I virus del riscatto saranno in calo, ma si specializzeranno per colpire dove fa più male. E verranno usati anche come depistaggio. Le ultime analisi dal summit sulla cybersicurezza di McAfee
E mentre la notizia di un virus globale e virulento – un ransomware, un software malevolo che cifra i file e chiede un riscatto per decifrarli – rimbalzava su tutti i media, i maggiori esperti di sicurezza ricevevano telefonate concitate. “Era venerdì, mi hanno chiamato, e da quel momento sono stati giorni da pazzi. Siamo andati a vedere gli ospedali in tilt, qua in Gran Bretagna, cercando di capire cosa fare e cosa stava accadendo. Perché da subito, e ancora adesso, non era chiaro il senso di quell’attacco”, commenta a La Stampa Raj Samani, a capo della ricerca di McAfee, colosso della cybersicurezza che da pochi mesi si è staccato da Intel tornando indipendente. E che ha appena tenuto ad Amsterdam una conferenza globale in cui ha cercato di anticipare le minacce che ci aspettano. Anche sulla base di quanto successo nel 2017.
E certamente Wannacry – ma anche Notpetya , altro virus globale che ha colpito poco dopo, o più recentemente BadRabbit – sono stati dei punti di svolta. Cosa accadrà quindi nel 2018?
RANSOMWARE IN CALO, MA PIU’ MIRATI
Ora, secondo gli analisti di McAfee, ci sono una buona e una cattiva notizia, a partire proprio dai ransomware che tanto hanno dominato la scena della sicurezza informatica negli ultimi tre anni.
La buona notizia è che i virus del riscatto tradizionali, che si sono abbattuti a pioggia sui computer di utenti, professionisti, imprese, paiono rallentare come fenomeno. È vero cioè che sono cresciuti del 56 per cento negli ultimi quattro trimestri, ma il numero di pagamenti effettuati dalle vittime è in calo nell’ultimo anno. Ciò è probabilmente dovuto a più efficaci e diffuse strategie di backup dei dati; alla disponibilità di strumenti per decifrare alcune varianti del virus; all’azione congiunta di pubblico e privati in alleanze come la campagna NoMoreRansom.org.
Tuttavia sappiamo che i cybercriminali sono molto rapidi e flessibili nella loro capacità di adattamento. E infatti, secondo gli analisti, starebbero già riposizionando i ransomware verso target di più alto profilo, verso vittime capaci di pagare di più. In pratica si investe maggiormente nello sviluppo dello strumento, e soprattutto delle tecniche di ingegneria sociale per veicolare gli attacchi, e si tende a colpire vittime più danarose. O più disposte a pagare perché il solo blocco delle attività è problematico. In prima fila in questo scenario ci sono proprio gli ospedali e più in generale le aziende. Dal punto di vista dell’economia criminale, ciò significa uno sfoltimento delle offerte di ransomware come servizio, quando un criminale più capace mette a disposizione a pagamento la propria infrastruttura ad altri attori meno abili. In pratica sopravvivranno i servizi in affitto più robusti, specializzati e con migliori funzionalità. Mentre per gli altri, i pur modesti costi di investimento dell’impresa malevola potrebbero non essere più compensati dai pagamenti delle vittime.
(Nuove famiglie di ransomware scoperte nel 2017. Fonte:McAfee Labs)
Ma soprattutto i ransomware potrebbero essere applicati in modi nuovi: per distruggere, sabotare, fare danni. O come cortina fumogena per nascondere altri attacchi. “Quando abbiamo visto Wannacry e poi NotPetya la prima domanda è stata: considerato come sono stati progettati, e come sono pessimi nel monetizzare le infezioni, siamo davvero di fronte a un ransomware?”, commenta ancora Samani. “Ancora oggi esistono delle teorie, ma non abbiamo veramente capito la motivazione. E questo vale anche per il futuro. I criminali stanno mescolando assieme strumenti e vettori: pensiamo a come in Wannacry si sono fusi ransomware e worm, un tipo di virus che si autodiffonde in rete, come il vecchio Conficker. Questo scenario ibrido è quello che ci attende. Probabilmente, di fronte a nuovi attacchi, ci vorranno almeno otto mesi per capire la motivazione, sempre che si riesca”.
Di certo, un fenomeno già comparso è l’uso dei ransomware per offuscare altre attività malevole. È successo alla Far Eastern International Bank (FEIB), una banca di Taiwan in cui gli attaccanti sarebbero entrati nei sistemi per tentare di modificare delle transazioni bancarie su rete Swift. Una volta scoperti, avrebbero adoperato un ransomware piuttosto comune per infettare la rete della banca, ritardare e confondere gli accertamenti, cifrare o distruggere prove dell’intrusione.
ATTACCHI VIA STAMPANTE
L’altro osservato speciale sul fronte della cybersicurezza è anche il mondo dell’internet delle cose (internet of things, o IoT). Secondo un recente sondaggio condotto dalla società di analisi Quocirca, il 61 per cento degli intervistati, perlopiù grandi organizzazioni, ha ammesso di aver subito almeno una violazione di dati attraverso la breccia di stampanti non sicure. “Il tema della sicurezza di questo genere di dispositivi è all’ordine del giorno anche perché le stampanti sono diffuse in tutti i settori industriali e in tutte le organizzazioni”, commenta a La Stampa Alissa Johnson, nota anche come Dr Jay. È stata vicecapo della sicurezza delle informazioni nell’amministrazione Obama, dal 2012 al 2015. E forse non è un caso che sia stata chiamata a guidare la sicurezza proprio da Xerox, la multinazionale delle stampanti. “Il problema è anche che quando diciamo Internet delle cose, parliamo di apparecchi e situazioni molto diverse. Forse dovremmo iniziare a segmentare questa macrocategoria, specie se si inizia a pensare, come fa l’Unione europea, di creare sistemi di certificazione. Per cui o si affrontano caso per caso settori specifici o il rischio è di rimanere su indicazioni di massima”.
Carola Frediani, La Stampa