I recenti attacchi ransomware contro aziende di rilevanza nazionale sono la dimostrazione tangibile di una escalation nella pratica estorsiva cyber criminale.
Negli ultimi mesi il numero di attacchi ransomware subiti da aziende di tutto il mondo è aumentato in maniera preoccupante, ed alcuni recenti casi ne sono la dimostrazione.
Negli ultimi mesi il numero di attacchi ransomware riportati da aziende di sicurezza e dalle stesse vittime è aumentato sensibilmente. A preoccupare ulteriormente una tendenza emersa a fine dello scorso anno che vede i gruppi criminali dietro questi malware minacciare le proprie vittime della divulgazione dei dati rubati loro prima che i sistemi fossero cifrati.
La strategia è semplice, la minaccia di rivelare i documenti delle vittime è volta principalmente ad obbligarli a pagare il riscatto, pur in possibilità di ripristinare i dati da back up funzionanti ed aggiornati.
Secondo il rapport Clusit 2020, i malware continuano ad essere le principali minacce contro aziende ed organizzazioni, e tra essi si distinguono per distribuzione ovviamente i ransomware.
Il grafico mostra che i ransomware rappresentano nel 2019 quasi la metà del totale dei codici malevoli che hanno colpito le nostre organizzazioni, un deciso balzo in avanti rispetto all’anno precedente quando pesavano per circa il 25%.
Il dato è confutato da altri rapporti redatti da aziende di sicurezza, secondo Trend Micro i malware e i ransomware continuano a flagellare l’Italia. Il rapporto “The Sprawling Reach of Complex Threats” redatto da Trend Micro Research sulle minacce informatiche che hanno colpito l’anno passato rivela che nel 2019 risulta l’Italia è stata il secondo Paese più colpito in Europa dai ransomware.
Il caso Geox
Dopo questa doverosa introduzione chiediamoci cosa sta realmente accadendo in Italia, dove molte, troppe aziende cadono vittima di ransomware e non ne denunciano l’incidente alle autorità. Parlo di piccole imprese che quotidianamente si confrontano con questa minaccia e per le quali non si hanno dati ufficiali, ma condivido con me la mia personale esperienza e gli innumerevoli casi per i quali mi han chiesto supporto.
Tuttavia, se state pensando che aziende più strutturate e di rilevanza nazionale siano immuni a questa minaccia siete in errore, e gli eventi degli ultimi giorni lo dimostrano. Mentre scrivo giunge notizia che Geox, l’importante azienda italiana di calzature, sia stata vittima di un attacco che sta paralizzato i suoi sistemi da almeno due giorni.
Secondo quanto riportato da il Mattino di Padova, l’azienda avrebbe addirittura lasciato a casa i suoi dipendenti in attesa che siano ripristinati i sistemi una volta neutralizzato ransomware.
Al momento non è chiaro se gli attaccanti abbiano anche esfiltrato dati minacciando di divulgarli in caso non dovesse esser pagato il riscatto.
L’investimenti di Enel in cybersecurity
Che ne dite di alzare il tiro? Vittima di un attacco ransomware è anche il colosso nazionale Enel, azienda da sempre attenta agli aspetti di sicurezza dei propri sistemi, ma evidentemente il codice malevole è riuscito a far breccia.
Come riportato da Enel a Repubblica, “nella serata di domenica 7 giugno si è verificato un disservizio sulla propria rete informatica interna, originato a seguito dell’identificazione, da parte del sistema antivirus, di un ransomware”.
Seppur a scopo precauzionale, l’azienda è stata forzata ad isolare temporaneamente la propria rete aziendale per poter svolgere tutti gli interventi per eradicare la minaccia.
Le connessioni sono state ripristinate in piena sicurezza già nella prima mattinata di lunedì 8 giugno, tuttavia quanto è accaduto ha richiesto sicuramente uno sforzo supplementare all’azienda
La buona notizia è che secondo Enel, “che non si è verificato alcun tipo di criticità ai sistemi di telecontrollo degli impianti di distribuzione e delle centrali elettriche, e che i dati dei clienti non sono stati esposti a terzi. Potrebbero essersi verificati disservizi, per un periodo di tempo limitato, alle attività di customer care, causati dal blocco temporaneo della rete informatica interna.”
La storia quindi ha un lieto fine, e questo è possibile solo grazie agli investimenti dell’azienda in cyber security ed alle capacità tecniche dei suoi operatori.
Altra nota positiva è che questa volta sappiamo il nome della famiglia di ransomware che ha colpito l’azienda, ovvero il ransomware Ekans. Questa informazione è tutt’altro che trascurabile perché altre aziende di primaria importanza nazionale hanno innalzato il livello di allerta ed hanno preventivamente focalizzato l’attenzione su questa minaccia e sulla possibilità che colpisse i loro sistemi.
Ma come è possibile che i ransomware trovino vita facile nel penetrare i sistemi di imprese, scuole ed organizzazioni?
Il fattore umano è purtroppo determinante, troppi utenti in maniera leggera aprono allegati di e-mail di spam che avviando il processo di infezione. Altri scenari vedono gli attaccanti sfruttare errore di configurazioni di sistemi connessi alla rete (i.e. sistemi che utilizzano connessioni RDP protetti da password facili da individuare) in modo da poter accedere alle reti delle vittime per inoculare manualmente il ransomware.
Questo è quanto potrebbe esser accaduto anche nell’attacco ad ENEL:
HONDA 🇯🇵 y ENEL 🇮🇹
Ambos con RDP expuesto a Internet./AGL632956.jpn.mds.honda.com
/IT000001429258.enelint.global👉 #RDPExposed pic.twitter.com/vv65yXyHes
— Germán Fernández 🇨🇱 (@1ZRR4H) June 8, 2020
Ed allora cosa attenderci dal futuro?
Purtroppo, il numero di attacchi è destinato ad aumentare sensibilmente, è necessario quindi che si istruiscano i dipendenti circa queste campagne ransomware e forniscano indicazioni e strumenti per poter evitare queste infezioni