In attesa del Threat Report 2021 di BlackBerry, di prossima uscita, che ci offrirà una panoramica aggiornata sullo stato della cybersecurity attraverso il 2020 e le previsioni per il 2021, facciamo il punto su una delle categorie di malware ad oggi più diffuse: il ransomware.  

Introduzione

Il ransomware è una forma di malware estorsivo che cripta i file per impedire agli utenti vittima l’accesso ai propri sistemi ed ai propri dati. In molti casi, i file cifrati possono essere ripristinati alla loro forma originale solo tramite l’acquisto di una chiave di decodifica fornita dagli autori dell’attacco ransomware.  Se l’azienda vittima non risponde per tempo alla domanda di riscatto (ransom, in inglese), l’autore dell’attacco può aumentare il prezzo del riscatto oppure cancellare la chiave di decodifica, rendendo quindi impossibile il recupero dei file. 

Anche se il phishing rimane ancora il vettore d’attacco più diffuso per i ransomware, sono state introdotte tattiche, tecniche e procedure che non richiedono all’utente vittima di cliccare su un link malevolo, o di aprire un documento appositamente modificato, per infettare la propria macchina. Al contrario, vengono utilizzati exploit, come Eternal Blue, linguaggi di programmazione poco comuni e formati di dati ignoti, per depositare il ransomware direttamente sui sistemi degli utenti vittima, così da acquisire l’accesso persistente alla macchina necessario per lo scambio delle chiavi di cifratura e per i processi di pagamento. Attacchi come questi sono pensati per evadere i controlli di sicurezza sulla rete, capaci di rilevare e interdire il traffico sospetto che altrimenti si attiverebbe tra i sistemi infetti ed i server esterni di comando e controllo (C2).  

Spesso in questo genere di attacchi troviamo anche ‘exfiltration’ dei dati, che vengono trasferiti verso un’infrastruttura governata dall’attaccante, in modo non autorizzato. Le vittime sono quindi minacciate della pubblicazione di questi dati, o della notifica agli enti regolatori, nel caso in cui la loro domanda di riscatto non sia presa in considerazione. Ad esempio, nel recente attacco Netwalker subito da Enel nell’ottobre 2020, è stato richiesto un riscatto di 14 milioni di dollari per decriptare i file (circa 5 Terabyte di dati riservati), con minaccia di renderne pubblico il contenuto.

Sebbene l’indicazione degli enti regolatori alle vittime sia quella di non pagare il riscatto, molte aziende decideranno di farlo in base a diversi fattori: quanto sono impattati i propri dipartimenti operativi; quali effetti può avere su clienti ed azionisti; i costi di ripristino e riordino; più in particolare, quanto l’esposizione di certi dati può condurre l’azienda vittima a penalizzazioni da parte degli enti regolatori e a danni d’immagine al proprio brand ed alla propria reputazione.  

La sfida del ransomware oggi

Ad oggi, il ransomware rappresenta una grande fonte di guadagno per le organizzazioni di cybercrime, comprese quelle sponsorizzate da nazioni complici.

Diamo un occhio alle seguenti statistiche allarmanti:

  • Il 27% di tutto il malware è costituito da ransomware
  • Entro la fine del 2021, ci sarà un attacco ransomware alle aziende ogni 11 secondi
  • Di questi, avrà successo un attacco ogni 40 secondi
  • Il 62% delle aziende che hanno risposto ad un questionario dedicato alle minacce cyber nel 2020, ha ammesso di essere stato vittima di ransomware
  • Di queste, il 58% ha optato per pagare il riscatto, con un aumento del 13% rispetto all’anno precedente
  • Il costo complessivo dei danni causati da ransomware è stimato essere di 20 miliardi di dollari per l’anno 2021, con un aumento del 300% rispetto ai 5 miliardi di dollari stimati per l’anno 2017. In questa cifra sono inclusi non solo i riscatti pagati, ma anche i costi di ripristino e contenimento, le perdite di produttività, il danno reputazionale, eccetera

Siamo pronti contro la minaccia ransomware?

Nonostante i rischi siano noti a tutti, molte aziende sono ancora poco preparate a difendersi da un attacco ransomware e dalle sue conseguenze.

In base ad un sondaggio condotto da NTT Security, orientato a figure di responsabilità in azienda, abbiamo:

  • Un terzo dei partecipanti al sondaggio ha dichiarato di preferire il pagamento di un riscatto piuttosto che investire in maggiore sicurezza per prevenire simili attacchi cyber
  • Solo il 58% degli intervistati ha una politica ufficiale di sicurezza in vigore all’interno della propria azienda
  • Il 48% degli intervistati ha dichiarato di non avere un piano di incident response (IR), mentre solo il 57% di quelli che hanno un piano di incident response è al corrente di tutti i dettagli

L’assunzione di nuovo personale preparato per le sfide odierne della cybersecurity è di certo un’urgenza dei nostri tempi ed è preoccupante che oggi tali figure siano carenti e difficili da reperire nel mondo del lavoro. Purtroppo, un avversario determinato ha gioco facile per far breccia nei sistemi di protezione tradizionali e gli esperti di cybersecurity saranno sempre troppo pochi per bloccare gli attacchi, se gli approcci di difesa saranno comunque solo reattivi.

Le aziende si devono premunire di strumenti di protezione degli endpoint che siano in grado di bloccare gli attacchi in modo automatico, così che gli esperti di cybersecurity possano concentrare le proprie attività sui progetti di business continuity, digital transformation, resilienza, … Ciò porta all’adozione di una strategia proattiva per l’UES (Unified Endpoint Security), basata su intelligenza artificiale, machine learning ed automazione.

Una strategia preventiva: l’approccio di BlackBerry

Il vantaggio di una strategia preventiva inizia con la neutralizzazione del malware prima della fase di exploitation, prima cioè che possa fare danni sull’endpoint. Se il malware non può essere eseguito, ne deriva che tutte le sue conseguenze dannose e tutte le relative contromisure per tracciare, contenere, ripristinare il danno, sono drasticamente ridotte.

Le applicazioni di BlackBerry Spark, in particolare la Cyber Suite, ed i servizi di sicurezza di BlackBerry consentono alle aziende di minimizzare i rischi da ransomware, transitando da un approccio reattivo ad una strategia in primo luogo preventiva per la cybersecurity.

La Cyber Suite di BlackBerry ora unisce la componente EPP per la protezione dell’endpoint di BlackBerry Protect, la componente EDR di BlackBerry Optics e la nuova ed unica componente di analisi comportamentale dell’utente tramite BlackBerry Persona.

BlackBerry Protect previene l’esecuzione delle varianti di WannaCry, GoldenEye e Satan con modelli matematici predittivi che risalgono a settembre 2015, molto tempo prima che il ransomware specifico venisse riscontrato sul campo. Questo vantaggio predittivo di BlackBerry Protect è stato confermato da studi indipendenti di terze parti e si estende ai ransomware più noti e dannosi, come Phobos (riscontrato 1229 giorni prima), Ryuk (1340 giorni),Sodinokibi/Sodin/Revil (1343 giorni), Zeppelin (1496 giorni), Ako (1000 giorni), Mailto (1567 giorni), Netfilim (1448 giorni), STOP/Djvu (1714 giorni), Maze (1464 giorni) e molti altri ancora.  

BlackBerry Optics estende la prevenzione di BlackBerry Optics con processi automatizzati di Detection & Response, che vanno dalla raccolta di dati di telemetria alla messa in offline dei sistemi. Questi processi possono essere regolati da modelli basati su intelligenza artificiale chiamati Context Analysis Engine (CAE), da regole personalizzate e da regole che implementano le tattiche, tecniche e procedure APT del MITRE ATT&CK.  Optics poi fornisce funzionalità avanzate di RCA (Root Cause Analysis), smart threat hunting, etc.

I servizi di sicurezza di BlackBerry comprendono team specifici per le attività di compromise assessment, incident response e consulenza forense. In presenza di ransomware o altri problemi di sicurezza, le aziende ricevono le indicazioni da seguire per l’indagine, il contenimento, il ripristino e per impedire che si ripresentino. Il supporto qualificato di questi team si avvale di tool e processi proprietari, basati su intelligenza artificiale, in modo da fornire i primi risultati molto velocemente, anche a poche ore dalla raccolta iniziale delle informazioni.

Tra i servizi di sicurezza, vorrei poi citare i team per la simulazione di attacchi cyber, in grado di identificare infrazioni importanti nei sistemi di difesa del cliente in condizioni realistiche di attacco.

Infine, BlackBerry Guard è la soluzione MDR (Managed Detection and Response) di BlackBerry, che integra Protect, Optics ed il supporto 24x7 di un team qualificato di esperti BlackBerry per la prevenzione e la risposta in caso di incidenti.

Conclusione

In uno studio condotto da Forrester, BlackBerry è stata identificata come una delle solo sei compagnie in grado di aiutare le aziende a riprendersi da un attacco ransomware. Grazie alla loro capacità di bloccare il malware alla fase di exploitation, le soluzioni di BlackBerry aiutano le aziende ad aumentare la propria resilienza, ridurre la complessità infrastrutturale e soprattutto ottimizzare la gestione della cybersecurity. Gli esperti di cybersecurity in azienda potranno finalmente concentrarsi sui progetti chiave di sicurezza IT invece di impiegare il proprio tempo per il ripristino da incidenti cyber.

Non ci dovrebbero essere più dubbi su quale dovrebbe essere una strategia responsabile da adottare per la cybersecurity: le aziende devono puntare su una prevenzione proattiva.