Impara a non farti fregare e ragiona di cybersecurity
Se ci fosse una notizia di cronaca informatica capace di descrivere i malanni del settore cybersecurity in un colpo solo, sarebbe quello che di recente ha coinvolto il gruppo criminale BlackCat. Parliamo di un concentrato di tutto ciò che attanaglia i responsabili della sicurezza digitale delle aziende, nonché una buona lezione di cybersecurity non banale, pratica e, per certi versi, inquietante. Anzi, addirittura una serie di 5 lezioni che forse è il caso di analizzare insieme.
C’è del marcio a Pisa
Come nelle migliori trame da serie TV moderna, si parte dalla fine: alcuni giorni fa, l’università di Pisa è vittima di un attacco informatico, nella fattispecie di un ransomware. Per quanti non lo sapessero, si tratta di una minaccia informatica che, come descrive la traduzione del termine informatico, consiste in un software capace di attivare il meccanismo della doppia estorsione.
Nel migliore dei casi, crittografa, di fatto rendendo inservibili, i file presenti in un computer, al punto che gli unici due modi per tornare a utilizzarli è poter contare su un backup ben aggiornato, oppure pagare un riscatto (salato) senza la possibilità di risalire a chi ne è il beneficiario reale. Pessima situazione, ma dobbiamo ancora parlare del caso peggiore: anche nel caso fosse disponibile il backup, togliere di bocca il riscatto ai criminali informatici, non pagandoli, dà il via alla vendita o diffusione pubblica di dati sensibili rubati loro dal computer prima di crittografarlo. Una leva mica da ridere per far tornare la vittima all’idea di pagare il riscatto.
Lezione 1: cybercrime e cybersecurity sono una cosa seria
L’Università di Pisa, dunque, diventa vittima di un ransomware. Di per sé, al giorno d’oggi, non vi è nulla di strano; dopotutto, da un sondaggio di International Data Corporation del 2021, un’azienda su tre ne è vittima. Ciò che rende particolare questo è che lo rivendica ALPHV. Si tratta di una gang di cybercriminali, anche chiamata Blackcat, che nasce dall’unione dei gruppi BlackMatter e REvil, due top del settore ransomware. E siccome l’unione fa la forza, c’è motivo di preoccuparsi un po’ di più.
Da qui, la prima lezione: il cybercrime è cosa seria, e già lo sapevamo, ma adesso è così seria che ricalca, in tutto e per tutto, le dinamiche della criminalità organizzata. Al punto da mostrare anche il fenomeno delle fusioni di cosche criminali per rafforzarsi ed essere più competitivi. Non tanto per il fattore economico, sempre e comunque consistente (il riscatto richiesto all’Università era di 4,5 milioni di dollari), ma per la ricerca tecnologica, che nel caso dei cybercriminali diventa sempre più importante, accurata e costosa.
Leggi anche: La cybersecurity al tempi della quarantena
Lezione 2: cybersecurity non vuol dire roba da nerd sfigati
Sempre per rimanere sulla metafora della serie TV, a questo punto, dal finale si dipana la trama. E così, innanzitutto, abbiamo conferma che, nel caso di Pisa, i cybercriminali, insieme alla richiesta di riscatto, si sono premutati di allegare un campione di dati in loro possesso e che sono pronti a spiattellare ai quattro venti in caso di mancato pagamento. A riprova del fatto che l’esfiltrazione è stata effettuata con successo e il double ransom era bello che servito.
Seconda lezione: smettiamola di considerare i cybercriminali come dei ragazzini nerd o degli sprovveduti. Si tratta di alcuni dei più scaltri criminali, e criminali nel vero senso della parola, spesso con curricula ed esperienze in grosse aziende, di fronte ai quali anche i team di cybersecurity più navigati possono poco.
Lezione 3: c’è più tecnologia di quel che pensi
Appurato chi fossero gli autori dell’attacco, la dinamica, a questo punto, è chiara. Ogni gang di cybercriminali ha dei tratti distintivi e BlackCat non fa differenza. Questo gruppo, in particolare, sfrutta tecnologia di alto livello per accedere ai sistemi di una vittima. Solo a questo punto, provvede dapprima all’esfiltrazione dei dati e, quindi, all’installazione del ransomware.
Terza lezione: i ransomware, e in genere le minacce informatiche di un certo livello, non sono più questione solo di fare clic sull’allegato. La componente di ingegneria sociale c’è ed è importante, ai fini di un attacco, ma oggi c’è molta, moltissima tecnologia, di fronte alla quale anche molti sistemi ben protetti possono crollare. Per questa ragione, la protezione deve passare per un programma di cybersecurity organico, completo, che tenga conto di tanti e diversi fattori. E smettiamola, una volta per tutte, di deridere chi è vittima di questi attacchi: si tratta di operazioni criminose di così alto profilo che siamo tutti potenziali vittime.
Lezione 4: sistemare le vulnerabilità
Il ransomware, per BlackCat come ormai per qualsiasi altra gang, come anticipato, è solo l’atto finale. Un ransomware difficilmente si occupa del resto. E non a caso, negli ultimi giorni è emersa l’evidenza che ALPHV sfrutti delle vulnerabilità di Microsoft Exchange, la tecnologia per la posta elettronica del gigante di Redmond.
Qualcuno farà un sorrisino sarcastico, pensando sia colpa di Microsoft, ma la verità è che le vulnerabilità utilizzate sono vecchie e risolvibili ormai da tempo. Una, in particolare, la CVE-2021-26855, è pubblica dal 2 marzo del 2021. E questo significa che se ti occupi dei sistemi e della sicurezza informatica di un’azienda, e cadi vittima di un attacco di questo tipo, forse non dovresti fare sarcasmo su chi produce una tecnologia ma su come tu la gestisci e te ne prendi cura.
Quarta lezione: prima ancora degli antivirus, prima ancora dei firewall, la principale forma di protezione di un sistema informatico è la gestione delle vulnerabilità. Che si traduce nei banali aggiornamenti, se si è un semplice utente finale, per passare poi a una vera e propria strategia di vulnerability management, se si ha a che fare con un’azienda.
Lezione 5: il fattore umano
E così arriviamo alla fine, che in realtà è l’inizio. Ok le vulnerabilità, le cybergang e tutto il resto: ma come è partito tutto? Da una email con un link malevolo. Non si tratta di un vero e proprio allegato, ma di un link ben confezionato che portava al velocissimo download di un piccolo file contenente una macro, cioè una minuscola porzione di codice che, di fatto, ha dato il via all’attività malevola: download dei pezzi del malware vero e proprio, collegamento al server dei criminali informatici, apertura di una backdoor, cioè un pertugio nel sistema informatico della vittima che ha consentito di accedere alla rete e tutto il resto.
Quinta lezione: il fattore umano è sempre parte integrante di un attacco ben strutturato. Non vanno sopravvalutati (lezione tre), ma al tempo stesso occorre formare e preparare gli utenti alle più basilari norme di buona sicurezza informatica. Con uno sforzo in più, rispetto al passato, e non a caso parlo di utenti: queste norme vanno imparate da tutti, indistintamente, così come si impara ad attraversare la strada e a non tenere troppo esposto il portafogli in metropolitana.
Perché oggi non c’è più differenza tra la criminalità fisica, che tutti ben conosciamo, e il cybercrime. È criminalità, punto e basta, e nel momento in cui capiremo di far parte tutti del bacino dei bersagli, esattamente come chiunque può diventare potenziale vittima di furto in metro, quella sarà la conquista che manca ancora al mondo della cybersecurity.