Immagine di copertina da Verizon - 2021 Data Breach Investigations Report (DBIR), pagina 15.Happy Blog di REvil torna online dopo lo shutdown di luglio: “un sito web in cui gli operatori di REvil elencavano tipicamente le vittime che si rifiutavano di negoziare o pagare riscatti, è tornato online sul dark web, secondo i ricercatori di sicurezza di Recorded Future ed Emsisoft” – TheRecord., 7 settembre. Il ransomware Vice Society espone dati personali e password della società Butali, brand Euronics, “I membri di Euronics sono tutti rivenditori indipendenti. Conta 11.500 negozi in 30 nazioni” – Redhotcyber, 9 settembre. Sono stati divulguate oltre 500.000 credenziali di accesso VPN Fortinet “utilizzate da numerose organizzazioni pubbliche e private in 74 paesi di tutto il mondo: in tutto, sarebbero 22.500 le aziende esposte a questo grave data leak, di cui 40 in Italia” – CyberSecurity 360, 9 settembre. Le attività ransomware evidenziano la fragilità di infrastrutture impreparate al salto richiesto dal Covid?
“La tecnologia è stata un’alleata preziosissima durante la pandemia, lo è ancora perché non ne siamo usciti. Ovviamente a margine di tutto questo c’è anche il rovescio della medaglia. Il crimine cyber è cresciuto e direi che non è solo cresciuto, è letteralmente esploso” – spiegava Nunzia Ciardi, Direttore della Polizia Postale, in un video pubblicato il 10 dicembre 2020 – “Noi abbiamo percentuali di aumento degli attacchi informatici di oltre il 350 percento, quindi numeri schiaccianti. Abbiamo i casi trattati per quanto riguarda i minori, quindi pedopornografia e reati di aggressioni online, che sono aumentati di oltre il 70 percento. Il 420 percento i reati finanziari. Parliamo di numeri che da soli rendono già l’idea di un sistema criminale che si è rafforzato in modo significativo“. In che modo il cybercrime si sia rafforzato e come sia trasversale a più settori dell’economia digitale, con ricadute concrete sulla vita sociale che vanno oltre la sicurezza delle infrastrutture essenziali, è una questione che impegna i paesi tecnologicamente più avanzati a tutti i livelli: enti, istituti di ricerca, agenzie, aziende, analisti e freelance, documentano scenari soggetti a forti pressioni.
Q&R – Le attività ransomware sono eventi criminali favoriti dallo stato delle infrastrutture di rete, da una cultura digitale impreparata al salto tecnologico causato dalla pandemia e dalla privacy garantita dagli scambi in cryptovaluta?
1. Le infrastrutture di rete sono in grado di sostenere il significativo aumento di carico dovuto all’uso intensivo di strumenti informatici? L’evoluzione degli indirizzi IP da IPv4 a IPv6 nasceva per servire un traffico di rete già previsto in incremento esponenziale. Ugualmente l’impegno finanziario e di risorse in cyberwarfare, in Italia definito da Leonardo, nasceva da una considerazione statistica: ad un incremento d’uso delle tecnologie di rete corrisponde un incremento di attacchi alle infrastrutture di rete. Il salto evolutivo previsto non poteva tenere conto di un evento eccezionale, com’è la pandemia, che ha trasformato la rete in un bene rifugio ugualmente eccezionale per la convergenza degli interessi che attira coinvolgendo quasi tutti i settori della società. L’impatto della pandemia sull’uso della rete ha rivelato falle, zero day, debolezze strutturali nei perimetri di cybersicurezza nazionale, che in condizioni normali sarebbero stati ugualmente identificati e corretti ma senza corse contro il tempo che riguardano anche le big tech. Un esempio nei report di sicurezza di Microsoft sulle frontiere del phishing o sull’exploit Windows 10 / Office.
2. Manca cultura digitale? L’ingegneria sociale applicata all’email phishing spesso ha come obiettivo la collezione di credenziali utili per potenziali accessi alla rete utilizzata dal bersaglio dell’azione. L’attacco subito dalla Regione Lazio è certo un attacco ransomware ma non è solo un attacco ransomware. Alberto Pellicione, ReaQta, intervistato il 7 agosto da Matteo Flora: “Noi abbiamo lavorato con alcune vittime di questo attacco e che cosa abbiamo visto, che un service provider è stato attaccato e che da questo service provider poi gli attaccanti si sono mossi su una serie di potenziali vittime“. Gli attacchi ransomware coinvolgono più attori, tra i primi quelli “che hanno come obiettivo unico quello di acquisire un accesso iniziale, ovvero il primo accesso all’interno di un’infrastruttura“: una volta ottenuto l’accesso lo mettono in vendita “non necessariamente in maniera esclusiva. L’accesso rivenduto poi viene comprato da vari tipi di identità. Possono essere gruppi che fanno spionaggio o possono essere gruppi che fanno ransomware“. Una cultura digitale performata all’uso della tecnologia è un deterrente applicabile ad infrastrutture già fragili?
3. Le cryptovalute sono un incentivo agli attacchi ransomware? Le relazioni sulla necessità di un’Agenzia nazionale di cybersicurezza italiana sottolineavano che l’incremento degli attacchi ransomware non è scorrelabile dalla privacy garantita dalld cryptovalute, un fatto che ha costituito il maggiore deterrente al loro riconoscimento come monete ufficiali fino alla decisione di El Salvador. Il bitcoin non nasceva con l’intenzione di riconoscimento ufficiale, mancando di garanzia in copertura wallet, ma come garante di privacy e sicurezza con wallet spesso storati su dispositivi ma anche a pagamento in cloud dedicati. La tecnologia blockchain interessa speculazioni, portafogli paralleli ai tradizionali, offrendo caratteristiche proprie di un bene rifugio, ma è una tecnologia giovane e sperimentale nel tentativo di diversificare portafogli. Il caso PolyNetwork, la deficienza di Monero, sono indicatori di una non appettibilità delle virtuali a endorsement nazionali: i dispositivi che storano i wallet non sono sicuri e software come il Pegasus NSO dimostrano che gli storage cloud non sono sicuri quando un dispositivo è vulnerabile all’estrazione dati.
