Sono trascorsi cinque anni dal primo attacco ransomware su larga scala. Molto è stato fatto per la difesa, tuttavia bisogna ripensare le strategie di sicurezza.
Sono passati ormai cinque anni dal primo impatto scioccante con WannaCry, che coincide anche con la prima vera esperienza del mondo informatico con i ransomware. Allora furono oltre 230 mila i computer resi inaccessibili in 150 paesi: i loro dati erano stati crittografati, e per poterne disporre nuovamente era stato richiesto un ricco riscatto.
Come ricorda Massimiliano Galvagna, Country Manager Italia di Vectra AI, i primati di WannaCry sono molteplici. Fu probabilmente la prima infezione globale da ransomware della storia. Sicuramente fu uno dei primi attacchi ransomware a guadagnare l’attenzione della stampa generalista: un fatto che mise in allarme non solo gli addetti ai lavori, ma le persone comuni.
Dopo WannaCry nulla è stato più come prima: la paura del ransomware è aumentata di anno in anno, la consapevolezza dei rischi per la cyber security ha fatto passi avanti da gigante. Il problema è che la comprensione tecnica di questa minaccia non è andata di pari passo. Pochi hanno compreso, per esempio, che gli strumenti utilizzati da WannaCry per violare i sistemi potevano essere ricondotti direttamente a toolkit sottratti agli Stati.
Questo ha dimostrato fin dal 2017 che il sofisticato spionaggio messo in atto dai cyber criminali stava diventando sempre più diffuso tra gli operatori di livello inferiore. Oggi si parla molto di commistioni fra il cybercrime e i gruppi sponsorizzati dagli stati nazionali, tralasciando che è non è un inedito, ma un fenomeno che arriva da lontano.
WannaCry ha quindi rappresentato una sorta di campanello d'allarme per chi sviluppava soluzioni di sicurezza, che ha dovuto giocoforza attuare misure di sicurezza più proattive, perché i semplici firewall non potevano più garantire la protezione dei sistemi.
Nonostante questo, pochi giorni fa sono stati diffusi i risultati di un sondaggio che ha rivelato che antivirus, antispam e firewall – ossia le difese che si erano rivelate insufficienti nel 2017 – sono tuttora le soluzioni di cyber difesa più utilizzate dalle aziende italiane.
E mentre le difese evolvono lentamente, come certifica anche Clusit, gli attaccanti polverizzano un record dopo l’altro. In cinque anni il ransomware si è evoluto, tanto che oggi si parla ormai di RansomOps: le minacce contemporanee sono guidate da tattiche moderne e interattive messe in atto da operatori umani, che hanno preso il posto dell’approccio programmatico e semi-guidato di un payload wormable come era WannaCry.
Sembra un cavillo, in realtà cambia totalmente la prospettiva di difesa. Con le precedenti generazioni di ransomware, il dwell time, ossia il tempo che intercorre tra l’infezione e l’attività dannosa, era breve e la via di attacco era abbastanza prevedibile. Questo rendeva sufficiente una buona protezione sull’endpoint per scoprire l’esistenza di un problema.
Oggi il tempo di permanenza in rete degli attaccanti si è dilatato fino a raggiungere giorni o settimane, per dare loro il tempo di individuare gli asset critici e i dati di valore, prima di manifestare la propria presenza criptando o distruggendo i dati. Per questo è necessario un cambio di passo sulla difesa.
Come sottolinea Galvagni, un moderno sistema di protezione deve concentrarsi sulla fase anteriore al momento in cui si manifesta la minaccia, dal rilevamento di segnali di comando e controllo all’identificazione di credenziali abusate o utilizzate in modo non corretto. È una corsa contro il tempo per trovare ed espellere il ransomware prima che esfiltri i dati e faccia a pezzi l’organizzazione.
I controlli preventivi sono fondamentali, ma da soli non sono più sufficienti. È necessario anche avere piena visibilità sui propri ambienti e integrare funzionalità avanzate di rilevamento e risposta per mitigare le minacce che stanno già aggirando i controlli esistenti.