Il report ENISA 2022 sugli attacchi ransomware fornisce indicazioni anche sulle misure regolatorie da adottare

Il report ENISA 2022 sugli attacchi ransomware fornisce preziosi spunti alle aziende su come affrontare i cyberattacchi, anche in relazione alle misure regolatorie da attuare per limitare il rischio di data breach.

Il report Threat Landscape for Ransomware Attacks dell’ENISA è il risultato dell’esame di 623 cyberattacchi ransomware avvenuti da maggio 2021 a giugno 2022, una percentuale rilevante dal momento che l’ENISA ha stimato in 3.640 il numero totale di incidenti nello stesso periodo. Di seguito un’analisi di come si stanno evolvendo e quali sono le misure raccomandate, comprese le azioni regolatorie, da adottare per proteggersi dagli attacchi ransomware.

Gli attacchi ransomware stanno diventando sempre più sofisticati

Le azioni principali che un attacco ransomware può eseguire sono quattro: può

  • bloccare l’accesso a una risorsa (ad esempio, file e cartelle), ad esempio bloccando lo schermo o l’accesso a una particolare applicazione;
  • crittografare una risorsa (ad esempio, i dati), rendendola indisponibile per la società target;
  • rubare una risorsa, compromettendone la disponibilità e, in ultima analisi, la riservatezza, anche attraverso l’esfiltrazione dei dati che spesso porta alla loro pubblicazione sul dark web; e
  • cancellare un asset, rendendolo definitivamente indisponibile.

Le fasi di un attacco ransomware sono le seguenti

  • accesso iniziale, che spesso avviene tramite credenziali rubate, phishing e altre soluzioni che, in base alla nostra esperienza, di solito sfruttano errori umani e la mancata comprensione da parte delle vittime dei potenziali rischi informatici derivanti all’organizzazione dalle loro azioni;
  • l’esecuzione, che può richiedere diverse settimane poiché il threat actor si trova all’interno dell’ambiente IT della vittima, studiando la sua infrastruttura ed eseguendo le azioni preparatorie. Dal punto di vista normativo, questa fase intermedia è estremamente pericolosa, poiché il garante privacy o altre autorità potrebbero contestare la mancanza di un adeguato monitoraggio dei sistemi aziendali;
  • l’azione sulle società target, che avviene quando l’attacco ransomware viene sferrato. Gli effetti completi dell’attacco potrebbero richiedere settimane e non c’è alcuna garanzia che la crittografia sia stata eseguita correttamente, il che significa che non c’è alcuna garanzia che pagando il riscatto, il c.d. ransom, i dati vengano decifrati;
  • ricatto/ransom, che consiste in tre componenti principali: 1) la comunicazione alla vittima di ciò che si è verificato, che ora si è evoluta in un avviso su fonti pubbliche come il sito web del threat actor, con conseguenti danni considerevoli, anche reputazionali, per l’azienda; 2) la minaccia della perdita o del danno che potrebbe verificarsi se la richiesta non viene soddisfatta, che si è evoluta in una pubblicazione parziale/intera sul dark web, nella vendita dei dati al miglior offerente e nell’esecuzione di un DDoS contro la vittima, e 3) la richiesta di pagamento del riscatto o di esecuzione di alcune azioni. Se gli hacker, i c.d. threat actors, decriptano i dati dopo il pagamento, la loro reputazione aumenta, rendendo più probabile il pagamento da parte delle vittime future;
  • la negoziazione del riscatto che, in base alla nostra esperienza, richiede normalmente l’intervento di un intermediario e l’esecuzione di lunghe trattative volte, da un lato, ad abbassare il prezzo e, dall’altro, a guadagnare un po’ di tempo per consentire all’azienda di rafforzare le proprie difese per rendere improbabile un secondo attacco. Siamo d’accordo con l’ENISA che il pagamento di un riscatto non è raccomandato nella maggior parte dei casi, poiché non c’è certezza di decrittazione e l’effettiva cancellazione dei dati non può mai essere certa. Tuttavia, in alcune circostanze, potrebbe essere inevitabile se l’organizzazione non ha altri mezzi per riavere accesso ai dati poiché, ad esempio, anche le copie di backup dei dati sono state criptate. In tal caso dovrà essere valutato se il pagamento del ransom è conforme alla normativa locale che può dipendere dalla giurisdizione e/o dal fatto che i cybercriminali siano inseriti in determinate liste da parte del governo americano per esempio.

Un modello di business di attacco ransomware che sta diventando esponenzialmente popolare è il c.d. Ransomware-as-a-Service (RaaS), in cui i gruppi di threat actor offrono la loro piattaforma software ad affiliati esterni per condurre attacchi. Questo tipo di modello di business consente agli operatori RaaS di avere più flussi di guadagno. Allo stesso tempo, il RaaS ha abbassato la barriera di ingresso alla conduzione di cyberattacchi ransomware, in quanto gli hacker ora non hanno bisogno di sapere come scrivere il proprio ransomware.

Dati ENISA sugli attacchi ransomware

Utili spunti di riflessione provengono dai dati riportati dall’ENISA sugli attacchi ransomware, da cui risulta che in

  • il 46,2% degli incidenti totali ha portato a fughe di dati, il che significa che nella metà dei casi un attacco ransomware porta all’esfiltrazione di dati poi pubblicati sul dark web;
  • il 47,83% dei casi di dati rubati è trapelato, il che indica un rischio considerevolmente elevato che la fuga di dati porti alla loro pubblicazione completa o (più frequentemente) parziale; e
  • il 58,2% di tutti i dati rubati conteneva dati personali GDPR, con il 33% dei dati rubati che includevano dati personali dei dipendenti e il 18,3% dati personali dei clienti. In base alla mia esperienza, questi dati devono essere letti nel senso che, in generale, le organizzazioni proteggono meglio i dati dei loro clienti (ad esempio, attraverso il loro CRM) rispetto a quelli dei loro dipendenti, anche a causa dei potenziali danni alla reputazione.

Raccomandazioni su come affrontare un attacco ransomware

L’ENISA fornisce diverse raccomandazioni sulle misure di sicurezza da attuare per ridurre il rischio di un cyberattacco ransomware, tra cui la necessità di disporre di backup adeguati, di condurre regolari valutazioni del rischio e di adottare protocolli per la gestione degli attacchi.

Allo stesso modo, se un’azienda è vittima di un attacco ransomware, si raccomanda che l’organizzazione contatti le autorità nazionali per la sicurezza informatica, non paghi il riscatto, metta in quarantena i sistemi colpiti e blocchi l’accesso ai sistemi di backup fino alla rimozione dell’infezione.

L’esecuzione degli adempimenti regolatori è alquanto complesso quando ci sono molteplici giurisdizioni coinvolte. Un suggerimento è di utilizzare inizialmente DLA Piper Global Data Pritection Laws of the World per verificare in quali giurisdizioni una notifica potrebbe essere necessaria e poi investigare con i consulenti locali per verificare quali sono le condizioni e le modalità per eseguire le notifiche. Ci sono ad esempio gli Stati Uniti in cui le condizioni e le modalità per eseguire le notifiche sono diverse da Stato a Stato e allo stesso tempo in caso di comunicazione agli interessati il rischi di class action in uno Stato come la California è decisamente elevato. Per gestire queste situazioni abbiamo creato a DLA Piper una task force e un processo per assistere al meglio i clienti in questa tipologia di cyber-attacchi.

Inoltre, le misure indicate dall’ENISA sono utili, ma non tengono conto di quanto segue

  • la maggior parte degli attacchi ransomware sono il risultato di errori umani e quindi, se l’organizzazione non è in grado di creare una cultura interna dei rischi informatici, sarà sempre esposta;
  • indipendentemente dalle misure tecniche implementate, non è mai possibile escludere totalmente il rischio di un attacco informatico. L’azienda deve implementare le misure per minimizzare il rischio, ma deve anche, parallelamente, raccogliere le prove di aver implementato le misure appropriate. Tale requisito è espressamente previsto dal principio di accountability previsto dal GDPR, ma gli obblighi normativi si stanno espandendo oltre le norme sulla privacy e si applicano anche ai dati non personali. La conformità alla cybersecurity è spesso considerata un compito relegato al reparto tecnico, ma richiede la collaborazione con il reparto legale dell’azienda.

L’organizzazione deve essere addestrata a reagire a un attacco ransomware, poiché le procedure sono spesso valide sulla carta ma non sono mai state testate, il che impedisce di individuare potenziali punti deboli e di garantire l’efficienza del piano.

Su un argomento simile, potreste trovare interessante l’articolo “Come gestire un data breach a seguito di un cyber-attacco ransomware?“.