ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùLab24

Cybersecurity: così la pandemia fa volare gli attacchi Double Extortion

Su Lab24 una dashboard realizzata in collaborazione con Yoroi, azienda di sicurezza informatica, con i dati aggiornati quotidianamente

di Biagio Simonetta

I punti chiave

4' di lettura

Molti degli attacchi malware di alto profilo emersi nel 2020 sono stati di tipo “Double Extortion”. È quanto emerge dal report annuale di Yoroi, azienda italiana che si occupa di sicurezza informatica e che quotidianamente monitora tutto ciò che succede in Rete dal punto di vista dei cyber attacchi.

- La dashboard con gli attacchi in tempo reale

Loading...

E questo dettaglio sulla “Double Extortion” non è per niente banale. Perché racconta di come i cybercriminali stiano affinando le loro tecniche, mettendo sempre più in difficoltà le aziende. Sono attacchi basati su malware avanzati che, per come ha verificato Yoroi, hanno trovato grande spinta nella condizione attuale (dunque nel mondo pandemico, che ha accelerato notevolemente verso il digitale).

Infatti, a causa dell’indebolimento del perimetro di rete e del numero massiccio e improvviso di cambiamenti nell’infrastruttura IT, i reparti IT hanno faticato a tenere il passo con i controlli di sicurezza.

Ma cosa sono gli attacchi di tipo “Double Extortion”? Spesso vengono associati agli attacchi ransomware. Tuttavia, parlare di ransomware è estremamente riduttivo. Il modus operandi di questi attacchi è diverso. Il termine ransomware, infatti, è circolato ancor prima della nascita del fenomeno della Double Extortion: in origine gli attacchi ransomware colpivano per lo più i privati, crittografando i dati all’interno del loro pc. Invece, la dinamica degli attacchi Double Extortion coinvolge intere imprese e persino il tessuto produttivo nazionale.

«Gli attacchi di questo tipo rappresentano un importante cambio di paradigma in ambito estorsione digitale. – spiega al Sole 24 Ore Marco Ramilli, Ceo e Founder di Yoroi - Nati per rispondere alla rassicurante certezza della vittima offerta da moderni sistemi di backup o disaster recovery, introducono nella fase di ricatto, la pubblicazione di documenti intimi per la vittima stessa. In questo modo la vittima non solo vede i propri sistemi informativi bloccati ma anche i propri documenti condivisi in rete. Una seconda leva psicologica estremamente significativa per ogni vittima. Ma non bisogna cedere a ricatti, non dobbiamo alimentare quel mercato che devia la giustizia digitale e per questo motivo abbiamo deciso di collaborare con Il Sole 24 Ore offrendo un set di informazioni gratuite per sensibilizzare il lettore sull'enorme frequenza di minacce digitali e sul loro andamento storico in modo da incuriosire ed allertare la sua attenzione verso ciò che più è rilevante in un preciso momento».

Il risultato della collaborazione con Yoroi è questa dashboard aggiornata quotidianamente su Lab24 con i principali attacchi, tendenze e tipologie di minacce informatiche.

Nel 2019 si era visto un aumento di questo trend cyber-criminale, facendo riferimento a gruppi come Dark Team. Ma all'epoca erano concentrati su un unico obiettivo: installare malware di tipo ransomware in tutta l’azienda.

Invece, nel corso del 2020 molti di questi operatori sono passati alla pratica della Double Extortion iniziando a rubare dati preziosi dalla rete della vittima e chiedendo denaro per “garantire” la cancellazione del loro bottino criminale.Inoltre, le dinamiche degli attacchi di Double Extortion ricordano il modus operandi degli “advanced threat actors”, le cosiddette Advanced Persistent Threat (APT). Questo è molto più di un banale dettaglio.

Tali intrusioni informatiche avanzate vengono avviate molte volte attraverso host infetti da malware per entrare nella rete aziendale. Quindi, i cybercriminali sfruttano il loro set di strumenti e impianti per spostarsi attraverso la rete aziendale, per rubare dati sensibili e infine per assumere completamente il controllo dell’infrastruttura IT, tagliando fuori gli amministratori di sistema e distribuendo massicciamente ransomware su qualsiasi asset aziendale.Affrontare tali minacce era, fino a pochi anni fa, solo una preoccupazione delle organizzazioni che operavano in settori strategici o in settori verticali fortemente presi di mira come il settore bancario, finanziario, la difesa o le infrastrutture critiche.

Dopo l’accelerazione verso il digitale, imposta dalla pandemia, le stesse metodologie operative dannose stanno ora minacciando moltissimi settori, ponendo il problema della sicurezza informatica a diversi livelli.«Questo punto di svolta – sostengono da Yoroi - è impossibile da ignorare. La convinzione che hanno molte aziende operanti in settori meno cyber-maturi – come ad esempio “le vecchie strategie sono ancora sufficienti” – va in frantumi di fronte alla violenza degli attacchi Double Extortion, che in poche ore catapultano letteralmente l’azienda in una crisi Cyber. Una situazione caotica che pone di fronte ai vertici aziendali una serie di problematiche di elevata gravità che hanno un impatto immediato sull'operatività del business, sulle responsabilità civili e penali, sulla reputazione del marchio e sulla competitività a lungo termine».

E allora, come è possibile adattare la strategia di sicurezza informatica aziendale per affrontare queste minacce? Secondo Yoroi «ci sono molti modi per farlo». In ambienti aziendali complessi «l’adozione delle migliori pratiche potrebbe tradursi però solo in costosi esercizi estetici; è molto meglio concentrarsi su buone pratiche e principi». Un principio che un CISO potrebbe utilizzare come bussola è «l'equilibrio». Ad esempio, «bilanciare le risorse e l’investimento tra prevenzione, rilevamento e risposta.

Rispondendo a domande del tipo: “Quanto ha investito l’azienda in controlli di sicurezza preventivi?” - oppure - “L’azienda sta investendo in rilevamento e risposta?” o anche “quando è stata l’ultima volta che l’azienda ha rivisto in profondità la sua strategia di sicurezza?” può aiutare molto nel processo decisionale».

Con questo in mente, «le strategie di cybersecurity possono essere sviluppate potenziando a livello aziendale la prontezza di risposta alle Cyber Crisis e i piani di emergenza. Investire in security operations, in tecnologie di rilevamento e risposta».

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti