Il ransomware ha compiuto 35 anni. E’ quanto rimarca una recente analisi condotta da Cisco su questa tipologia di software malevolo che oggi è tra le minacce alla sicurezza informatica più diffuse. Si stima infatti che solo nel 2024, il ransomware abbia causato perdite globali per 1,1 miliardi di dollari, e che tra giugno 2023 e giugno 2024 abbia rappresentato il 44% di tutti i casi di cyber attacco segnalati dalla piattaforma di intelligence per la cybersecurity Cisco Talos. I settori maggiormente colpiti sono stati quelli della Sanità, l’Istruzione e i Servizi finanziari, prendendo di mira in particolare la produzione e le infrastrutture critiche, nei comparti acqua, energia e trasporti.
L’arrivo del ransomware, metodologia di attacco cyber mirata al riscatto, ha segnato una svolta nelle tipologie di attacco. Se infatti prima gli attacchi informatici colpivano tecnicamente il sistema, mirando a bloccare la macchina, il ransomware punta invece a riscuotere un riscatto. Questo non è però sempre legato al restituire in chiaro alle persone i dati che vengono cifrati, quanto oggi a evitare che vengano divulgate e rese pubbliche informazioni personali degli attaccati.
Ripercorriamo allora in breve con Cisco questi 35 anni di ransomware: il primo ransomware conosciuto al mondo potrebbe essere stato il Trojan AIDS, floppy disk creato nel 1989 da Joseph L. Popp, che richiedeva alle sue vittime un riscatto mediante corrispondenza in cambio dei dati rubati. A distanza di tempo la cosa fa anche un poco sorridere, altri tempi e modalità di comunicare decisamente diverse. Nei 15 anni successivi il fenomeno ransomware ha avuto uno sviluppo e un’accelerazione superiore a ogni altra tipologia di attacco informatico, arrivando con il progressivo ampliamento delle reti informatiche al GPCode, allegato e-mail mascherato da offerta di lavoro che dal 2004 ha iniziato a colpire le sue vittime, soprattutto in Russia. L’avvento dei bitcoin all’inizio del 2010 ha offerto ai pirati informatici un metodo di pagamento anonimo e difficile da tracciare, che risponde in maniera ideale a una delle maggiori sfide poste ai criminali informatici nell’impiego di attacchi ransomware, ovvero occultare i pagamenti. Il 2016 segna quindi un punto di svolta nella storia del ransomware, con il ransomware SamSam che diviene il primo a colpire grandi aziende con richieste di riscatto che giungono a cifre con sette zeri. Infine, l’arrivo del ransomware Maze nel 2019 segna l’adozione di nuove tattiche di estorsione, minacciando di rendere pubblici i dati esfiltrati.
Focus degli attacchi ransomware oggi è infatti proprio questo, la divulgazione dei dati esfiltrati dagli hacker. L’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati, comunemente conosciuto come GDPR, impone infatti alle aziende di adottare misure di sicurezza informatica atte a proteggere i dati dalla cancellazione, dalla modifica e dalla divulgazione. Ragion per cui, la divulgazione di dati personali è oggi di fatto un reato, e se un’azienda non ha fatto tutto quanto è possibile per proteggere i propri dati, è di fatto colpevole di avere permesso che quei dati venissero divulgati.
Su questo gioca allora il nuovo ransomware, dove il threat actor non si limita più a criptare i dati per bloccare l’azienda e le sue macchine, ma procede alla esfiltrazione delle informazioni, rubando i dati per poi usarli per ricattare l’organizzazione. Negli anni è quindi cambiato anche ciò che gli attaccanti hanno poi fatto con questi dati: fino a circa dieci anni fa, i pirati informatici vendevano i dati rubati, che potevano consistere in credenziali email, password o dati delle carte di credito. Ma se una decina di anni fa una carta di credito veniva venduta sul dark web a circa 15 euro, oggi viene venduta a circa 1 euro e cinquanta centesimi. Infatti gli odierni sistemi di convalida elettronica per l’utilizzo delle carte di fatto impediscono le frodi.
Allo stesso tempo, stanno cambiando i sistemi di attacco tramite cui il ransomware entra in azienda. Oggi si parla addirittura di ransomware che si diffondono attraverso video chiamate in Teams, che inducono l’utente a fornire le proprie credenziali. Si tratta dunque di una via di mezzo tra un attacco vishing, ovvero di Voice phishing, e un attacco di phishing convenzionale, sfruttando la diffusione di applicazioni di videoconferenza o di unified communications come quella di Teams.
Le tecniche evolvono dunque rapidamente, ma cambiano in parallelo anche i bersagli: la posta elettronica sta lasciando il posto ad altri strumenti come app e sistemi di condivisione. A questo si lega strettamente il tema delle abitudini di accesso da dispositivi mobili ad app e servizi che contraddistinguono la Gen Z, per cui cambiando le modalità con cui si accede alla posta elettronica cambia anche la natura del phishing, sia nelle modalità in cui il messaggio viene visualizzato sia per come viene ricevuto. Ciò considerato, oggi a distanza di 35 anni dal suo primo affacciarsi tra le minacce alla sicurezza informatica, il social engineering costituisce la base di tutto quello che è il mondo della diffusione del ransomware, poiché l’avanzare delle tecnologie e il cambiamento delle abitudini dal punto di vista sociologico modifica di riflesso anche le tipologie di attacco.
Commenti recenti