La notizia del takedown di Emotet ha fatto il giro del mondo all'inizio di quest'anno. Ma invece del sollievo, ora si sta diffondendo la preoccupazione che il malware segni solo l'inizio di una nuova serie di attacchi conosciuti come Ransomware as a Service (RaaS).
Emotet ha infettato numerose reti di privati, aziende, autorità e istituzioni dalla sua prima apparizione nel 2014. Solo in Germania, per esempio, sono stati colpiti l'ospedale di Fürstenfeld, in Baviera, la Corte d'appello di Berlino, l'Università di Gießen e la città di Francoforte sul Meno. In linea di principio, possiamo supporre che il numero di casi non segnalati di organizzazioni che cadono vittime di un attacco informatico - sia da Emotet che da altri malware - è molto più alto di quanto suggeriscano le statistiche pubblicate. Per paura di danni alla reputazione, molte aziende sono riluttanti a segnalare un attacco.
Le aziende devono ora prepararsi all'era RaaS?
Secondo gli esperti di sicurezza come l'Ufficio federale di polizia criminale, Emotet è stato il malware più pericoloso registrato in tutto il mondo fino ad oggi. Questo è dovuto da un lato al fatto che Emotet è stato in grado di operare segretamente per un lungo periodo di tempo con l'aiuto di sofisticate tecniche di evasione, e dall'altro - ed è qui che diventa particolarmente precario - al fatto che gli accessi aziendali dirottati sono stati venduti a terzi sulla Darknet come Ransomware as a Service. Il metodo del crimine informatico è anche chiamato malware-as-a-service o cybercrime-as-a-service. Ma anche a prescindere dalla terminologia, Emotet rappresenta la nascita di un nuovo modello di servizio che le aziende dovrebbero armarsi per difendersi. RaaS agisce come una sorta di gateway per i sistemi informatici e può essere acquistato da chiunque sia disposto a pagare il prezzo richiesto. Così, anche i criminali "dilettanti" senza una conoscenza approfondita della programmazione hanno la possibilità di iniziare campagne di ricatto. Per quelli che ci sono dietro, questo business non è solo lucrativo, ma allo stesso tempo corrono un rischio minore perché il ricatto stesso proviene da altri criminali.
I servizi informatici conquistano la darknet
La darknet è una sorta di selvaggio west non regolamentato di internet e un mercato per lo scambio di beni e servizi illegali. Con l'aiuto delle tecnologie di anonimizzazione e delle valute digitali, il commercio può essere condotto qui su scala globale e le autorità di polizia possono spesso seguire questa attività solo in misura limitata. Anche il commercio di RaaS non sembra essere finito con lo smantellamento di Emotet. Al contrario: gli specialisti IT hanno già identificato i primi modelli di riciclaggio dell'infrastruttura Emotet. Per esempio, il malware DarkSide e TrickBot sono già apparsi sul radar. Come Emotet, entrambe le minacce funzionano secondo il principio RaaS. In questi casi, le persone dietro le minacce non solo criptano i file dei sistemi infetti, ma minacciano anche le vittime di rivelare segreti aziendali se non pagano. Questa forma di ricatto non è fondamentalmente un fenomeno nuovo, ma gli esperti temono che tali casi si verificheranno più frequentemente in futuro - non da ultimo a causa delle nuove possibilità offerte da RaaS.
Le minacce à la Emotet, DarkSide o TrickBot possono al massimo essere fermate con finezza e pazienza, ma come con qualsiasi altro sviluppo tecnologico, gli attori ostili costruiscono sulla base di codici e metodi già esistenti. Questo significa che in futuro continueranno ad esserci nuovi metodi di attacco che si presentano in forme sempre più professionali. I ransomware diventeranno anche più complessi e più difficili da rilevare.
Ransomware: una minaccia crescente per le aziende di tutte le dimensioni
Le aziende non dovrebbero sottovalutare il rischio di cadere un giorno vittima di un attacco ransomware del calibro di Emotet stesso. Secondo uno studio del fornitore di sicurezza Sophos, il 47% e quindi quasi la metà delle piccole aziende intervistate (100-1000 dipendenti) sono state colpite da un incidente ransomware l'anno scorso. Per le aziende più grandi (1001-5000 dipendenti), era anche leggermente più della metà, al 54%. Un terzo delle aziende colpite ha avuto bisogno di circa una settimana o più per ripristinare i loro dati dirottati. I costi associati a una tale interruzione dell'attività possono essere immensi.
Cosa possono fare le aziende per proteggersi?
Per prevenire gli attacchi ransomware, ci sono una varietà di modi che i professionisti IT aziendali dovrebbero prendere a cuore, tra cui
- il backup dei dati critici con un backup sicuro nel cloud o con una soluzione offline,
- migliorare la formazione sulla cybersicurezza dei dipendenti,
- aggiornare regolarmente i sistemi operativi e le applicazioni,
- installare le ultime patch di sicurezza e
- usare protocolli criptati come SSL dove possibile.
Inoltre, le aziende dovrebbero essere preparate al fatto che un attacco informatico può avvenire in qualsiasi giorno e in qualsiasi momento. Di conseguenza, ha senso integrare il team di sicurezza interna con Managed Detection and Response (MDR). Con MDR, la rete aziendale è monitorata 24 ore su 24 da esperti esterni che possono immediatamente identificare e limitare i possibili danni. Un tale sistema di allarme precoce, attivo 24 ore su 24, è importante anche dal punto di vista che le criptazioni e i blocchi del sistema sono estremamente difficili da annullare una volta che sono stati attivati.
Dobbiamo supporre che nuove minacce continueranno ad aspettarci in futuro, soprattutto perché modelli come RaaS sono in circolazione. Perché i professionisti tra i criminali informatici sono ora affiancati da piccoli criminali digitali nella scena delle estorsioni. L'automazione e l'apprendimento automatico stanno anche creando costantemente nuove e migliori varianti di metodi di attacco come il phishing o il social engineering. Di conseguenza, è imperativo che le aziende assicurino sistemi e processi di sicurezza efficaci, e uno sguardo alle moderne soluzioni di sicurezza come MDR è indispensabile.
A proposito dell'autore: Moritz Mann è Chief Strategy Officer di Open Systems. Ha studiato all'Università statale cooperativa del Baden-Wuerttemberg (DHBW) e a Londra e si è laureato in informatica aziendale e amministrazione aziendale.