Lo scenario della minaccia prima di WannaCry: il Global Threat Intelligence Report 2017

La campagna Ransomware WannaCry, che ha tenuto in scacco oltre 160 paesi e oltre 200 mila entità pubbliche e private contagiate nei propri sistemi Windows, non sembra arrestarsi, anche se ha subito un significativo rallentamento grazie all’involontaria attivazione del “kill switch” del ricercatore Matt Suiche alias MalwareTech, per poi riprendere i contagi attraverso varianti del malware deprivate del meccanismo di stop. Per più di un esperto tutto ciò non sarebbe avvenuto se l’NSA non avesse celato vulnerabilità e software in grado sfruttarle, ma attualmente l’attenzione mondiale è rivolta alla ricerca del “paziente zero” per determinare un’attribuzione maggiormente certa rispetto alle ipotesi di coinvolgimento della Corea del Nord.

Lo scenario globale: chi è più sottoposto ad attacchi

A causa dell’evento di scala mondiale il tema della sicurezza informatica, ha subito un picco di attenzione ma bisogna riconoscere che fino a poco prima, lo scenario globale della minaccia non era assolutamente calmo e privo di pericoli. Ne è una prova l’ultima fotografia svolta dal gruppo NTT e divulgata nel Global Threat Intelligent Report 2017 sul periodo di riferimento ottobre 2015-settembre 2016, che osserva gli incidenti, eventi e vulnerabilità di sicurezza nella propria rete, uniti ai risultati dei ricercatori e ai dati acquisiti da Honeypots e sandbox situati in oltre 100 paesi diversi in ambienti indipendenti dalle infrastrutture istituzionali. La capacita’ di analisi del gruppo si staglia su circa il 40% del traffico internet a livello mondiale e riassume i dati da oltre 3,5 trilioni di log e 6,2 miliardi di attacchi.

Su scala globale, gli elementi di principale attenzione riguardano, il settore Finance il più soggetto agli attacchi in tutte le sei regioni geografiche analizzate, mentre il Manufacturing è il secondo settore più attaccato in cinque delle sei regioni esaminate. Nel report 2016 (periodo2014/2015) invece, il principale obiettivo era stato l’ambito del Retail seguito dai settori turistici e di intrattenimento. Nel periodo osservato, 2015/2016 e dunque ben prima del “Wannacry Event”, gli attacchi ransomware hanno pesato per il 77% degli attacchi colpendo in particolar modo i settori dei servizi professionali (28%), della Pubblica Amministrazione (19%), della Sanità (15%), e del Retail (15%).

La distribuzione del rischio

Il 73% di tutti i malware inviati ad aziende ed organizzazioni sono stati tentativi di phishing. Rispetto alle risposte agli incidenti il ransomware ha riguardato il 22% dei casi esaminati costituendo il 50% degli incidenti nel settore sanitario del mondo. Proprio la sanità è stata il target principale fra i 4 settori maggiormente colpiti da eventi di incidente. Infatti sul 59% di tutti gli incidenti nel mondo, la rilevanza maggiore si è verificata in ambito sanitario per il 17%, seguita dalla finanza con il 16%, dai servizi professionali al 14% e dal retail al 12%. Gli exploit kit hanno subito un declino su base annuale dato che è stata registrata una incidenza del 13% che ha interessato solo il terzo trimestre del 2016. Gli attacchi Denial of Service Distribuiti (DDoS) hanno invece rappresentato meno del 6 % di tutti gli attacchi, su base mondiale.

Il focus dell’area EMEA stabilisce invece una diversa distribuzione del 54% degli attacchi: Finance per il 20%, Manufacturing e Retail con il 17% ciascuno. Al phishing resta il primato di vettore primario di attacco arrivando al 60% dei tentativi di intrusione ma naturalmente rappresenta anche il sintomo dell’acuirsi delle tecniche di social engineering con cui i malintenzionati raccolgono informazioni per penetrare all’interno delle organizzazioni aziendali e possibilmente effettuare sottrazione di dati sensibili finalizzati al furto di identità o di Data Leakage aziendali per richieste di riscatto o concorrenza sleale fino alle aste sul mercato nero digitale (DarkNets). I trojan sono tipologie di malware funzionali a questi obiettivi criminali ed infatti rappresentano il 67% del totale di quelli identificati, ma comunque si tratta di un dato inferiore al 93% dell’incidenza di questo malware rispetto al territorio australiano dove rappresentano una vera piaga.

Come gestire la minaccia

Il report suggerisce infine per le aziende, alcuni principi d’azione in favore della risilienza dell’organizzazione, che dovrebbero costituire la strategia di contrasto alle minacce cyber:

1. La sicurezza deve essere considerata un requisito di supporto al core business aziendale e non un add-on. Infatti, le informazioni sensibili del business possono essere salvaguardate mediante l’implementazione di opportune misure di strategie di sicurezza. Ma in generale l’alto management deve comprendere l’urgenza ed essenzialità degli impatti e danni che possono essere causati dalle minacce informatiche e istituire un commitment prioritario, all’adozione di contromisure organizzative, procedurali e tecnologiche.
2. Non solo tecnologia: con i rapidi cambiamenti delle minacce informatiche è importante che persone e processi siano sensibilizzati alla sicurezza e compensino eventuali obsolescenze tecnologiche. Inoltre ogni dipendente, manager ed executive è potenzialmente sotto attacco di compagne di spear-phishing e diventa quindi un attore importante nella gestione della cybersecurity.
3. Gli utenti dovrebbero essere supportati dalla sicurezza: ovvero gli utenti dovrebbero poter distinguere ciò che è malevolo da ciò che non lo è mediante strumenti specifici di sicurezza.
4. Tenere tutti i dispositivi aggiornati. Molti attacchi hanno successo per il mancato aggiornamento e delle patch più recenti sul dispositivo vittima.
5. Formare e informare rispetto al rischio del phishing che avviene tramite mail, ma anche mediante il telefono o con altri mezzi subdoli. E’ necessario favorire un cambiamento culturale mirato alla capacità del singolo di non clickare su link o allegati di dubbia natura o almeno di porsi sempre domande ed effettuare verifiche.
6. Utilizzare password di tipo forte per ogni diverso account, per rendere la vita difficile ai malintenzionati che vogliono impossessarsene. Si possono usare diverse tecniche di generazione password o strumenti automatizzati di tipo password-manager che non richiedono sforzi mnemonici.

Certamente queste poche regole non costituiscono un programma di sicurezza esaustivo, ma ne formano una solida base. L’importante è realizzare un approccio consapevole, adeguato al contesto operativo e ritagliato sulla realtà aziendale, perché non esiste una soluzione unica per tutti, ma ognuno deve sapere,  capire e scegliere quel che rappresenta la soluzione di sicurezza più appropriata per la propria realtà.