Abstract

Le aziende di tutto il mondo continuano a dover affrontare ondate di estorsioni digitali sotto forma di ransomware mirati. L’estorsione digitale è ora classificata come la forma più importante di criminalità informatica e la minaccia più devastante e pervasiva per gli ambienti IT funzionanti.

Sono stati scritti molti documenti  – dal punto di vista tecnico – di come avviene un attacco Ransomware ma, per meglio comprendere le dinamiche di una gestione di una crisi post attacco, bisogna allontanarsi da questa tecnicità e concentrarsi sull’economia alla base delle estorsioni digitali unitamente alle strategie di negoziazione utilizzare avverso gli estensori digitali, utilizzando metodi empirici.

In questo breve articolo esploreremo tre aspetti:

  • spiegheremo in che modo gli avversari utilizzano i modelli economici per massimizzare i loro profitti
  • cosa ci dice questo sulla posizione della vittima durante la fase di negoziazione
  • quali strategie possono sfruttare le vittime di ransomware per minimizzare il danno a seguito di un attacco

Quando un attacco ransomware colpisce un’azienda, quest’ultima si trova nel mezzo di una situazione sconosciuta. Una cosa che lo rende più gestibile è avere quante più informazioni possibili. Il nostro obiettivo è fornire alle vittime suggerimenti pratici da utilizzare quando si trovano nel mezzo di una crisi.

Introduzione

La nostra esperienza ci permette di esprimere una situazione chiara: gli attacchi Ransomware avvengono, e capiteranno sempre più spesso. Se di questa affermazione si fa una certezza, allora vuol dire che vi è il bisogno  di cambiare il paradigma in cui attualmente ancora lavoriamo ed investiamo per difenderci. La realtà dei fatti è che in questo particolare momento storico, a seguito di diverse congiunzioni fra fatti cause e concause, tutti siamo altamente vulnerabili e la “falsa percezione di cybersecurity” va per la maggiore. Intendo dire che la reale capacità di protezione di alcune soluzioni è molto al di sopra della reale tecnicità del prodotto.

Sta di fatto che ognuno di noi potrà trovarsi da un momento all’altro nella spiacevole situazione di essere informato di un attacco ransomware in cui tutto il patrimonio informatico della azienda è compromesso e un imponente richiesta di denaro  si prospetta come l’unica via di uscita.

In quel preciso momento non bisogna perdere il controllo e fare solo una cosa: ASPETTARE

Dopo che l’operatore Ransowmare ha crittografato ed esfiltrato i dati, ed impostato una richiesta di riscatto iniziale, la vittima dovrà avviare una trattativa, ed entrambe le parti lotteranno per il raggiungimento di un accordo ottimale sull’importo finale.

Perché questa è la dura realtà della situazione, l’alta specializzazione degli operatori Ransomware As A Service, ha fatto si che tutti gli attacchi siano mirati ed altamente efficaci dove il risultato è la totale cifratura dei dati, la cancellazione delle copie dei dati e dei backup e l’esfiltrazione di informazioni sensibili dell’azienda.

Farsi alcune domande ci aiuteranno a capire come una unità di crisi lavora. Ad esempio: In che modo gli avversari fissano il prezzo della loro richiesta di riscatto? Quale potrebbe essere il prezzo finale che gli avversari accetterebbero? In che modo la differenza di informazioni reciproche influisce sul processo di negoziazione? Cosa ci dice questo sul pagare o non pagare il riscatto? Se le aziende finiscono per pagare, ci sono strategie che le aziende possono utilizzare per ridurre la richiesta di riscatto?

Ransomware Economics

Come è scritto in molti messaggi dei RaaS, un attacco ransomware non è altro che puro business. Non vi è nulla di “romantico” o “sentimentale” dietro. Si tratta di una pura estorsione di denaro con tecniche di tipo terroristico. Bisogna però capire i vari modelli economici alla quale i Raas si sottopongono perché anche per loro è un business e come tutti i business necessitano di investimenti per raggiungere dei profitti.

Come affermato dalla maggior parte dei criminali, gli attacchi ransomware non sono altro che affari. I gruppi di ransomware cercano di ottenere i profitti più alti possibili. Questa è la loro unica motivazione principale. In questa sezione, proviamo a modellare i fattori su come gli avversari prendono decisioni a scopo di lucro. Il modello è alquanto rudimentale, ma può essere utilizzato per spiegare i fattori chiave che influiscono sul processo decisionale degli avversari e delle loro vittime.

Il profitto globale non è influenzato solo dall’importo del riscatto che viene chiesto alla vittima. Dipende anche dal fatto se  la vittima decide di pagare e dai costi dell’operazione stessa. Invece di studiare un singolo guadagno di riscatto, dovrebbe essere preso in considerazione il profitto totale durante una serie di attacchi. Ad esempio un operatore RaaS specializzato in attacchi a grandi aziende spende molto per effettuare un attacco ma è altamente probabile che non abbia successo o che la compromissione sia tale che non verrà risolta con un pagamento del riscatto.

Differentemente un operatore RaaS specializzato in attacchi su aziende di piccole e medie dimensioni spende molto meno nell’effettuare un attacco ed ha una più alta probabilità di poter avere il massimo dei profitti. Ecco perché all’interno dell’unità di crisi vi deve essere una componente di intelligence: sapere contro chi stiamo combattendo è uno dei punti fondamentali per poter capire le migliori strategie di negoziazione.

Dobbiamo negoziare con i criminali?

Questo è un articolo di tipo tecnico quindi non è una risposta “legale”.

Sta di fatto che, nonostante i loro migliori sforzi, anche gli avversari che attaccano le aziende sono solo esseri umani e gli esseri umani commettono errori o possono essere influenzati nel prendere determinate decisioni. Perché quindi non prendere dei vantaggi e chiedere degli sconti utilizzando della strategia. Ecco perché nell’unità di crisi vi deve essere una componente formata e certificata come un negoziatore.

Cosa fare e cosa non fare. Analisi del rischio

Ecco alcuni consigli che vogliamo condividervi per fare i primi passi prima di farvi aiutare da esperti di unità di crisi.

  • partiamo dal presupposto che oggi chi gestisce unità di crisi è in grado di aiutarvi nel preparare il piano di crisi. Quando questa avverrà non è certo saperlo, ma è quasi sicuro che avverrà. Arrivarvi preparati è la miglior cosa, e far siche nei primi passi, non vengano fatti degli errori che causeranno danni irreparabili e costi immani
  • La prima cosa che qualsiasi azienda dovrebbe insegnare ai propri dipendenti, è di non aprire la richiesta di riscatto e fare clic sul collegamento al suo interno. Una delle tecniche che utilizza il RaaS è quella della pressione del tempo. Una volta che aprirete il link partirà un count down. Non fare questa azione, darà il tempo alla azienda di capire ed affrontare il problema nel migliore dei modi, quindi preparati.
    Fra queste informazioni necessarie sarà utile capire quali parti dell’infrastruttura sono state compromesse, che tipo di fermo produttivo verrà subito e quantificarne immediatamente il costo. Tutte queste informazioni faranno parte della strategia di gestione della crisi.
  • Prima di metterti in contatto con gli avversari è utile, grazie all’unità di ripristino, capire quanti dati sono recuperabili, a quale versione, e quanto è il tempo/costo che l’azienda dovrà affrontare per attualizzarli dal momento dell’attacco. Quantificare questo costo servirà all’unità di crisi per calcolare qual è la migliore soluzione per la tua azienda. Ad esempio può succedere che pagare il riscatto, abbia un costo inferiore rispetto al costo del ripristino di dati aventi una versione obsoleta, sommando inoltre il costo uomo per attualizzarli, fa si che lo rendano non un processo economico. Viceversa, quantificare il costo del ripristino, da una vecchia unità di dati fortunosamente non intaccata, Oltre al tempo necessario per riattualizzarli, produca un benefit  nettamente inferiore. Il costo servirà ai negoziatori per diminuire la quantità di riscatto per ridurre il tutto alla mera discussione della non pubblicazione dei dati e del successivo costo di immagine e correlati.
  • Un’altra cosa importante da prendere in considerazione, è creare linee di comunicazione interne ed esterne. Un attacco ransomware non è solo un problema informatico. Oltre al team di gestione della crisi è necessaria la presenza del consiglio di amministrazione, per rispondere a domande strategiche. Sarà obbligatorio un consulente legale che può aiutare a rispondere alle domande sulla possibile copertura assicurativa informatica, che  conosca  i regolamenti relativi a tutte le istituzioni che devono essere informate sulle violazioni dei dati (es. DPO). Inoltre, non bisogna dimenticare il dipartimento di comunicazione. É prassi da parte degli attaccanti rendere pubblica l’informazione dell’attacco proprio per creare maggior pressione alla vittima.  Rendersene conto in anticipo, e avere una strategia mediatica preparata, aiuterà a gestire al meglio la situazione e a mitigare i possibili danni, fornendone una stima di ciò che potresti pagare prima di aprire una conversazione con l’avversario.
  • Infine, bisogna informarsi sull’aggressore. Bisogna fare ricerca sulle loro capacità e credibilità; tutto questo fa parte della componente di intelligence dell’unità di crisi. Possono dirti di più sulle peculiarità dell’avversario con cui hai a che fare. Forse hanno un decryptor che non è disponibile online o conoscono un’altra azienda che potrebbe essere di aiuto. Possono anche dirti di più sull’affidabilità dell’avversario con cui hai a che fare. Inoltre, sapere se dovresti aspettarti un attacco DDOS, chiamate ai tuoi clienti o la fuga di informazioni alla stampa, saranno informazioni utili da incorporare nella tua strategia di gestione delle crisi.
  • Convincere l’avversario che non puoi pagare l’importo elevato del riscatto: questa è una delle strategie più efficaci. Convincere l’avversario che la tua posizione finanziaria non ti consente di pagare l’importo del riscatto inizialmente richiesto e che il danno finanziario sarebbe tale da non permettere più all’azienda di poter proseguire la sua attività fa si che l’aggressore diminuisca la sua quantità di riscatto.
  • Non dire a nessuno che hai una assicurazione che copre questi casi

Conclusione

La gestione di una unità di crisi non può essere improvvisata. E’ un’arte. Vi sono molteplici aspetti che in questo articolo non sono stati gestiti ma il mio miglior consiglio è prepararsi prima con un piano di gestione della crisi. Questo farà si che voi siate preparati nei primi passi e farete le cose giuste al fine di non creare danni irreparabili.

Seconda cosa, ma non  meno importante, non lasciate che l’unità di crisi venga gestita da aziende o persone che non hanno una comprovata lunga esperienza in questa attività. E’ altamente probabile che aggiungerete solo altri costi ad una spesagià certa.

Simone Fratus,

CyberSecurity Specialist di TAG Company

Share This