skip to Main Content

Cyber Security, cosa insegnano gli attacchi ransomware negli Usa

Cyber Security, Cosa Insegnano Gli Attacchi Ransomware Negli Usa

Per Pierguido Iezzi, co-fondatore di Swascan insieme a Raul Chiesa, spiega a Difesa e Sicurezza l’importanza del Framework di sicurezza e come può essere sviluppato

Per Pierguido Iezzi, co-fondatore di Swascan insieme a Raul Chiesa, spiega a Difesa e Sicurezza l’importanza del Framework di sicurezza e come può essere sviluppato. Lo fa prendendo ad esempio le reazioni di Baltimora e New Bedford alle aggressioni del cybercrime con i ransomware RobbinHood e RYUK. Nel primo caso i malware hanno causato danni per milioni di dollari e paralizzato la città. Nel secondo, invece, i “cyber difensori” non si sono fatti trovare impreparati e hanno bloccato la minaccia in tempo. Tanto che solo 158 computer, ovvero il 4% delle oltre 3.500 macchine utilizzate dai dipendenti del centro, sono stati compromessi. Il punto di forza di New Bedford rispetto a Baltimora è stato nella gestione della Cyber Security, grazie a un perimetro di sicurezza ben strutturato e presenziato.

di Pierguido Iezzi

L’attacco ransomware a Baltimora ha causato oltre 20 milioni di dollari di danni. La colpa allora fu del malware RobbinHood, derivazione di SamSam, che i Criminal hacker hanno diffuso in città

Alcuni mesi fa aveva fatto il giro del mondo la notizia del massiccio attacco ransomware che aveva paralizzato la città di Baltimora negli Stati Uniti. La campagna che si era abbattuta sulla città più popolosa del Maryland si era lasciata uno strascico di oltre 20 milioni di dollari di danni, il coinvolgimento massiccio dell’FBI e una grossa fetta degli impiegati distrettuali ridotti a lavorare con carta e penna in attesa di una risoluzione definitiva. In quel caso a infettare la città era stato RobbinHood, derivazione di SamSam, un altro noto malware. Il riscatto chiesto era stato di 13 bitcoin (circa 100mila dollari), ma l’amministrazione attraverso una conferenza stampa indetta dal sindaco Bernard C. Young si era rifiutata di pagare.

New Bedford è l’ultima vittima Usa dei criminali cibernetici, colpita nell’Independence Day

Recentemente un altro centro abitato statunitense è finito sotto assedio da parte di un gruppo di Criminal hackers, ma la sua modalità di risposta è stata così efficace– soprattutto rispetto a Baltimora – da potenzialmente rappresentare l’ispirazione per un nuovo standard di difesa contro questi attacchi. New Bedford, nello stato del Massachusetts, è una piccola città di circa 90mila abitanti – piccola per gli standard americani – sulle coste dell’Atlantico ed è solo l’ultima in una lunga serie di vittime scelte dai Criminal hacker tra le municipalità della provincia americana. Lo scorso 5 luglio 2019, al ritorno dai festeggiamenti dell’Independence Day, gli impiegati del comune si sono accorti di un notevole aumento nell’attività della rete interna, come ha spiegato il sindaco Jon Mitchell.

A New Bedford, presa di mira dal ransomware RYUK, però le cose sono andate in modo diverso rispetto che a Baltimora

Questa attività non poteva che far insospettire lo staff del Management Information System (MIS) della città, che dopo una rapida, ma attenta analisi ha individuato la presenza del ransomware RYUK, una delle più avanzate in circolazione e solo la pronta risposta del team ha impedito che questo lasciasse dietro di sé danni pesantissimi. L’infezione, che prende il nome di un noto personaggio di un cartone animato giapponese, è in grado di individuare e crittare i network drive e di cancellare i volume snapshot così da impedire completamente l’utilizzo del Windows System Restore nel caso in cui non siano presenti backup esterni. Una volta bloccati i dati di sistema alle vittime viene recapitata una richiesta di riscatto – naturalmente da pagare in Bitcoin – per ottenere la chiave necessaria a decrittare i sistemi infettati e, se tutto va bene, riottenere completa disponibilità dei sistemi.

La città è stata salvata da un Framework di cyber security ben strutturato e presenziato

Nel caso di New Bedford, gli addetti all’amministrazione si sono visti recapitare una nota di riscatto pari a 5,3 milioni di dollari – sempre da pagare in Bitcoin –. In questo caso i Criminal hacker si sono trovati difronte ad un MIS della città altamente qualificato e pronto a rispondere alla minaccia. In termini di architettura IT, la compartimentazione dei vari sistemi ha ulteriormente limitato la portata del malware. I sistemi infetti sono stati velocemente individuati e le criticità risolte. La polizia, i servizi di emergenza, i sistemi scolastici, gli impianti di trattamento delle acque e delle acque reflue e i servizi di raccolta e riciclaggio dei rifiuti sono rimasti protetti. Secondo il sindaco, solo 158 computer, ovvero il 4% delle oltre 3.500 macchine utilizzate dai dipendenti della città, sono stati compromessi. Compartimentazione e skill sono però solo due note di colore. Il vero punto di forza di New Bedford rispetto a Baltimora è stato nella gestione della Cyber Security con un Framework di sicurezza ben strutturato e presenziato.

Le differenze tra avere o non avere un perimetro di Cyber difesa

La differenza tra avere o non avere un perimetro di Cyber difesa – e Baltimora qui docet – è la differenza tra il trovarsi a dover investire milioni di dollari, migliaia di ore di lavoro e giorni di pressoché paralisi amministrativa contro una risoluzione rapida e relativamente indolore. Ma come assicurarsi che il Framework, sia per enti governativi sia per aziende privati, sia in grado di fare fronte a tutte le Cyber minacce in continua evoluzione Semplice, attraverso un Cyber Security Framework Checkup. Questo servizio permette di:

  • Valutare il Framework in essere,
  • Effettuare una Gap Analysis tra l’AS IS (sistemi allo stato attuale) e gli standard e best practice di Cyber Security Governance
  • Redigere una Road Map.

Le cinque fasi di un buon Cyber Security Framework Checkup

In dettaglio, il processo si svolge in cinque fasi separate. La prima, detta di mapping, ha la funzione di elencare gli asset aziendali, identificare gli stessi e tutti gli strumenti adibiti alla Cyber security aziendale, non solo, vengono determinati gli alert ed Early warning dei Security Asset e infine vengono studiati i processi e le metodologie di gestione. Lo scopo di questa fase è di ottenere una precisa stima di quanti asset tecnologici (e software) sono presenti nel perimetro, primo passo necessario per completare il secondo step: Asses Threats. Raccolto l’inventario di tutti gli asset, infatti, la seconda fase è incentrata sull’identificare vulnerabilità e criticità del Framework, definirne la severità, valutare la possibilità di exploit da parte dei Criminal hacker e calcolarne il livello di rischio al netto delle misure di sicurezza disponibili. Per ottenere questi dati vengono svolti Penetration Test, Vulnerability Assessment, Network scan e IT Security Integrity Checkup.

I Security KPI e la Road Map per ottenere la massima resilienza contro tutte le minacce cibernetiche

Conclusa questa fase vengono definiti i Security KPI: quelli già in uso, quelli da applicare e quelli eventualmente da adottare. Questo avviene attraverso l’analisi della gestione dei sistemi di Alarm e Early warning, dei KPI già in uso e delle Security Policy e Procedure. Di fatto vengono definiti gli indicatori e la struttura base della Sicurezza Proattiva. Dal confronto dei sistemi come da rilevazione (as-is) e le best practice (fase di Gap Analysis) viene definito il modello (to-be). Da qui si ricava la Road Map (la fase finale). Si tratta del percorso dettagliato di riposizionamento dell’attuale Framework, una sequenza temporale di azioni e interventi da seguire per ottenere la massima Cyber resilience dal proprio Framework. A corredo della roadmap vengono definiti e pianificati i nuovi standard a livello organizzativo, tecnologico, di Know-how e di Policy e Procedure.

“Gli intellettuali risolvono i problemi; i geni li prevengono.”
ALBERT EINSTEIN

Back To Top