Il Ransomware, una minaccia che si può fermare

Il Servizio Operazioni e gestione delle crisi cyber di ACN ha pubblicato un rapporto sullo stato dell’arte della minaccia ransomware in Italia e nel mondo. Il ransomware è una tipologia di minaccia che, come noto, ha lo scopo di cifrare i dati del bene informatico target in modo da comprometterne la disponibilità, integrità e riservatezza, pertanto, lo scopo della pubblicazione è quello di illustrare le principali evoluzioni del suo modello criminale avvenute nel corso degli ultimi anni e di indicare le contromisure di difesa. Il rapporto contiene anche un’analisi della minaccia in Italia, e offre una sintetica evidenza della sua distribuzione temporale e geografica, oltre che dei settori colpiti più frequentemente.

Il modello criminale del ransomware

Lo scopo del ransomware è quello di cifrare i dati del bene informatico per richiedere alla vittima un riscatto in cryptovalute per riottenere l’accesso ai propri dati comunicandolo attraverso una ransom note. In alcuni casi i dati, prima di essere cifrati, vengono esfiltrati in modo da offrire all’attaccante uno strumento in più di ricatto nei confronti della vittima.

Come spiega dettagliatamente il rapporto, a partire dal 2019 il modello criminale dei ransomware si è trasformato, evolvendosi dall’invio di allegati malevoli indirizzati ad un ampio e generico spettro di potenziali target, con richieste estorsive spesso di entità contenuta, all’ascesa del modello di Ransomware-as-a-Service (RaaS). Il RaaS determina implica che le varie componenti operative vengono delegate, dietro compenso, ad attori criminali con elevate competenze specialistiche. Questo ‘modello di business’ criminale favorisce una continua evoluzione del ransomware, sostenuta da aggiornamenti sistematici degli sviluppatori, dall’ottimizzazione delle economie di scala e da una maggiore accessibilità del ransomware per un più ampio spettro di attori malevoli.

Ma il modello si è ulteriormente evoluto sia attraverso le metodologie di raccolta informativa e profilazione delle organizzazioni target, per selezionare gli obiettivi in base al loro potenziale economico e alla loro presumibile capacità di corrispondere riscatti significativi, che di attuare strategie di esfiltrazione dei dati prima di avviarne la cifratura. In tal modo, gli attori criminali possono minacciare le vittime di divulgare le informazioni sottratte in caso di mancato pagamento del riscatto o esigere pagamenti supplementari per prevenirne la pubblicazione su piattaforme dedicate denominate “leak sites”. Questo modello operativo prende il nome di Double Extortion, ed è mirato ad aumentare ulteriormente i profitti dei gruppi criminali.

Stimare la percentuale di vittime che concordano il pagamento del riscatto è difficile. Ciononostante, secondo l’analisi condotta da ENISA e contenuta nel report “Threat Landscape for Ransomware Attacks” pubblicato nel 2022, circa il 62% delle vittime avrebbe negoziato con gli attaccanti per la corresponsione del riscatto.

Il contesto nazionale

Negli ultimi anni il ransomware si è affermato come una delle minacce prevalenti a livello nazionale e, nonostante sia difficile stimarne il numero esatto, spesso per le mancate segnalazioni da parte delle vittime, il numero di ransomware seguiti dal CSIRT Italia è in costante ascesa. L’Italia si colloca, tendenzialmente al quarto posto fra le nazioni europee maggiormente colpite dalla minaccia ransomware (con il 12% dei casi in Europa), preceduta spesso da Gran Bretagna, Germania e Francia.

le vittime, tuttavia, appartengono prevalentemente al settore privato, con le piccole imprese che risultano essere la tipologia di target principale degli attaccanti. Analizzando la loro distribuzione in base ai settori di attività economica di appartenenza, il manifatturiero emerge come il settore maggiormente colpito, seguito da altre tipologie di società private, dal comparto della vendita al dettaglio e dall’industria tecnologica.

Il rapporto del CSIRT Italia si chiude con le raccomandazioni e le contromisure dell’ACN articolate in tre tipologie, vale a dire raccomandazioni che riguardano i processi e le strategie, raccomandazioni relative alle soluzioni di sicurezza e raccomandazioni relative ai controlli di sicurezza.