Un nuovo schema di estorsione minaccia i vendor software: pagare un riscatto per evitare la divulgazione di vulnerabilità critiche.
Autore: Redazione SecurityOpenLab
La versatilità e la fantasia dei cyber criminali sono note e la cronaca cyber quotidiana lo dimostra, riportando di continuo nuove tecniche di attacco per aggirare le difese e nuove tattiche per ingannare le vittime. Anche nel campo dei ransomware le novità non si fanno attendere: dopo la doppia, tripla e quadrupla estorsione c’è l’idea della richiesta di riscatto ai vendor software per la non divulgazione di vulnerabilità critiche.
L’idea è di un collettivo ransomware denominato SecP0, recentemente segnalato dai ricercatori di Prodaft, che ha adottato una strategia differente dai metodi tradizionali di estorsione. L’idea è diabolicamente intelligente sotto diversi aspetti. SecP0 scansiona le reti alla ricerca di vulnerabilità ad alto impatto presenti nei software aziendali, nelle reti e nei sistemi di controllo industriale.
Una volta identificata una falla, gli attaccanti contattano il produttore del software difettoso chiedendo di pagare un riscatto per scongiurare la pubblicazione dei dettagli della vulnerabilità. Il mancato pagamento consentirebbe ad altri threat actor di sfruttare le stesse falle su vasta scala, destabilizzando un numero di aziende e di ecosistemi ben oltre la singola vittima su cui è stato riscontrato il bug per la prima volta. I guadagni possono essere stellari: basti pensare che tempo fa un exploit per Outlook era in vendita sul Dark Web per 1,5 milioni di euro. Non è detto che non siano circolate cifre ben più alte.
La novità appena descritta merita molta attenzione non solo per le conseguenze più o meno immediate illustrate sopra. La questione è di portata molto più ampia perché l'approccio di SecP0 sovverte il quadro consolidato della divulgazione delle vulnerabilità e potrebbe portare a un sostanziale e pericoloso cambio di paradigma.
Partiamo dall’inizio: oggi i ricercatori etici segnalano ai produttori software le vulnerabilità riscontrate in forma riservata, affinché le correggano prima che diventino di pubblico dominio. Per convenzione, il ricercatore dà tempo all'azienda dai 30 ai 90 giorni per risolvere la vulnerabilità e pubblicare una patch o un aggiornamento di sicurezza. In caso l'azienda si dimostri collaborativa e richieda più tempo per risolvere il problema, il ricercatore può concedere un'estensione, di solito fino a 120 giorni.
SecP0 non concede margini di tempo e sfrutta il divario temporale tra la scoperta delle vulnerabilità e l'implementazione delle patch. Immediatamente dopo aver identificato una falla, contatta l'organizzazione interessata e applica un modello di doppia estorsione: pagare per evitare la divulgazione pubblica dei dettagli della vulnerabilità o affrontare le conseguenze di un'esposizione incontrollata. All’atto pratico, con questo metodo tiene in ostaggio interi settori.
Lo scenario si sposta quindi dal rischio singolo al rischio a cascata: la divulgazione pubblica può portare a una rapida strumentalizzazione della falla da parte di altri gruppi criminali o di APT, come avviene già con le temute falle zero-day. Per esempio, una vulnerabilità critica in un software di automazione industriale ampiamente diffuso potrebbe mettere a rischio le reti energetiche, gli impianti di produzione o i sistemi di trasporto. È una pressione altissima sui produttori software, che verosimilmente potrebbe fare impennare il numero di vittime che pagano i riscatti, a dispetto di qualsiasi divieto istituzionale.
Davanti a uno scenario del genere la gestione del rischio può dover essere rimodulata, dando nuovo smalto alla gestione continua delle vulnerabilità, con la priorità alla ricerca proattiva delle minacce. Gli esperti consigliano inoltre un’alzata di scudi da attuarsi mediante la diffusione di architetture Zero Trust, micro-segmentazione delle reti, principio del privilegio minimo e simulazioni di crisi che preparino a gestire attacchi che arriveranno: come sempre, non è questione di “se” ma di “quando”.