Dopo i colpi alla sanità pubblica di alcuni Paesi europei, anche un digital player da oltre 40 miliardi di fatturato come Accenture rimane vittima di un tentativo di estorsione (l’azienda precisa che non ci sono state conseguenze sulle attività). I pareri di Iezzi (Swascan), dell’ethical hacker Chiesa, del prof. Lombardi e di Tavaroli, raccolti da Andrea Vento e Angelica Riganti (Intelligence Week)
Una nuova forma di guerra ibrida in questa calda estate si sta facendo strada, quella degli attacchi cibernetici. In Italia, dopo il grave incidente che ha il colpito la Regione Lazio qualche settimana fa, si sussurra tra gli addetti ai lavori che stia aumentando nel nostro Paese la lista delle aziende obiettivo del ransomware e di altre forme di estorsione cibernetica.
Chiediamo a Pierguido Iezzi, Ceo di Swascan (Gruppo Tinexta), innovativa azienda di cyber security italiana impegnata nella ricerca delle vulnerabilità sistemiche di grandi e medie aziende, se ciò corrisponde al vero: “Ho l’impressione – dice Iezzi – che sia in corso una guerra tra gang che cercano di aumentare i profitti ed occupare quote di mercato. Ed è questo che sta causando un aumento degli attacchi. Swascan ha accolto infatti negli ultimi mesi sempre più richieste da parte dei propri clienti circa l’assistenza ad attacchi ransomware. Questo fenomeno è dovuto al proliferare della modalità Ransomware as a Service, che applica un concetto di marketing piramidale e di franchising al mercato dell’hacking criminale. Distribuendo la conoscenza e la tecnologia e moltiplicando gli attori, diminuiscono le barriere d’ingresso, aumentano i criminali, il mercato e i guadagni di tutti i partecipanti a questa economia illegale. Pertanto, purtroppo, crescono esponenzialmente anche le aziende attaccate e le vittime”.
Il recente report di Varonis, cyber security software company americana quotata al Nasdaq di NY, sembra confermare quanto afferma Iezzi. Esso, infatti, contribuisce a dare una dimensione del fenomeno, evidenziando che gli attacchi ransomware sono aumentati del 600% dopo il Covid 19 ed a causa dello smart working. Nel 2021 fino ad oggi c’è stato nel mondo un attacco ransomware ogni 11 secondi. Siamo passati da 7,5 miliardi di dollari di danni nel 2019, ad una proiezione di oltre 20 miliardi stimati per l’anno corrente. Il costo medio di recovery da un attacco è di 1,85 milioni di dollari. Parliamo quindi di un enorme impatto sull’economia reale, specialmente se si pensa che le aziende che subiscono questo tipo di incidenti sono costrette ad un fermo delle attività mediamente di 15 giorni, con una perdita di 8500 ore lavoro.
L’italiana Swascan sottolinea questo preoccupante trend in quanto solo nel periodo compreso tra il 2 luglio e il 2 agosto, ha rilevato, tramite il servizio di Malware Threat Intelligence, oltre 90mila tipologie di malware, 2194 di nuova concezione o mai visti prima. Questo è un barometro piuttosto esemplificativo di come il cyber crime stia diventando una delle principali minacce quando si tratta di sicurezza digitale.
È un fenomeno destinato a crescere negli anni? Se sì, perché? E quali sono le caratteristiche di questo mercato? Ci risponde Raoul Chiesa, decano degli ethical hacker italiani (quando era noto come Nobody), e co-fondatore di Swascan, dice: “Osservo con crescente preoccupazione quello che sta succedendo. Analizzando le epoche storiche, raramente il cyber crime è stato così aggressivo come in questi ultimi mesi. Quello che vedo e che stiamo analizzando in dettaglio con il nostro SOC è una competition, una vera e propria gara tra diverse cyber crime gangs per essere i numeri uno.
Già alcuni anni fa avevo fatto presente gli aspetti comportamentali e i cambi radicali nel modello di business proprio del cyber crime: purtroppo ci siamo arrivati, è successo. Sempre di più “as a service“, sempre di più attraverso il concetto di “partnership criminale”.” Trattando l’incidente che ha colpito Accenture in queste ore, Chiesa prosegue: “Quello che però mi spaventa maggiormente è l’offerta, alquanto sfacciata, della gang LockBit 2.0 finalizzata a reclutare dipendenti “insider” delle aziende, ai quali andrebbe poi una cospicua parte del guadagno. Stiamo parlando di milioni di euro, non di bruscolini”.
Guardando ai numeri e ascoltando le opinioni degli esperti, sembra di essere di fronte ad un fenomeno più ampio di un semplice mercato criminale. Si tratta di una emergenza che coinvolge il fattore umano, ma anche le dinamiche di un vero e proprio ecosistema criminale determinato dal fatto che le vittime pagano i riscatti, se non di vero e proprio fenomeno di terrorismo come ha dichiarato il presidente della Regione Lazio Nicola Zingaretti. Al quesito fondamentale se si tratta di semplici operazioni di economia criminale o di nuove forme di spionaggio ed attacco, economico e politico, ci risponde un dirigente della intelligence community: “Entrambe, un mix che unisce l’utile… al ‘dilettevole’, e comunque una nuova forma di guerra asimmetrica. In questo momento informazioni assai preziose si possono trovare presso aziende e società di consulenza”.
Torna Iezzi su quello che Graham Green definiva lo human factor: “Il fattore umano è un elemento fondamentale per la corretta gestione del cyber security framework aziendale. Da sempre il “social engineering” attacca proprio questo elemento potenzialmente debole attraverso l’inganno, inducendo l’errore che è la causa più frequente degli incidenti informatici. Non è un caso che nell’attacco ransomware che ha visto coinvolta la Regione Lazio, il punto di ingresso sono state proprio le credenziali di un dipendente sottratte attraverso una botnet. Ecco che il caso del data breach Accenture, scatenato dalla gang Lockbit, artefice dell’attacco, porta alla ribalta, in modo clamoroso, l’insider come elemento di minaccia del perimetro digitale, motivato sia dal guadagno che dalla sfiducia verso l’azienda e magari in futuro da ragioni di natura politica. La gang afferma di aver avuto accesso alla rete di Accenture proprio tramite questa dinamica”. Sarà interessante comprendere il danno reale subito da Accenture, la natura del riscatto, se c’è stato, e quali documenti siano stati esfiltrati.
L’azienda ha spiegato a Formiche.net: “Durante lo svolgimento dei nostri protocolli di sicurezza abbiamo identificato attività irregolari in uno dei nostri ambienti. L’incidente è stato prontamente contenuto ed i server colpiti immediatamente isolati e ripristinato completamente i nostri sistemi interessati dal backup. Non c’è stato alcun impatto sulle operations di Accenture e sui sistemi dei nostri clienti.”
Chiediamo invece al professor Marco Lombardi, Professore Ordinario e Direttore del Dipartimento di Sociologia dell’Università Cattolica, Direttore di ITSTIME, se attaccare le strutture sanitarie, bloccandone la funzionalità, possa essere considerato un atto terroristico: “Anche un attacco cyber è un attacco terroristico secondo una definizione di terrorismo che si fonda sulla valutazione degli effetti e non delle motivazioni. Innanzitutto, il cyber, cioè il mondo digitale, è il nuovo ecosistema nel quale la compresenza di reale e virtuale costituisce la specificità. Troppi esperti sono ancorati alla dicotomia virtuale – reale, che è ormai superata dalla sintesi del “digitale”, quel nuovo mondo significato dai nativi digitali, in cui non esiste più alternanza tra virtuale e reale, fusi in un continuum spazio-temporale che fornisce sia identità, sia relazione, sia operatività. Questo nuovo scenario colloca il terrorismo anche nel cyberwarfare, che diventa l’ambiente in cui si è quotidianamente immersi”.
Sorge quindi spontaneo chiedere a Lombardi se le organizzazioni terroristiche tradizionali di matrice islamica (Al Qaeda, Isis, Hamas) potranno rivolgersi a queste forme di attacchi per autofinanziarsi o per colpire i propri nemici: “Il presupposto – secondo Lombardi – è quello del terrorismo come organizzazione opportunista: al contrario di una organizzazione formale, il terrorismo non si lega ad una fonte di finanziamento ma utilizza ciò che è funzionale all’obiettivo, in questo caso finanziarsi. Anche gli eventuali impedimenti religiosi e ideologici vengono superati attraverso semplici escamotage: per esempio se non è opportuno commerciare in droga, si vende sicurezza a chi la droga la commercia.
In tal senso, il cyber è ormai l’ambiente (ecosistema) più attenzionato sia in termini comunicativi sia in termini strategici sia in termini economici e, pertanto, è un ecosistema su cui intervenire per trarne vantaggio. Dunque, o il terrorismo può proseguire la sua strada di specializzazione per gestire in modo diretto le opportunità con propri gruppi specializzati oppure può lavorare in franchising (come già fatto in altri ambiti) per condividere i successi economici, magari indiretti perché risultati conseguenti l’efficacia della minaccia, con chi ha le competenze per rapidamente ed efficacemente operare nel cyberwarfare. Entrambe le situazioni sono dunque da monitorare: da una parte ci si aspetta un incremento del reclutamento di competenti nel cyberwarfare per perseguire una strada autonoma di combattimento, dall’altra una strada di partenariato con gruppi specializzati già operativi. Le due strade non sono esclusive: ci troviamo all’inizio di un nuovo scenario conflittuale in cui i diversi attori stanno prendendo reciprocamente le misure”.
Alla domanda se vadano pagati i riscatti che sembrano essere un fattore di crescita del fenomeno, Lombardi replica: “È indubbio: un riscatto si paga sempre quando il cittadino di un paese è minacciato. Questo vale anche nel cyberwarfare, in funzione del valore del soggetto minacciato che, se non è un cittadino nella sua forma fisica, si tratta di informazioni che definiscono un cittadino o una istituzione nella sua identità digitale. Ogni giustificazione di principio rispetto alla rinuncia al “pagamento del pizzo” è una pruderie ideologica che non ha a che fare con la relazione conflittuale con il nemico. Certamente, il pagamento del riscatto non esaurisce mai la relazione: sul piano strategico, al pagamento rapido di un riscatto deve sempre corrispondere l’attivazione di una operazione il cui obiettivo è l’indubbia eliminazione biologica dei criminali. Non vedo né alternative né vie migliori a questo tipo di risposta: semplice, rapido, efficace”.
In chiusura non sfuggono le implicazioni geopolitiche di vera e propria guerra asimmetrica del mondo digitale di questa emergenza: “È evidente – racconta Giuliano Tavaroli, esperto in innovazione e rischi digitali e partner della Intelligence Week – che queste gang operano attraverso dei safe haven in Russia, Cina, Nord Corea, Iran, paesi attivi nell’arena della guerra digitale e difficilmente raggiungibili dal diritto internazionale. La dinamica di questi gruppi sembra ricalcare quella dei pirati ottocenteschi, contractor privati ante litteram, che agivano per conto degli imperi, attraverso le patenti di corsa, che li autorizzavano ad attaccare i trasporti commerciali nemici depredandoli.
La recente vicenda di REvil sembra confermare questa ipotesi, ossia un prolifico gruppo criminale tra i più attivi nell’attaccare obiettivi negli Stati Uniti, tra gli ultimi l’azienda IT americana Cattleya, che scompare dalla rete dopo la telefonata tra Biden e Putin, nel corso della quale il Presidente degli USA Biden chiedeva un impegno da parte del suo omologo russo a limitare gli attacchi verso gli Stati Uniti. Il Professor Lombardi solleva un tema interessante, quello del diritto non solo a difendersi ma poter replicare agli attaccanti colpendoli a loro volta. Un senatore degli Stati Uniti aveva avanzato una proposta legislativa in tal senso”.
Certamente nei prossimi mesi non solo le varie democrazie correranno ai ripari con investimenti e inforcement in questa direzione, come nel caso dell’Italia, ma sarà interessante quale tipo di reazione e risposta a questa guerra asimmetrica possa escogitare la NATO. Delle soluzioni all’orizzonte per l’Italia si è ampiamente parlato (ed agito) in questi giorni: il perimetro di sicurezza nazionale, la nuova agenzia per la cyber sicurezza (ACN) e gli oltre 200 miliardi del PNRR dedicati a favorire la digitalizzazione del Paese. Strumenti che rappresentano un’opportunità da non perdere e una grande sfida per il rilancio dell’Italia.
“In un particolare contesto come questo – dice Iezzi – bisogna investire sulla prevenzione che costa meno della gestione di un incidente e del suo ripristino, anche in termini reputazionali, che abbiamo visto mediamente costare circa 2 milioni di dollari ad incidente. Prevenire significa attuare misure di sicurezza predittiva e porre l’accento sul tema della Threat Intelligence, per conoscere la propria esposizione al rischio cyber, il danno potenziale e come allocare efficientemente le risorse. Il cyber crime – conclude Pierguido Iezzi – è una guerra di conoscenza che si vince con l’informazione”.