Cybersecurity, aumentano gli attacchi alla PA: cos’è il ransomware as a service

I dati dicono che gli attacchi informatici sono in aumento – anche a causa del contesto geopolitico internazionale da nuova guerra fredda – e comportano rischi sempre maggiori in termini sia economici che di perdita di dati. Di pari passo con la digitalizzazione delle PA, in Italia come negli altri grandi Paesi occidentali, Ministeri, Enti e alle Istituzioni pubbliche rischiano di essere sempre più esposte agli attacchi di hacker e cybercriminali. L’ultimo attacco noto, in ordine di tempo, è stato quello ai data center di Westpole, gigante informatico europeo, fornitore di servizi cloud. Tra i clienti anche PA Digitale, che serve 1300 PA, 540 tra Comuni e istituzioni, tra cui Ministero dell’Ambiente, Banca d’Italia e il Comando generale dei Carabinieri. L’attacco di Lockbit 3.0 parte alle 5.30 dell’8 dicembre 2023. L’intrusione ransomware colpisce l’infrastruttura cloud della società e mette ko 1500 macchine. Circa 1.000 enti e uffici pubblici dopo il ponte dell’Immacolata hanno i servizi bloccati per giorni.

Gli attacchi informatici in Italia: i dati

Nel 2023 l’Italia è risultata il terzo Paese dell’Unione europea più colpito da virus o ransomware, mentre a livello globale è stato il sesto Paese più colpito. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha trattato attraverso il suo braccio tecnico-operativo, il CSIRT Italia, ben 1.411 eventi cyber, per una media di circa 117 al mese, con un picco di 169 a ottobre. Di questi, 303 sono stati classificati come incidenti con impatto confermato, per una media di circa 25 al mese. I numeri dell’Agenzia dicono che poteva andare ancora peggio: 3.624 sono stati i dispositivi e servizi a rischio, 584 tentativi di phishing segnalati alle vittime. L’ACN ha monitorato l’evoluzione della minaccia, caratterizzata sempre più da eventi di tipo ransomware e DDoS, indirizzata a diverse realtà pubbliche e private attive nei settori più disparati, tra cui telecomunicazioni, trasporti e servizi finanziari (fonte ACN). Prospettive tutt’altro che rosee anche a livello mondiale: il danno economico del cybercrime cresce del 15% all’anno e per il 2025 si stima un impatto da 10,5 trilioni di dollari.

Gli attacchi informatici alle PA nel 2023

Nel corso del 2023, l’ACN ha gestito 422 eventi cyber ai danni di istituzioni pubbliche nazionali, (erano stati 160 del 2022), 85 sono stati classificati come incidenti (nel 2022 furono 57), procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell’erogazione dei servizi. Un incidente a settimana in media, tra sfruttamento delle vulnerabilità, phishing e DDoS (Distributed Denial of Service), quest’ultima la minaccia più frequente nei confronti delle istituzioni pubbliche. Si tratta di un tipo di attacco proveniente da un gran numero di dispositivi verso un singolo target, che mira a compromettere un sistema mediante esaurimento delle sue risorse di rete, di elaborazione o memoria. Il risultato è ancora il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti dei servizi. Il fenomeno è in aumento anche nel 2024: il monitoraggio delle rivendicazioni DDoS nel mese di maggio 2024 mostra che l’Italia è stata il quarto paese al mondo e il primo in UE. I gruppi più attivi sono stati NoName057 e CyberArmyofRussia (fonte ACN).

Veeam Ransomware Trends Report 2024

Il ransomware rimane comunque una minaccia attiva, di regola il 41% dei dati viene compromesso. A dirlo il Veeam Ransomware Trends Report 2024, cheattinge a ben 1.200 risposte di dirigenti e professionisti di aziende che hanno subito almeno un attacco nei 12 mesi precedenti. La ricerca commissionata da Veeam – società leader nella resilienza informatica, con sedi italiane a Roma e Milano – rivela che poi solo il 57% dei dati compromessi viene recuperato, con un impatto per 3 aziende su 4, non solo in termini di dati ma anche sul business stesso. Gli attacchi informatici si ripercuotono sulla stabilità finanziaria di un’organizzazione, ma altrettanto significativo sono i costi umani su team e dipendenti: il 45% degli intervistati ha segnalato un aumento del carico di lavoro, il 40% ha riferito di un aumento dei livelli di stress, il 45% un aumento della pressione sui team IT e di sicurezza. Inoltre, il 26% ha riportato una perdita di produttività e il 25% ha riscontrato interruzioni dei servizi interni o legati ai clienti. Per il terzo anno consecutivo, infine, la grande maggioranza (81%) delle aziende intervistate ha pagato il riscatto per porre fine a un attacco e recuperare i dati, ma una su tre non è riuscita a recuperare i dati. Numeri che sottolineano inconfutabilmente l’importanza di strategie di difesa informatica efficaci.

Cosa sono i ransomware

Dietro a un nome sentito forse di sfuggita dai media, si nasconde la minaccia informatica più attiva negli ultimi anni. Il ransomware è un malware in cui l’attaccante cripta i dati di un’organizzazione al fine di ottenere il pagamento di un riscatto. Può causare seri danni alle organizzazioni in termini di perdita dei dati, di interruzione delle attività, di esposizione di informazioni riservate, ma anche per l’impatto economico, organizzativo e reputazionale. Nel monitoraggio annuale ACN sono stati identificati 56 attori ransomware e 265 hacker attivi. Tra i threat actor più intercettati nel 2023, sono stati identificati 20 diversi gruppi, tra cui molto attivi LockBit 3.0, LockBit e NoEscape. L’Agenzia ha osservato 165 eventi ransomware diretti verso privati e PA (+27% sul 2022). Il 16% degli attacchi verso le PA rispetto all’84% verso i privati (il 23% grandi aziende) non rende affatto l’idea dei rischi per il sistema e le ricadute potenzialmente devastanti a livello di pubblici servizi, considerando anche gli stretti rapporti di fornitura di servizi informatici tra pubblico e privato. Quanto alla distribuzione geografica, invece, le zone più interessate sono le aree metropolitane di Roma, centro della PA centrale, e Milano, distretto finanziario-imprenditoriale, oltre ai distretti industriali e manufatturieri del Nord-Ovest e Nord-Est (fonte ACN).

Ransomware as a service come modello di business criminale

Il RaaS (Ransomware-as-a-Service, in italiano “ransomware in affitto”) è un modello di business del crimine informatico in base al quale gli sviluppatori di ransomware vendono il proprio malware ad altri hacker. Da un rapporto del 2022 di Zscaler per Ibm è emerso che 8 delle 11 varianti di ransomware più attive erano varianti del RaaS. Uno schema che consente di abbassare il livello di conoscenze necessarie per darsi al crimine informatico e di effettuare attacchi anche ad attori con competenze tecniche limitate: gli hacker traggono profitto dall’estorsione evitando di sviluppare malware, mentre gli sviluppatori aumentano i profitti senza dover attaccare manualmente le reti. Tra i gruppi criminali Raas, Lockbit sviluppa e mantiene la funzionalità di una particolare variante di ransomware, vende l’accesso a quella variante a individui o gruppi di operatori “affiliati” e sostiene la distribuzione del proprio ransomware in cambio di un pagamento anticipato, di quote di abbonamento o di una parte dei profitti. Secondo l’agenzia americana per la cybersecurity, di fatto Lockbit agisce come una vera azienda che fornisce un servizio. (fonte Cybersecurity360).

Buone pratiche di cybersecurity

Diverse sono le policy che possono aiutare a combattere e prevenire efficacemente il cybercrime. In primis tutti i sistemi di IT, pubblici o privati, devono essere protetti da un firewall e da antivirus professionali completi, in grado di rilevare e disattivare la maggior parte dei programmi dannosi e dei malware. In seconda istanza, le organizzazioni devono stabilire linee guida rigorose e formare il personale, assicurandosi che chiunque acceda ai sistemi aziendali conosca le moderne minacce informatiche. Altri accorgimenti, evitare password deboli, cambiarle spesso, rifiutare allegati da indirizzi mail sconosciuti e proibire l’accesso ai social media sul luogo del lavoro.

È consigliato poi l’utilizzo di un sistema di sicurezza di tipo NAC, grazie al quale è possibile analizzare e classificare la conformità dei dispositivi, identificarli sempre tramite credenziali o ID, associare a queste le policy dei servizi e di accesso alle reti wired, Wifi o VPN Client (fonte Connect). Salendo ancora di livello, fondamentale è avere un backup plan e procedure strutturate di reazione alle emergenze, facendo frequenti verifiche di integrità ed eseguendo esercitazioni (Recovery Drill). Su questo punto dal Veeam Report 2024 emerge infatti che i team informatici e di backup troppo spesso sono poco allineati. Decisivo è poi saper garantire il recupero dei dati, utilizzando ad esempio dischi hardened on-premises e utilizzando cloud-storage con funzionalità di immutabilità.

Tra i nuovi più evoluti e strumenti, spiccano le tecnologie di Machine learning, Blockchain e altre in cui entra in campo l’Intelligenza artificiale. L’AI sta permettendo di creare una sicurezza più avanzata e ottimizzata, ma allo stesso tempo sta anche facilitando la crescita del volume e della complessità degli attacchi. La ricerca corre, e proprio aziende all’avanguardia sulla resilienza dei dati come Veeam testimoniano l’altissimo livello di know-how raggiunto dalla lotta al cybercrime. Ma la sfida sia per le PA che per le aziende che non vorranno rincorrere criminali più veloci di loro, sarà quella di investire costantemente sulla specializzazione e su tecnologie di ultimissima generazione.