Cryptolocker, la lezione da imparare per la sicurezza nelle piccole aziende e PA
Cryptolocker non utilizza nuove tecniche o attacchi sofisticati, anzi: in pratica, la cosa principale che fa è chiedere all’utente di essere eseguito. Non è stato neanche uno dei malware più diffusi: si stima che siano stati infettati circa 500.000 sistemi, da cui gli autori avrebbero ottenuto circa 30 milioni di dollari
17 Maggio 2016
Claudio Telmon, Clusit
Fino ad un paio di anni fa, discutere di sicurezza informatica con i dirigenti di un’azienda medio-piccola era un’impresa improba: anche quando il responsabile dei sistemi informativi aveva una certa attenzione al tema, la dirigenza dell’azienda riteneva per la maggior parte di non doversi preoccupare, perché non c’era evidenza di un rischio concreto. Ma da due anni a questa parte, la situazione è cambiata radicalmente, e la ragione è naturalmente Cryptolocker. Ormai non solo tutti ne hanno sentito parlare, ma non c’è azienda che non sia stata colpita, spesso più di una volta, da Cryptolocker o da un altro ransomware. Ci possiamo chiedere allora cos’abbiano di particolare Cryptolocker, e il ransomware in generale, per avere tanto successo. La risposta è: niente. Cryptolocker non utilizza nuove tecniche o attacchi sofisticati, anzi: in pratica, la cosa principale che fa è chiedere all’utente di essere eseguito. E in effetti, non è stato neanche uno dei malware più diffusi. Se consideriamo l’originale Cryptolocker (che è stato seguito ormai da un’infinità di emuli), si stima che siano stati infettati circa 500.000 sistemi, da cui gli autori avrebbero ottenuto circa 30 milioni di dollari. Certo i danni sono stati maggiori, ma ad esempio si stima che il malware ILoveYou abbia infettato circa 50 milioni di sistemi, causando danni fra i 5 e i 15 miliardi di dollari , e stiamo parlando dell’Internet di quindici anni fa.
Il fatto è che Cryptolocker, come primo ransomware di successo, ha cambiato le regole. I primi malware facevano cose generalmente molto coreografiche, secondo il gusto del loro creatore: che fosse far cadere le lettere dallo schermo o formattare l’hard disk, avevano effetti abbastanza evidenti. Ma da molti anni ormai, il malware è diffuso da organizzazioni criminali che hanno come principale obiettivo il guadagno. Ma per guadagnare, che sia inserendo il computer in una botnet, o rubando credenziali o proprietà intellettuali, per il malware è un vantaggio farsi notare il meno possibile. Così, per molti anni il malware si è tenuto il più nascosto possibile, migliorando la propria capacità di sfuggire agli antivirus e convincendo molte aziende di non esserne infette. E le aziende non hanno purtroppo l’abitudine di misurare e attribuire al malware il costo delle ore di lavoro perse per l’inusabilità dei pc infetti, o il tempo speso per correzioni e reinstallazioni.
Ma il ransomware, per guadagnare, deve cifrare i file e farsi riconoscere chiedendo il riscatto. Così ha cambiato due cose fondamentali. Infatti, ha smesso di restare nascosto (almeno dopo aver cifrato i file), e poi ha tolto un’altra certezza alle aziende. Molte infatti ritenevano di non essere bersagli interessanti perché i loro dati “non interessano a nessuno”. Ma con il ransomware, se i dati hanno valore per l’azienda, hanno valore anche per l’attaccante: nessuna azienda può più pensare di non essere un bersaglio.
Molte aziende hanno così scoperto nel modo peggiore l’importanza di avere dei buoni backup e un controllo sull’accesso ai file da parte dei propri utenti. E in effetti, si tratta dei due meccanismi di sicurezza più fondamentali per proteggersi dal ransomware. Ma è tutto qui?
Un primo punto di attenzione è messo bene in evidenza il caso di un’azienda che ha deciso di cercare un antivirus che riuscisse a proteggerla meglio di quello che già utilizzava. Antivirus diversi sono più o meno efficaci a seconda del periodo e del malware, e così quell’azienda ha scoperto di avere in casa, probabilmente da molto tempo, un malware che l’antivirus precedente non rilevava, e che è specializzato in file AutoCAD: li copia, li spezzetta e li spedisce via mail ad un indirizzo dell’attaccante. Naturalmente i file AutoCAD contengono spesso informazioni di grande valore per un’azienda, informazioni che, se inviate ai soggetti sbagliati, possono causare un danno anche maggiore di un ransomware, ma molto più difficile da riconoscere, quantificare e soprattutto associare ad un attacco al proprio sistema informativo. Il passaggio di consapevolezza che molte aziende devono ancora fare è proprio questo: come entra facilmente Cryptolocker, così sono entrati facilmente per anni altri malware, e continuano ad entrare. Malware dei quali nessuno si accorge solo perché non hanno interesse a farsi notare. In effetti, proteggersi dal ransomware vuole dire affrontare solo uno dei tanti problemi, perché le informazioni hanno valore, e il loro furto, a differenza del furto di oggetti materiali, non lascia tracce. La sicurezza richiede un approccio, come si suol dire, olistico, che affronti tutti gli aspetti in modo integrato: singoli meccanismi, siano pure importanti come i backup, chiudono una porta lasciando aperte molte finestre.
Il secondo effetto interessante del ransomware riguarda l’attenzione alla formazione, alla sensibilizzazione degli utenti ed ai regolamenti d’uso del sistema informativo. Finora, l’attenzione alla sensibilizzazione degli utenti, al di là delle parole, è sempre stata molto bassa. In effetti, possiamo dire che spesso è stata considerata inutile da parte dei responsabili dei sistemi informativi (considerando gli utenti incapaci di un comportamento attento) e, da parte della dirigenza, soldi sprecati. Cryptolocker invece ha messo in evidenza che le soluzioni tecnologiche non sono in grado di sopperire ad un comportamento poco accorto da parte degli utenti. In fondo, gli utenti sono quelli che legittimamente accedono alle informazioni, e se loro non ne curano la sicurezza, non è difficile per un malware ottenere lo stesso accesso.
Questa è in realtà la principale lezione che si può imparare da Cryptolocker: la sicurezza non è né un problema del responsabile del sistema informativo, né un suo compito esclusivo: è un problema dell’azienda (o della PA), alla cui gestione deve partecipare tutta l’azienda. E per quanto riguarda gli utenti, il rispetto consapevole del regolamento d’uso del sistema informativo è sicuramente l’aspetto più importante.