L’Ufficio federale per la sicurezza delle informazioni (BSI) pubblica un rapporto sulla situazione della sicurezza informatica in Germania. Il ransomware vi compare più di una volta. È tempo di un aggiornamento sulla killer app più impopolare di Bitcoin. Il malware estorsivo minaccia la legittimità delle criptovalute?
Recentemente, l’Ufficio federale per la sicurezza dell’informazione (BSI) ha pubblicato il rapporto sulla situazione della sicurezza informatica in Germania 2021.
Il rapporto delinea in 100 pagine la “situazione di minaccia della sicurezza informatica in Germania”, con un focus sugli “attacchi alle aziende, allo stato così come alle istituzioni pubbliche e ai privati”. La parola “ransomware” appare 79 volte in queste 100 pagine. Ciò indica la grande importanza di questo “software ricattatorio” tra le fonti di pericolo del cyberspazio.
Il ransomware non è davvero un fenomeno nuovo. “Il malware che limita l’accesso ai dati o ai sistemi, per esempio attraverso la crittografia, in modo che l’attaccante possa poi estorcere un riscatto” esisteva anche prima di Bitcoin. Ma solo da quando è diventato abituale chiedere Bitcoin per i pagamenti intorno al 2013, il “modello di business ransomware” è diventato LA storia di successo del crimine informatico internazionale – e questo ininterrottamente per circa otto anni.
Perché Bitcoin? Perché la criptovaluta è diventata un punto di riferimento per il ransomware?
I bitcoin non sono anonimi. Le monete digitali sono altamente trasparenti. Come una lumaca che lascia la sua scia di bava, ogni transazione lascia una traccia abbondantemente chiara sulla blockchain. Esperti come l’ex generale della CIA … dicono quindi che Bitcoin è il peggior mezzo di pagamento concepibile per i criminali.
Tuttavia, i Bitcoin sono molto buoni per una cosa: Per ricevere denaro in modo anonimo. Chiunque può generare un indirizzo per ricevere denaro. Per questo, non hai bisogno di un documento d’identità, un conto bancario, un numero di telefono, nemmeno un indirizzo e-mail. Inoltre, i Bitcoin di cui si possiede la chiave privata non sono congelabili, e le transazioni in entrata non sono censurabili. Con queste proprietà, Bitcoin ha stimolato il ransomware – che successivamente è diventato una “killer app” di Bitcoin di cui la scena preferisce non parlare.
In senso stretto, il ransomware rappresenta una discreta minaccia per Bitcoin. Negli Stati Uniti, ci sono tendenze a classificare le estorsioni su larga scala, per esempio contro un importante studio legale, come cyberterrorismo. Il ransomware potrebbe diventare la ragione – o il pretesto – per cui le criptovalute sono (ancora) più strettamente regolamentate e forse anche vietate.
Tutte le fermate del racket della protezione della mafia
Il rapporto BSI mostra come la situazione intorno al ransomware ha continuato a svilupparsi in Germania da giugno 2020 a maggio 2021. È eccellente per avere un’istantanea di questo “commercio” emergente – e dei danni che sta facendo.
Alcune tendenze saltano letteralmente all’occhio. Per esempio, l’industria è sfidata da un cambiamento di pensiero tra le vittime. Sempre più spesso, le vittime sono più rilassate sull’attacco grazie a un backup o seguono le raccomandazioni delle autorità di non pagare denaro di protezione.
Gli hacker reagiscono a questo con due tattiche: Da un lato, non solo criptano i dati, ma li rubano anche. In questo modo, possono migliorare la loro posizione con la minaccia di fughe di dati. Inoltre, minacciano anche con attacchi DDoS per convincere la vittima a pagare il riscatto. Per esempio, secondo il BSI, “se una società di vendita per corrispondenza online fosse costretta a passare a una presenza web meno resistente agli attacchi DDoS a causa di un attacco ransomware, tale attacco DDoS renderebbe ancora più difficile far fronte all’attacco ransomware”.
Quindi questo avvicina il ransomware ai racket di protezione multidisciplinari in stile mafioso. Qualsiasi mezzo andrà bene se costruisce la pressione.
Il ransomware come finale della caccia grossa
Una seconda tendenza nel ransomware è una professionalizzazione interna. Altri rapporti hanno già scritto su questo, come la divisione del lavoro tra sviluppatori di software, distributori e riciclatori di denaro.
Il BSI aggiunge a questo la natura multistadio degli attacchi. Invece di trascinare il malware attraverso l’oceano dei sistemi IT come una draga, gli hacker sono sempre più orientati verso “attacchi di spionaggio APT”. Si tratta di attacchi elaborati, complessi, professionali e mirati – fatti a mano, per così dire – contro agenzie governative e imprese. Si concentrano su un obiettivo, poi elaborano le vulnerabilità, a volte per mesi, e poi le sfruttano con tutti i mezzi a loro disposizione. Tali attacchi sono sospettati di essere finanziati o promossi dai soliti stati canaglia: Cina, Russia, Iran e Corea del Nord.
Nel caso del ransomware, per esempio, funziona così: In primo luogo, il trojan Emotet si annida in Outlook. Lì, analizza il traffico e-mail della vittima per eseguire “attacchi di ingegneria sociale dall’aspetto particolarmente autentico sui contatti della vittima”. Emotet apre poi il download in modo che gli hacker possano installare il malware spia Trickbot. Questo ora scansiona l’intero sistema e, se possibile, anche la rete. Solo nell’ultimo passo – e solo se ne vale la pena – gli hacker caricano il ransomware Ryuk. Questo poi cripta i dati.
Il ransomware diventa così il finale di una lunga presa di possesso orchestrata dei sistemi informatici.
Gli hacker prendono sempre più di mira vittime finanziariamente forti. Il BSI lo chiama “caccia grossa”. Questa tendenza esiste da un po’ e si manifesta in vittime sempre più note e grandi, dai supermercati svedesi ai fornitori di energia italiani.
Una nuova vittima pubblica ogni settimana
I danni causati dal ransomware sono difficili da stimare. Ma sta diventando evidente che devono essere enormi.
Secondo il presidente del BSI, Arne Schönbohm, l’informatica di almeno un’amministrazione cittadina o un’autorità distrettuale tedesca è paralizzata dal ransomware ogni settimana. Quando le cose vanno male nell’amministrazione tedesca, può essere sempre più spesso a causa del ransomware.
Il BSI non rivela quanto le aziende e le istituzioni tedesche pagano ogni anno per il ransomware. Se conosce questa informazione. Ma il fatto è che il riscatto è solo una parte del danno causato dal ransomware – e probabilmente nemmeno il più grande.
“Di solito ci vogliono in media 23 giorni dalla scoperta di un’infezione fino a quando i sistemi vengono ripuliti e ripristinati completamente al funzionamento […] Questo impatto immediato è di solito seguito da costi di follow-up sostenuti per affrontare l’attacco.”
In media, ci vogliono quindi ben tre settimane prima che i sistemi siano di nuovo completamente intatti. Nel caso di un negozio online, per esempio, questo può essere molto costoso. Se c’è anche un danno reputazionale dovuto alla pubblicazione dei dati, “il danno causato da un attacco ransomware può minacciare l’esistenza di un’organizzazione colpita”, spiega il BSI.
Ma non è solo l’elaborazione di un attacco che divora risorse – anche la sua prevenzione. Il BSI raccomanda misure estese: Le aziende dovrebbero mantenere un backup, vale a dire uno completamente offline e controllato regolarmente per la sua ricostruibilità. Anche i trasferimenti di dati in rete dovrebbero essere strettamente monitorati per prevenire il furto di dati o per rilevarlo in una fase iniziale. Le vulnerabilità, come le connessioni al mondo esterno, dovrebbero essere minimizzate, i sistemi operativi e i programmi dovrebbero essere aggiornati regolarmente e tempestivamente, e le reti dovrebbero essere segmentate internamente. Gli impiegati dovrebbero essere formati “in modo completo e continuo”, l’accesso ai livelli di amministrazione dovrebbe essere limitato in modo coerente.
Tali misure sono certamente ragionevoli. Non possono prevenire completamente gli attacchi, ma possono renderli molto meno probabili. Ma sono costosi. Richiedono una manutenzione quasi costante dei sistemi informatici, richiedono il tempo di tutti i dipendenti e rallentano i processi, per esempio quando i trasferimenti di dati sono bloccati. Loro gettano una chiave nel lavoro.
Visto in questa luce, il ransomware non sta solo diventando un modello di business lucrativo nel cybercrimine a basso rischio – ma anche un sabotaggio globale dell’economia e dello stato. Se effettivamente hanno già un impatto sulla crescita economica globale o sulla sua mancanza, tuttavia, è piuttosto speculativo.
Una minaccia alla democrazia?
Sempre di più, il BSI è preoccupato che il ransomware e altri malware non attacchino solo le aziende, ma minaccino la sicurezza pubblica. I segni ci sono già:
“Una nuova situazione di minaccia si è verificata l’anno scorso a causa di incidenti in cui criminali informatici o attori statali hanno attaccato specificamente aziende e autorità del settore sanitario. A differenza dell’inizio della pandemia, la BSI ha osservato attacchi informatici mirati legati al COVID-19 in aree chiave del settore sanitario nel periodo di riferimento attuale. Questi includono, per esempio, l’attacco all’Agenzia Europea dei Medicinali (EMA), attacchi a produttori stranieri di vaccini, un attacco DDoS al portale di vaccinazione COVID-19 dello stato tedesco della Turingia e un attacco ransomware a un produttore tedesco di test dell’antigene COVID-19”.
Un caso importante è anche l’attacco a un ospedale universitario nel Nord Reno-Westfalia, che ha subito interruzioni temporanee del sistema a causa di un incidente ransomware e non è stato in grado di ammettere nuovi pazienti di terapia intensiva per 13 giorni. L’ospedale in questione potrebbe essere stato quello di Düsseldorf. Anche l’aeroporto di Saarbrücken è stato colpito, i cui sistemi informatici sono stati fuori uso per qualche tempo nel corso di un attacco quasi un anno fa.
Il BSI ipotizza che il ransomware potrebbe anche costituire una minaccia per la democrazia se attacca l’ambiente elettorale. Per esempio, “un attacco ransomware contro un’amministrazione cittadina o di contea potrebbe causare ritardi nello svolgimento o nel conteggio delle elezioni se, per esempio, le comunicazioni e-mail non sono disponibili a causa dell’attacco”. Questo potrebbe danneggiare la fiducia nei processi elettorali, diventare parte di un’operazione di manipolazione e rendere difficile o impossibile l’implementazione dei sistemi di voto elettronico.