere la vita dei criminali informatici decisamente più complicata rispetto al momento storico di transizione che stiamo vivendo.