Il ransomware è ormai diventato un problema globale. I gruppi di criminali informatici operano da paesi che offrono loro rifugi sicuri e consentono loro di lanciare anche gli attacchi più sofisticati. È necessaria una strategia globale comune per prevenire un'escalation. Una valutazione di Michael Veit, esperto di sicurezza di Sophos.
Siamo nel bel mezzo di una crisi di ransomware. Negli ultimi mesi è stata osservata una pletora di attacchi ransomware, sempre più estremi, come la chiusura temporanea di un importante oleodotto statunitense. L'aumento degli attacchi ransomware non è un fenomeno nuovo, ma quest'anno questo tipo di crimine informatico si è evoluto da una minaccia dannosa a una vera e propria crisi globale ed è entrato nell'agenda politica.
Anche le autorità vengono ricattate sempre di più
Le agenzie federali sono abituate a essere costantemente esposte agli attacchi informatici. La novità, tuttavia, è che ora sono anche il bersaglio di attacchi ransomware commerciali. Questa escalation è dovuta in gran parte agli aggressori che hanno affinato le proprie capacità sia lavorando in "eserciti di hacking" sponsorizzati dal governo sia lavorando come liberi professionisti per fornitori privati di ransomware.
La recente incriminazione del Dipartimento di Giustizia degli Stati Uniti contro il governo cinese, che avrebbe assistito i criminali informatici nei loro attacchi a un server di posta elettronica ampiamente utilizzato, evidenzia la sovrapposizione tra stati nazione e gruppi di ransomware: le falle di sicurezza scoperte dai servizi di intelligence statali sono utilizzato da attori privati come arma usata. Gli stati che addestrano aggressori ransomware e altri criminali informatici hanno entrambi intensificato la minaccia ransomware e alzato il loro profilo agli occhi dei governi di tutto il mondo. Ciò ha spinto non solo la Casa Bianca, ma anche la NATO e il vertice del G-7 a rilasciare dichiarazioni sul ransomware di recente.
Una crisi globale richiede una risposta globale
Una crisi globale del ransomware richiede una risposta globale e azioni concrete che i governi e i loro partner possano intraprendere per prendere di mira il ransomware in tutto il mondo.
1. Smetti di pagare i riscatti
Per combattere efficacemente il ransomware, le vittime devono smettere di pagare i riscatti. Finché il ransomware è redditizio, gli aggressori non hanno alcun incentivo a fermarsi. L'atteggiamento del governo "non negoziamo con i terroristi" dovrebbe valere anche per il ransomware. Qualsiasi azienda che fa parte di una catena di approvvigionamento del governo federale, statale o locale dovrebbe concordare contrattualmente di non pagare un riscatto in caso di attacco ransomware. Includere questa clausola predefinita nelle politiche sugli appalti pubblici e annunciare che ogni catena di approvvigionamento del governo è tenuta a non pagare riscatti potrebbe aiutare a scoraggiare il ransomware, almeno contro le agenzie governative.
Il ripristino costa in media 1,85 milioni di dollari
Ma non pagare un riscatto è spesso più facile a dirsi che a farsi. Ma un modo per rendere questa idea più allettante, soprattutto quando viene presentata come una raccomandazione piuttosto che come un requisito rigoroso, è sottolineare l'enorme costo del ripristino. Un recente studio indipendente commissionato da Sophos ha rilevato che le vittime di ransomware spendono in media 1,85 milioni di dollari. Perché i costi di un attacco sono molto di più del "solo" riscatto: si aggiungono i costi per i tempi di inattività, i dipendenti, i dispositivi, la rete, le opportunità mancate e gli aggiornamenti dell'infrastruttura IT attesi da tempo.
2. Regolamentare gli scambi di criptovalute attraverso i quali scorrono i riscatti
Ciò che ha reso il ransomware una crisi globale è la misura in cui gli stati nazionali addestrano e/o forniscono costantemente rifugi sicuri per i criminali informatici. Sfortunatamente, finora non c'è maniglia. Non è possibile fare ricorso contro i governi che ospitano gruppi di ransomware. Una possibilità potrebbe essere l'imposizione di sanzioni commerciali ai paesi associati al ransomware. Ma è probabilmente più efficiente e produttivo colpire i gruppi di ransomware dove li ferisce di più: i loro soldi. I criminali informatici convertono i riscatti in valute forti negli scambi di criptovalute. Imporre regolamenti più severi su questi scambi di criptovalute renderebbe più difficile per i gruppi di ransomware trarre profitto dal loro lavoro. A livello nazionale, le normative sulle criptovalute e le politiche antiriciclaggio potrebbero impedire alle società di crittografia di essere utilizzate come scambi di valuta per gli aggressori ransomware.
La cooperazione internazionale deve essere al centro
Anche in questo caso aiuta la cooperazione internazionale con linee guida definite. Stati nazionali come la Russia e la Cina hanno un incentivo ad implementare questo tipo di regolamentazione delle criptovalute per i propri commercianti di criptovalute, principalmente perché li costringe a convertire la criptovaluta nella loro valuta. Ciò rafforza la propria forza finanziaria e apre una nuova fonte di entrate fiscali. Quando i gruppi di ransomware scoprono che ci sono solo pochi paesi in cui possono pagare in sicurezza i pagamenti del riscatto, il modello di business diventa semplicemente poco attraente.
3. Richiedere l'igiene IT e la divulgazione delle violazioni della sicurezza
Ci sono alcune misure di igiene IT di base che molte aziende non stanno ancora adottando: educare i dipendenti sullo spear phishing, adottare l'autenticazione a due e più fattori, protezione di base degli endpoint e proteggere i dati sull'archiviazione off-network e off-site. I governi potrebbero aiutare in questo caso raccomandando il rispetto delle certificazioni invece di emanare questi requisiti nella legislazione. Come ulteriore vantaggio, le certificazioni, a differenza della legislazione, sono relativamente facili da aggiornare, quindi anche la conformità del fornitore rimarrebbe aggiornata.
La segnalazione degli incidenti di sicurezza deve diventare uno standard
Deve diventare uno standard segnalare gli incidenti di sicurezza. Tuttavia, l'obbligo di segnalazione non dovrebbe essere una misura punitiva. (salvo forse in caso di mancato rispetto delle norme). Piuttosto, dovrebbero essere trattati come una misura di sensibilizzazione. Più aziende o agenzie governative sono tenute a segnalare le violazioni dei dati non appena si verificano, più i loro partner e fornitori possono essere informati e intraprendere azioni immediate per proteggersi. Un obbligo di segnalazione a livello nazionale per le violazioni dei dati consente inoltre una comprensione più completa di quanto siano comuni questi attacchi. Ottenere una gestione completa del ransomware è possibile solo quando si ha un'idea della reale portata, volume e frequenza di questi attacchi. L'obbligo di rivelare le violazioni dei dati e gli attacchi informatici aiuta a raggiungere questo obiettivo.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.