Il rapporto dell’ACN sulla minaccia Ransomware

 

 

Il Servizio Operazioni e Gestione delle crisi cibernetiche di ACN ha pubblicato un rapporto sullo stato dell’arte della minaccia ransomware in Italia e nel mondo. Il ransomware è una tipologia di minaccia che, come noto, ha lo scopo di cifrare i dati del bene informatico target in modo da comprometterne la disponibilità, integrità e riservatezza, pertanto, lo scopo della pubblicazione è quello di illustrare le principali evoluzioni del suo modello criminale avvenute nel corso degli ultimi anni e di indicare le contromisure di difesa. Il rapporto contiene anche un’analisi della minaccia in Italia, e offre una sintetica evidenza della sua distribuzione temporale e geografica, oltre che dei settori colpiti più frequentemente.

 

Il modello criminale del ransomware

Lo scopo del ransomware è quello di cifrare i dati del bene informatico per richiedere alla vittima un riscatto in cryptovalute per riottenere l’accesso ai propri dati comunicandolo attraverso una ransom note. In alcuni casi i dati, prima di essere cifrati, vengono esfiltrati in modo da offrire all’attaccante uno strumento in più di ricatto nei confronti della vittima.

Un primo esempio di attacco ransomware viene fatto risalire al 1989, quando 20.000 floppy disks contenenti il malware “PC Cyborg” vennero distribuiti ai partecipanti della conferenza organizzata dall’Organizzazione Mondiale della Sanità sull’AIDS, cifrando le informazioni presenti sui sistemi vittima e richiedendo il pagamento di un riscatto. Per questo motivo, l’attacco è noto come “AIDS Trojan”.

La nascita di criptovalute, come Bitcoin nel 2008 e Monero nel 2014, ha introdotto un’infrastruttura finanziaria che garantiva agli attaccanti maggiore segretezza e costi di transizione significativamente più bassi. Purtroppo, tra gli altri fattori abilitanti, lo sviluppo delle criptovalute ha permesso la crescita del fenomeno e lo sviluppo di campagne ransomware di massa quali Wannacry, responsabile nel 2017 dell’infezione di oltre 200.000 computer in 150 paesi, e NotPetya, responsabile nello stesso anno dell’attacco contro oltre 2.000 organizzazioni, di cui la maggior parte in Ucraina.

 

Ransomware-as-a-Service (RaaS)

Come spiega dettagliatamente il rapporto, a partire dal 2019 il modello criminale dei ransomware si è trasformato, evolvendosi dall’invio di allegati malevoli indirizzati ad un ampio e generico spettro di potenziali target, con richieste estorsive spesso di entità contenuta, all’ascesa del modello di Ransomware-as-a-Service (RaaS). Il RaaS determina implica che le varie componenti operative vengono delegate, dietro compenso, ad attori criminali con elevate competenze specialistiche. Questo ‘modello di business’ criminale favorisce una continua evoluzione del ransomware, sostenuta da aggiornamenti sistematici degli sviluppatori, dall’ottimizzazione delle economie di scala e da una maggiore accessibilità del ransomware per un più ampio spettro di attori malevoli.

Ma il modello si è ulteriormente evoluto sia attraverso le metodologie di raccolta informativa e profilazione delle organizzazioni target, per selezionare gli obiettivi in base al loro potenziale economico e alla loro presumibile capacità di corrispondere riscatti significativi, che di attuare strategie di esfiltrazione dei dati prima di avviarne la cifratura. In tal modo, gli attori criminali possono minacciare le vittime di divulgare le informazioni sottratte in caso di mancato pagamento del riscatto o esigere pagamenti supplementari per prevenirne la pubblicazione su piattaforme dedicate denominate “leak sites”. Questo modello operativo prende il nome di Double Extortion, ed è mirato ad aumentare ulteriormente i profitti dei gruppi criminali.

Stimare la percentuale di vittime che concordano il pagamento del riscatto è difficile. Ciononostante, secondo l’analisi condotta da ENISA e contenuta nel report “Threat Landscape for Ransomware Attacks” pubblicato nel 2022, circa il 62% delle vittime avrebbe negoziato con gli attaccanti per la corresponsione del riscatto.

 

Il contesto nazionale

Negli ultimi anni il ransomware si è affermato come una delle minacce prevalenti a livello nazionale e, nonostante sia difficile stimarne il numero esatto, spesso per le mancate segnalazioni da parte delle vittime, il numero di ransomware seguiti dal CSIRT Italia è in costante ascesa. L’Italia si colloca, tendenzialmente al quarto posto fra le nazioni europee maggiormente colpite dalla minaccia ransomware (con il 12% dei casi in Europa), preceduta spesso da Gran Bretagna, Germania e Francia.

Le vittime, tuttavia, appartengono prevalentemente al settore privato, con le piccole imprese che risultano essere la tipologia di target principale degli attaccanti. Analizzando la loro distribuzione in base ai settori di attività economica di appartenenza, il manifatturiero emerge come il settore maggiormente colpito, seguito da altre tipologie di società private, dal comparto della vendita al dettaglio e dall’industria tecnologica.

Da un punto di vista geografico, le zone più interessate dal fenomeno risultano essere i grandi distretti industriali del Nord Italia, ciò è presumibilmente determinato dalla maggiore presenza, in tali zone, di imprese operanti nel settore manifatturiero.

Il rapporto del CSIRT Italia si chiude con le raccomandazioni e le contromisure dell’ACN articolate in tre tipologie, vale a dire raccomandazioni che riguardano i processi e le strategie, raccomandazioni relative alle soluzioni di sicurezza e raccomandazioni relative ai controlli di sicurezza.

Fonte. ACN

 

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy. 

Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: