Tripla sanzione: estorsione ransomware, perdita di dati, multe

17. Giugno 2022
| Non ci sono commenti
Tripla sanzione: estorsione ransomware, perdita di dati, multe

Condividi post

Le aziende negligenti vengono rapidamente punite tre volte: prima l'estorsione di ransomware, poi la perdita di dati e, ultimo ma non meno importante, la penale per un piano di ripristino scadente. Ecco come i ransomware complessi possono invadere le risorse aziendali.

L'anno scorso, il ransomware ha messo in ginocchio un'azienda statunitense che produce carburante. Dietro questo c'erano "società partner" criminali del famigerato gruppo DarkSide. Un tipico esempio di attacco RaaS (ransomware as a service): un piccolo nucleo di criminali sviluppa malware, lo rende disponibile ad altri malintenzionati e gestisce i riscatti delle vittime. Tuttavia, non eseguono l'attacco effettivo alla rete che fornisce il malware. I loro "partner nel crimine" se ne occupano, per così dire, il personale sul campo. Di norma, in cambio ricevono la parte del leone del denaro estorto alle vittime.

RaaS: partner nel crimine con il ransomware

Il nucleo centrale, nel frattempo, si nasconde invisibilmente sullo sfondo, gestendo una sorta di operazione di franchising in cui in genere intascano il 30 percento (per loro stessa ammissione) di ogni pagamento.

La squadra in prima linea di solito lo fa

  • Condurre ricerche per trovare potenziali bersagli in cui irrompere.
  • Entra in società selezionate con vulnerabilità note.
  • Scansiona la rete finché non ottengono i diritti amministrativi per raggiungere il livello di amministratori ufficiali.
  • Mappa l'intera rete per trovare ogni singolo PC desktop e i sistemi server.
  • Individua e spesso neutralizza i backup esistenti.
  • Esfiltra i dati aziendali riservati per sfruttare ulteriormente il ricatto.
  • Prepara le backdoor di rete per una rapida ritirata se gli aggressori vengono catturati.
  • Esamina attentamente le difese antimalware esistenti, alla ricerca di punti deboli o vulnerabili.
  • Disattiva o almeno riduci le impostazioni di sicurezza che si frappongono.
  • Selezione di un momento della giornata particolarmente "scomodo" per l'azienda, ovvero il fine settimana o la notte.

E poi i criminali informatici scatenano il codice ransomware fornito dalla mente dietro le quinte. La crittografia di (quasi) tutti i computer della rete richiede solo pochi minuti.

Ransomware: si prega di effettuare il checkout!

L'idea alla base di questo tipo di attacco è che i computer non vengono completamente cancellati. Infatti, dopo la maggior parte degli attacchi ransomware, i sistemi operativi continuano ad avviarsi e a caricare le applicazioni primarie sui computer per mantenere l'apparenza che tutto sia normale.

La vittima può avviare il proprio laptop, caricare Word, vedere tutti i documenti nelle directory, persino provare ad aprirli, ma poi vedrà l'equivalente digitale di un cavolo tritato. I dati sono crittografati e c'è solo una copia della chiave di decrittazione e gli aggressori ce l'hanno. Questo è il momento in cui di solito iniziano le "negoziazioni". I criminali fanno affidamento sul fatto che l'infrastruttura IT della vittima è così gravemente compromessa dai dati crittografati da non essere più funzionante e la vittima è quindi disposta a pagare un riscatto.

“Pagaci una 'tariffa di ripristino' e ti forniremo gli strumenti di decrittazione per rendere nuovamente utilizzabile qualsiasi computer e ti risparmieremo il tempo necessario per ripristinare dai backup. A patto che tu disponga di backup funzionanti.” Le richieste suonano più o meno così, dato che sono arrivate all'azienda statunitense circa 12 mesi fa, per esempio.

Solo il 4% dei pagatori recupera tutti i dati!

Anche se le forze dell'ordine di tutto il mondo stanno ammonindo le vittime di ransomware a non pagare (e ora sappiamo che i pagamenti ransomware di oggi finanziano gli attacchi ransomware di domani), in questo esempio la società ha deciso di spendere i circa 4,4 milioni di dollari richiesti per trasferire bitcoin.

Quest 'anno Sophos Ransomware segnala lo stato del ransomware 2022 rivela che solo il 4% dei pagatori in tutto il mondo recupera tutti i dati. In media ne ottieni solo due terzi (esattamente: 60,56%). In Germania, la percentuale è del 64%. Da una prospettiva globale, questo valore è solo leggermente superiore per le società di fornitura di energia al 62% (esattamente: 61,59%). Ciò significa che se un'azienda paga il riscatto, deve comunque accettare perdite di dati molto elevate. In nessun modo il caso finisce qui.

Dopo il riscatto è arrivata la multa

Sophos State of Ransomware 2022 (Immagine: Sophos).

All'operatore del gasdotto è stato lanciato anche un appello ufficiale: il Dipartimento dei trasporti statunitense ha imposto alla società una sanzione civile di quasi 1 milione di dollari Usa, frutto di un'indagine della Pipeline and Hazardous Materials Safety Administration (PHMSA). Il controllo si è svolto tra gennaio e novembre 2020, ovvero nell'anno PRIMA dell'attacco ransomware. Quindi i problemi individuati dall'istituto esistevano ed erano noti. Il PHMSA ha affermato che le principali carenze operative responsabili di oltre l'85% dell'addebito ($ 846,300) "sono una probabile incapacità di pianificare e preparare adeguatamente l'arresto manuale e il riavvio del suo sistema di condutture". E afferma che quelle omissioni "hanno contribuito alla ricaduta nazionale quando l'oleodotto è rimasto inoperativo dopo l'attacco informatico del maggio 2021".

Caso individuale o linea d'azione consigliata per tutti?

A prima vista, sembra un caso insolito, perché chi gestisce effettivamente un gasdotto, e poi anche in questa dimensione. Tuttavia, l'avviso ufficiale PHMSA di una probabile violazione identifica alcuni problemi correlati da cui tutti possono imparare:

Per il gestore del gasdotto, i problemi risiedono nelle aree interne dell'azienda, come il controllo di supervisione e l'acquisizione dei dati, i sistemi di controllo industriale e la tecnologia operativa, il cosiddetto SCADA (Supervisory Control and Data Acquisition): sistema informatico che monitora e controlla automaticamente processi tecnici e dai fornitori di energia a è in uso negli aeroporti. Mancavano anche ICS (acronimo di Industrial Control Systems) e OT (Operational Technology). OT può essere inteso come una controparte industriale dell'IT, ma i SecOps (Security Operations) rappresentano una sfida simile per entrambi i tipi.

Conseguenze degli errori SecOps

Anche se la tecnologia operativa e le funzioni IT appaiono come due reti separate, le possibili conseguenze dei fallimenti di SecOps in un'area possono influenzare direttamente e persino pericolosamente l'altra area.

Ancora più importante, soprattutto per molte aziende più piccole, anche se non sono in funzione gasdotti, reti elettriche o centrali elettriche, è molto probabile che sia ancora in funzione una sorta di rete di ingegneria operativa, composta da dispositivi IoT come telecamere di sicurezza, serrature delle porte, sensori e forse anche un rilassante acquario controllato da computer nell'area della reception.

E questi sono solitamente gestiti nella stessa rete in cui si trova l'intero sistema IT. Le misure di sicurezza informatica di entrambi i tipi di dispositivi sono quindi inestricabilmente intrecciate.

Cinque punti che ogni azienda dovrebbe prendere sul serio

Il rapporto PHMSA elenca i problemi che rientrano tutti nel termine generico di gestione della sala di controllo, che può essere considerata l'equivalente tecnologico operativo del centro operativo di rete di un dipartimento IT (o semplicemente "il team IT" in una piccola impresa).

In sintesi, sono in gioco questi cinque problemi

  • Mancata conservazione di una corretta registrazione dei test operativi superati.
  • Mancato collaudo e verifica del funzionamento dei rilevatori di allarme e di anomalia.
  • Nessun piano di emergenza per il ripristino manuale e il funzionamento in caso di guasto del sistema.
  • Mancato test dei processi e delle procedure di backup.
  • Scarsa segnalazione di controlli di sicurezza mancanti o temporaneamente soppressi.

Cosa possiamo imparare da questo per la nostra sicurezza IT?

Qualsiasi omissione di cui sopra può verificarsi accidentalmente. Secondo il Sophos Ransomware Report 2022, due terzi (esattamente: il 66%) degli intervistati ha dichiarato di essere stato vittima di un attacco ransomware nell'ultimo anno. Il settore dell'approvvigionamento energetico era addirittura ben al di sopra della media con il 75%. Circa due terzi di loro avevano i propri dati crittografati e metà di loro negoziava con i criminali.

Ciò suggerisce che una percentuale significativa (poco più di uno su cinque) di team IT o SecOps ha perso traccia di una o più delle suddette categorie.

Questi includono i punti 1 e 2 (Sei sicuro che il backup abbia effettivamente funzionato? L'hai registrato formalmente?), Punto 3 (Qual è il tuo piano B se i criminali eliminano il tuo backup principale?), Punto 4 (Hai praticato il ripristino con la stessa attenzione come hai praticato il backup?) e il punto 5 (Sei sicuro di non aver perso nulla che avresti dovuto sottolineare in quel momento?).

Per molti team IT o soprattutto per le aziende più piccole che si occupano di IT "sul lato", un team SecOps specializzato è un lusso e semplicemente non accessibile, quindi la strategia spesso equivale a un principio "installa e poi dimentica". Chiunque si trovi in ​​questa situazione dovrebbe cercare il supporto di esperti MTR esterni e considerarli come un investimento per un futuro più sicuro.

La sicurezza informatica è un processo, non una destinazione. Un attacco riuscito provoca sempre danni e ha ripercussioni sulle risorse e sull'operatività. La forza dell'impatto dipende fortemente dalla velocità di reazione, dalle precauzioni e dal processo di sicurezza in atto.

Maggiori informazioni su Sophos.com

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

Sophos, racconti
, , , , ,