Didascalia
Nell'ambito della normativa NIS, ogni Paese dell'Unione deve individuare una o più strutture con la funzione di CSIRT - Computer Security Incident Response Team. In Italia lo CSIRT opera all'interno dell'ACN - Agenzia per la Cybersicurezza Nazionale.
Lo CSIRT svolge attività di prevenzione e diffusione della cultura della cybersicurezza nonché di notifica degli incidenti secondo il meccanismo previsto dalla Normativa NIS e non è un organo di risposta agli incidenti delle PA e dei privati.
Tra i suoi compiti principali troviamo la diffusione di alert e bollettini, avvisi settimanali sullo stato delle minacce e report periodici sulla principali modalità di difesa dagli attacchi e sulle best practices in ambito sicurezza. In questo ambito è stato pubblicato il "Ransomware: Caratteristiche, preparazione e risposta agli attacchi ransomware", una delle principali modalità di attacco da parte dei gruppi organizzati.
Il documento presenta in modo semplice ed efficace le principali strategie di attacco e le tecniche utilizzate dagli hacker per forzare i sistemi ed arrivare alla cifratura completa dei dati e/o dei sistemi. Analizzando i dati del periodo gennaio 2022 - novembre 2024, possiamo evidenziare come la PA (dati aggregati sia PA Centrali che Locali) sia stata un particolare target delle organizzazioni criminali, anche se non il target di punta (22% del totale).
Tuttavia ricordiamo come questi attacchi sono stati indirizzati soprattutto verso Amministrazioni Locali (aziende sanitarie in primis) e gli impatti sui cittadini sono molto alti.
E' quindi importante considerare la minaccia ransomware come una delle principali per impatto e considerare nei piani di risposta agli incidenti e nei piani di continuità operativa le opportune strategie di difesa.
Al fine di conoscere i meccanismi di questa tipologia di attacchi il Report illustra la cosiddetta "kill chain" ovvero le fasi di un attacco ransomware con le principali attività, come riportate nella figura seguente.
Utilizzando vettori di attacca classici, come il phishing, vulnerabilità presenti sui sistemi e non gestite o l'utilizzo di credenziali compromesse, l'attaccante accede ai sistemi del target.
Questa fase è finalizzata all'ottenimento, mediante varie tecniche, di privilegi di sistema e l'istaurazione di specifici canali di comando e controllo sui sistemi, che risultino persistenti anche in casi di reset dei sistemi.
Questa attività è finalizzata a minimizzare la propria rilevabilità sui sistemi durante l'attacco, mediante la disabilitazione dei sistemi di logging e l’eliminazione dei log presenti, l’elusione dei controlli anti-malware nonché la disattivazione degli strumenti di sicurezza e l’offuscamento del codice malevolo. Spesso l'elusione dei sistemi di difesa avviene utilizzando anche processi legittimi e simulando pattern di traffico considerati normali.
L’esfiltrazione dei dati può essere mirata o indiscriminata: l'esfiltrazione mirata prevede una selezione strategica dei dati basata su parametri specifici, quali parole chiave di interesse, criteri tassonomici o attributi tecnici come dimensione e metadata temporali; l'approccio indiscriminato, per contro, si caratterizza per l'acquisizione massiva di dati in assenza di criteri selettivi. Ai fini dell’esfiltrazione, gli attaccanti ricorrono frequentemente a strumenti legittimi che non procurano allarmi sui sistemi.
La cifratura dei dati consente di comprometterne la disponibilità dei dati sui sistemi target. Questa tecnica è la più facilmente associabile ad un attacco ransomware, anche se, recentemente, gli attaccanti spesso si limitano alla loro esfiltrazione o corruzione.
Oltre all'impiego della crittografia, spesso vengono utilizzate ulteriori tecniche finalizzate ad amplificare l'efficacia dell'attacco (impact) sul sistema target, compromettendone l'integrità operativa o impedendone il funzionamento. Queste metodologie includono l'esecuzione di attacchi DDoS e strategie di alterazione (data curruption) o eliminazione dei dati.
Una volta eseguite le azioni sugli obiettivi designati, l’attaccante tipicamente notifica alla vittima l'avvenuta compromissione del sistema, finalizzata alla richiesta di un riscatto.
Le principali raccomandazioni e contromisure sono essenzialmente tre, illustrate nella figura seguente.
In realtà queste sono raccomandazioni generali, valide per tutte le tipologie di attacco.
Tuttavia, è fondamentale conoscere le minacce per poterle affrontare, e sicuramente la lettura attenta del Report può aiutare non solo i tecnici, ma soprattutto i responsabili dei sistemi informativi a comprendere la natura di questa specifica e altamente impattante minaccia.
