Ransomware: Le contromisure
Come per tutti i problemi complessi con cause molteplici, non esiste una soluzione per il ransomware che sia contemporaneamente semplice, efficace ed economica. In generale, possiamo distinguere tra contromisure basate sul ripristino dei dati criptati da una intrusione e quelle che mirano a contenere l’intrusione prima del suo successo completo.
Il backup come contromisura
Le contromisure basate sul ripristino dei dati sono efficaci solo quando l’attaccante non ricorre a double extortion o comunque non minaccia la pubblicazione dei dati esfiltrati. La base di queste contromisure sono le copie di backup dei dati. Ovviamente, tali copie vanno difese impedendo che, come quasi sempre accade, l’attaccante le elimini durante la sua intrusione. Una difesa possibile sono strategie come la 3-2-1, che prevede l’utilizzo di almeno tre copie dei dati memorizzate su due supporti diversi, di cui almeno una non in linea o su un altro sistema; non in linea vuol dire non collegato ad una rete e non semplicemente spento, visto che alcuni ransomware possono forzare il boot di una macchina per criptarne le informazioni.
La strategia 3-2-1 è talmente efficace che la gang Lockbit la usa per proteggere le informazioni sui propri malware: ma è difficile garantire l’aggiornamento istantaneo e continuo delle copie, soprattutto di quella non online. Ergo, tutti i dati non ancora memorizzati sulla copia non online potranno andare persi, aumentando il tempo di ripristino.
Una seconda strategia di difesa prevede l’uso di memorie immutabili. Si tratta di memorie worm, write once read many, in cui ogni operazione può essere scritta ma non aggiornata. In generale, la proprietà worm viene garantita in modo nativo da CD-r o DvD-r, oppure utilizzando degli interruttori o delle chiavi fisiche che impediscono l’aggiornamento del supporto fisico di memoria. Memorie worm, ormai messe comunemente a disposizione dai fornitori di servizi cloud, possono essere usate per memorizzare backup; ma sono anche stati sviluppati file system che utilizzano questi dispositivi e che offrono all’utente una interfaccia completamente standard. Sostanzialmente, ogni scrittura di una pagina fisica del file system provoca non la modifica della stessa ma l’allocazione e la scrittura di una nuova pagina. In questo modo, il dispositivo conserva tutte le pagine già scritte e la copia di backup è prodotta automaticamente, pertanto non può essere cancellata.
La robustezza come contromisura
Una soluzione più generale e proattiva cerca di bloccare l’intrusione prima che abbia successo. Ciò richiede l’adozione di difese standard, cioè non specializzate per il ransomware. Tra queste strategie ricordiamo:
- l’aumento della security awarness degli utenti;
- una politica di patching per le vulnerabilità più critiche;
- la classificazione delle informazioni;
- la minimizzazione dei diritti assegnati ad ogni utente;
- il privilegio minimo;
- la segmentazione delle reti.
In particolare, la segmentazione delle reti e la separazione delle varie sottoreti mediante firewall è una delle contromisure più efficaci per il contenimento della diffusione del malware sia nel caso in cui attaccanti usino una piattaforma di attacco automatizzata, sia in quello di human operated ransomware. Le strategie che le varie gang usano nelle loro intrusioni dimostrano che la segmentazione può determinare un aumento significativo del tempo per la raccolta di informazioni e di quello per criptarle, aumentando così il tempo a disposizione dei difensori. Una forma estrema di segmentazione è l’air gap, cioè l’impossibilità di due reti di interagire come richiesto dalla strategia 3-2-1 discussa in precedenza. Un’altra contromisura efficace − soprattutto nel caso di ransomware che esfiltri le informazioni − è l’egress filtering, cioè il filtraggio delle comunicazioni in uscita per individuare comunicazioni anomale in termini di quantità o di destinatari. Tenendo conto che molte gang hanno sfruttato vulnerabilità in sistemi per VPN, in prospettiva, anche soluzioni zero trust potranno essere adottate per respingere intrusioni che sfruttano credenziali rubate o device infettati al di fuori del perimetro aziendale.
Sostanzialmente, la soluzione più generale per contrastare il ransomware non è diversa da quella per contrastare altre minacce ed è basato su una lista di meccanismi e strategie che gli esperti di sicurezza informatica suggeriscono da tempo ma che le organizzazioni, dalle più piccole alle più grandi, non riescono ad adottare. Questo può in parte essere dovuto ai meccanismi di scelta dei responsabili della sicurezza, che privilegiano persone interne all’organizzazione rispetto a quelle in possesso delle competenze necessarie.
Delegare a ditte esterne l’installazione, gestione e manutenzione di strumenti per la propria sicurezza può migliorare, anche drammaticamente, le competenze a disposizione; ma pone uno dei problemi più critici nella situazione attuale, quello dei supply chain attacks e delle vulnerabilità condivise tra organizzazioni diverse. Ad esempio, Solarwinds, una azienda produtrice di strumenti per la sicurezza informatica, è stata vittima di una intrusione che ha permesso all’attaccante di manipolare il codice dei suo tool, facendo sì che ogni utilizzatore di queste soluzioni diventi una potenziale vittima. Intrusioni simili potrebbero coinvolgere le ditte che offrono servizi di sicurezza. A questo si affianca la carenza di risorse che le organizzazioni riservano per la propria sicurezza.
È singolare come l’alta dirigenza delle organizzazioni, sia pubbliche che private, spinga per l’adozione delle tecnologie emergenti per aumentare la competitività aziendale trascurando come ogni adozione aumenti la digitalizzazione dei processi aziendali ma anche la superficie d’attacco dell’organizzazione e i rischi associati.
In contrapposizione ai ridotti investimenti da parte delle vittime, le gang ransomware investono costantemente una parte dei loro profitti per migliorare la qualità dei loro strumenti software e delle loro infrastrutture di attacco. Ad esempio, un anno fa solo poche varianti erano in grado di criptare informazioni su sistemi operativi diversi da Windows: oggi tutte le varianti possono criptare informazioni su qualsiasi sistema Windows o Linux e su macchine virtuali e sono quindi in grado di attaccare qualsiasi server.
Assicurazioni e contrattacchi
Oltre alle soluzioni più tipicamente informatiche e sistemistiche, altre strategie di mitigazione sono state proposte. Una è quella delle polizze assicurative: una soluzione classica per trasferire il rischio ma, dopo un entusiasmo iniziale, le assicurazioni sono restie a coprire il rischio cyber perché è governato da correlazioni e condivisioni spesso ignote a priori. Non siamo nel mondo felice delle assicurazioni auto, dove il fatto che un automezzo è coinvolto in un incidente non cambia la probabilità che un altro automezzo lo sia. Nell’ecosistema informatico, la scoperta di una vulnerabilità in un sistema operativo può cambiare lo scenario di rischio in un numero elevato di sistemi. Il rischio di un singolo evento catastrofico che coinvolga un numero elevatissimo di sistemi informatici preoccupa molto sia gli assicuratori che i riassicuratori. La diffusione di NotPetya ha concretizzato molte delle caratteristiche di un tale evento e ha provocato un numero elevato di cause legali che, per la prima volta, hanno posto il problema delle intrusioni informatiche come atti di guerra in un periodo di guerra non dichiarata. Inoltre, come certificato in numerose audizioni presso il senato US, le assicurazioni non sono attualmente in grado di adeguare il costo delle loro polizze alla effettiva robustezza della singola infrastruttura perché non sanno misurare tale robustezza. Ciò produce un approccio “one size fits all”, che ovviamente i clienti non amano, ed evidenzia la necessità di test per misurare tale robustezza, così come i crash test misurano quella di un’autovettura.
Un recente esempio di contrattacco è quello FBI contro la gang Hive. A partire dal luglio 2022, gli agenti FBI si sono infiltrati nella infrastruttura d’attacco e nei sistemi della gang rubando chiavi di decrittazione che venivano poi fornite alle vittime della gang.
Complessivamente sono state fornite circa 300 chiavi a vittime che erano sotto attacco mentre gli agenti si muovevano nei sistemi di Hive e circa 1000 alle vittime precedenti.
In generale, la fornitura delle chiavi ha permesso alle vittime di risparmiare più di 130 milioni di dollari. Nel gennaio 2023, un’azione congiunta delle forze di polizia di più paesi ha smantellato l’infrastuttura d’attacco e i sistemi di Hive. Coloro che hanno smantellato la gang prevedono che a breve i membri si riorganizzeranno sotto un altro nome o in altro gruppi. Alcune ore dopo l’operazione del FBI, alcuni siti che pubblicizzavano l’offerta di una taglia per informazioni su Hive sono stati bloccati da un attacco DoS. Secondo molti analisti, il DoS è stato realizzato da agenti che hanno operato per conto del governo russo. Questo può fornire indizi sulla sponsorizzazione delle gang ransomware.
Una diversa versione di contrattacco, citata per completezza, è quella della sicurezza offensiva: cioè la possibilità, non per le forze di polizia ma per una organizzazione che scopra di essere attaccata da una gang, di contrattaccare. In pratica, c’è chi propone una innovazione legale che permetta anche ad una organizzazione privata di contrattaccare per smantellare i sistemi delle gang che la stanno attaccando. Ad esempio, Entrust, una grande società di sicurezza informatica, ha in passato eseguito un attacco DoS per impedire l’accesso al sito web dove la gang Lockbit aveva minacciato di pubblicare dei dati esfiltrati da Entrust. L’innovazione è controversa ed estremamente discutibile, visto che le infrastrutture di attacco sono botnet costruite con risorse che non appartengono sicuramente all’attaccante. La proposta evidenzia come anche nel settore civile si possano presentare situazioni che richiedono l’adozione di piattaforme offensive.
Si pensi ad esempio alle azioni per smantellare le botnet che le gang criminali utilizzano nelle loro intrusioni ransomware, ma non solo. Esperienze passate hanno dimostrato che l’efficacia delle azioni per smantellare una botnet dipende dalla capacità di agire simultaneamente su tutta la botnet stessa. Senza tale simultaneità, la tecnologia P2P che le botnet adottano permette alla parte non smantellata di sopravvivere e di ricreare quella eliminata. Solo l’automazione delle azioni in una singola piattaforma può garantire la simultaneità.
Contrasto al riciclaggio
Il miglioramento della tecnologia per analizzare i flussi di pagamento su strutture dati di tipo blockchain e per deanonimizzare i soggetti coinvolti in questi flussi permette di individuare e punire gli attori coinvolti nel riciclaggio dei riscatti. Sfruttando questa tecnologia, a gennaio 2023 il Department of Justice statunitense ha incriminato e arrestato Anatoly Legkodymov, fondatore e maggiore azionista di Bitzlato, una società per il cambio di valute. L’accusa a Bitzlato è quella di riciclare i riscatti del ransomware del dark market Hydra, smantellato nell’aprile 2022. Questi riscatti comprendono anche quelli generati dal ransomware Conti.
Complessivamente, circa il 2% dei fondi gestiti da Bitzlato proveniva da ransomware mentre gli altri erano sostanzialmente legati al mercato della droga.
Il cambio di prospettiva
Molti ricercatori e analisti evidenziano come il fenomeno del ransomware metta in crisi gli strumenti tradizionali di analisi e gestione del rischio. Infatti, il fenomeno richiede un approccio altamente dinamico in cui lo scenario di rischio può essere completamente rivoluzionato in conseguenza di una nuova strategia di attacco o di una nuova vulnerabilità. Inoltre, anche i sistemi da proteggere si evolvono per nuovi nodi, nuove applicazioni e nuovi utenti. È chiaro che tutte queste caratteristiche generano una situazione che è, ad esempio, molto diversa da quelle che le compagnie di assicurazione affrontano tradizionalmente e che hanno tempi di evoluzione minori per molti ordini di grandezza. Non si tratta solo della scarsità delle informazioni su intrusioni, ricatti e danni subiti per la naturale ritrosia delle vittime a condividere tali informazioni. Purtroppo, molte di queste informazioni diventano obsolete all’apparire, ad esempio, di gang che usano strategie di attacco o diffusione del ransomware diverse. Quindi la scarsità dei dati è un fenomeno strutturale, sistemico dell’ecosistema informatico e non è legato a una carenza momentanea a cui si può rimediare creando agenzie che, come per il traffico aereo, raccolgano e facilitino la condivisione di informazioni su incidenti o malfunzionamenti. Fortunatamente, esistono strumenti formali per rimediare alla mancanza di dati: ad esempio il metodo Monte Carlo, che può essere integrato con la tecnologia del digital twin per condurre esperimenti ripetuti che forniscano i dati di interesse ma sintetici. Questi dati possono permette di reagire in tempi brevi o brevissimi a repentini cambi di scenario sia nei sistemi da proteggere che nelle intrusioni contro di essi.
Possiamo concludere dicendo che la necessità di un approccio dinamico alla valutazione e gestione del rischio generato dal ransomware è corretta ma parziale perché, in realtà, tutti i rischi cyber richiedono un approccio dinamico: solo accettando e gestendo questa dinamicità possiamo disporre di solidi strumenti di analisi in grado di gestire anche il rischio ransomware.
Questo articolo è stato estratto dal white paper “Ransomware – Innovazione e redditività del cyber crime” disponibile in maniera libera e gratuita al seguente link: https://www.ictsecuritymagazine.com/pubblicazioni/ransomware-innovazione-e-redditivita-del-cyber-crime/
La monografia del Prof. Baiardi offre un’approfondita panoramica sul fenomeno, partendo dalla sua storia ed evoluzione per poi concentrarsi sul profilo dei principali attaccanti: non più singoli cybercriminali ma gruppi organizzati (che oggi forniscono anche ai “neofiti” i necessari strumenti offensivi tramite il Ransomware-as-a-service o RaaS) nonché attori statali che, sempre più spesso, impiegano tali attacchi a fini di spionaggio o come armi nella guerra cibernetica con altri Stati.
Articolo a cura di Fabrizio Baiardi
Full Professor, Università di Pisa
E' attualmente è professore ordinario di Informatica presso l'Università di Pisa dove coordina il gruppo di ricerca su ICT risk assessment and management. La sua attività di ricerca è focalizzata su strumenti e metodi formali l'automazione dell'analisi e la gestione del rischio.