Italiano Inglese

Come cambia la sicurezza informatica tra hacker e nuovi ransomware

Si è tenuta il 15 e 16 novembre nella capitale degli Emirati Arabi la RSA Conference, esperti del settore e addetti ai lavori regionali e mondiali si sono ritrovati così ad Abu Dhabi per discutere delle più recenti sfide della cyber security e dello sviluppo presente e futuro della sicurezza informatica nell’economia digitale. Infrastrutture critiche, criminalità informatica e minacce, politica e amministrazioni, Analytics & Incident Response, Security Strategy & Operations, Cloud & Smart Security sono gli argomenti affrontati nella nuova edizione di questa importante conferenza che ha come slogan “Connect to protect” e affronta come stanno cambiando le politiche e le prospettive di sicurezza delle imprese e degli Stati.

Nata nel 1991 con il titolo "Cryptography, Standards & Public Policy la RSA Conference (come si chiama dal 2000) è un luogo privilegiato di incontro per crittografici ed esperti del web per poter condividere le ultime conoscenze ed innovazioni nel campo della sicurezza internet. Tra i primi dati che sono stati pubblicati ed analizzati durante questa conferenza si è discusso della rapida crescita dei “ransomware” anche in Medio Oriente con l’Oman come uno dei paesi più colpiti da questo particolare virus, seguito dalla Giordania. La nuova frontiera del crimine informatico ha infatti un nome e questo è proprio: “ransomware”. Un virus capace di limitare l’accesso del dispositivo che infetta richiedendo  un vero e proprio riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Una minaccia grandissima ed in crescita esponenziale per la sicurezza economica elettronica che mette in atto, quindi, una rapina “cibernetica” ai danni sia di privati sia di aziende. Alcune forme di ransomware bloccano il sistema e intimano all’utente di pagare per sbloccare il sistema, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.

Oltre a computer e smartphone questi virus sono in grado di bloccare anche tutta una serie di “dispositivi intelligenti” come i più moderni impianti di condizionamento dell’aria, spesso fondamentali in aree del mondo così calde. Da un report pubblicato dalla nota azienda di antivirus Kapersky security network (KSN) si apprende che, nel terzo semestre del 2016, vi sarebbero stati 27.471 tentativi di blocco all'accesso ai dati aziendali delle piccole imprese, praticamente un numero di attacchi ransomware otto volte superiore allo stesso trimestre del 2015. Tra i paesi più colpiti a livello mondiale in questa strana classifica c’è il Giappone al primo posto, seguito da Croazia (che prende il posto dell’Italia), Sud Corea, Tunisia e Bulgaria. Condivido in pieno le affermazioni di Morten Lehn, General Manager Italy di Kasperksy Lab a riguardo ed ossia che “Le minacce nel settore delle piccole imprese sono in continuo aumento, perciò anche le aziende più piccole devono essere in grado di proteggersi. Quando si tratta di ransomware, il pagamento del riscatto non garantisce che i dati verranno restituiti. Per assicurare la protezione contro ransomware e altri tipi di attacco, le imprese devono implementare soluzioni di sicurezza up-to-date affidabili come misura preventiva: è sempre più facile prevenire le minacce che intervenire quando il danno è già stato fatto”.

Emblematico il caso della contea dello Stato dell’Indiana di Madison County le cui attività sono state rallentate o bloccate del tutto a causa di un ransomware con tribunali e alcuni uffici chiusi a causa del virus. O ancora peggio il virus che ha colpito il 30 ottobre il complesso ospedaliero inglese NHS Lincolnshire and Goole, che ha dovuto improvvisamente cancellare molte operazioni chirurgiche già programmate, annullare tutte le visite e gli appuntamenti, e addirittura trasferire ad altre strutture esterne i pazienti in condizioni più critiche, a causa di questa imprevista e grave emergenza informatica. L’aumento degli utenti attaccati negli ultimi mesi potrebbe essere dovuto alle numerose varianti (circa 32.000)  di ransomware che sono state individuate durante il terzo semestre del 2016. La crescita continua dei ransomware è inoltre la chiara dimostrazione del fatto che molte aziende tendono a pagare il riscatto per riavere le proprie informazioni più riservate, trasformando così questo particolare virus in uno dei mezzi più interessanti e lucrativi per i cybercriminali. Tuttavia non sempre pagare il riscatto può dare la sicurezza di ricevere la chiave di decodifica per i propri file, quindi l’unica soluzione rimane la prevenzione, rivolgendosi alle autorità in caso di attacco ransomware per denunciare l’accaduto. Le imprese dovrebbero, infatti, munirsi di misure preventive per minimizzare i danni da un possibile attacco hacker attraverso la formazione dei dipendenti su come resistere ai tentativi di social engineering e phishing, essenziale poi creare copie di backup (non solo online) dei dati critici dell’azienda e tenere aggiornati tutti i software utilizzati dall’impresa al fine di risolvere eventuali falle nei programmi che vengono più comunemente utilizzati dai malintenzionati. È una lotta continua quella a cui stiamo assistendo negli ultimi mesi tra le nuove tecnologie di difesa e protezione sviluppate dalle aziende di antivirus e gli hacker che si mettono in gioco creando virus sempre più insidiosi e pericolosi. Il modo migliore per proteggere se stessi e i propri file dai ransomware rimane quello di fare attenzione ed utilizzare una soluzione di sicurezza efficace. Particolarmente interessante è anche l'iniziativa “No more ransom” (“basta riscatto”) lanciata a luglio da parte della polizia olandese, Europol, Intel Security e Kapersky Lab, con il sostegno della Commissione europea e di Eurojust, per introdurre un nuovo di livello di cooperazione tra forze dell’ordine e settore privato. Nei primi due mesi di avvio del progetto circa 2.500 vittime si sono liberate del virus grazie agli strumenti trovati sulla piattaforma privando gli hacker di riscatti per un valore stimato in 1,35 miliardi di euro. Non tutti i file sono al momento decifrabili ma il sito “No More Ransomware” raccoglie tutte le utilità per adesso efficaci nell'operazione di decodifica, questa lotta in corso tra hacker e forze dell’ordine continua.

Gianluca Cimini

Gianluca Cimini - Come cambia la sicurezza informatica tra hacker e nuovi ransomware