Nel 1988, uno studente di Harvard fece un innocuo esperimento per rilevare quanti computer fossero allora collegati a Internet. 24 ore dopo, il 10% di tutti i computer del mondo era stato messo fuori uso, con la conseguenza di milioni di dollari di danni accidentali. Così facendo, Robert Tappan Morris aveva inavvertitamente creato il primo worm informatico della storia.
Quando Morris si rese conto della velocità con cui il suo programma si stava replicando, cercò di condividere con le vittime le istruzioni per smantellare il worm e arginare l’attacco, ma era troppo tardi. L’anno dopo venne incriminato e condannato a pagare una multa di oltre 10.000 dollari.
Tornando ai giorni nostri, il caso Colonial Pipeline rappresenta l’esempio più recente di una minaccia informatica derivante da un errore di calcolo, o elaborata da un gruppo criminale che non si era reso conto dell’impatto che avrebbe generato il suo attacco. Molto probabilmente, il gruppo DarkSide intendeva colpire unicamente il sistema IT e le operazioni aziendali della rete di oleodotti, sottovalutando l’impatto reale che avrebbe generato. Le conseguenze dell’attacco, invece, sono state disastrose, determinando il blocco della fornitura di carburante in tutta la costa orientale degli Stati Uniti e un aumento del prezzo della benzina in tutto il mondo.
In una apparente dimostrazione di responsabilità sociale, il gruppo DarkSide si è scusato di quanto accaduto, dichiarando tramite social media: “Siamo apolitici, non siamo in nessun modo coinvolti nelle dinamiche internazionali e non abbiamo bisogno di essere legati a nessuno governo specifico. Da oggi ci impegneremo a introdurre una maggiore moderazione e controlleremo ogni azienda che i nostri partner desiderano attaccare criptandone i dati, per evitare che in futuro vi siano spiacevole conseguenza a livello sociale.”
Il perché di questa dichiarazione è evidente: un estremo tentativo di autoconservazione. Le conseguenze dell’attacco, infatti, non hanno colpito solo Colonial Pipeline, ma il gruppo DarkSide stesso, diventato immediatamente uno dei primi obiettivi del governo degli Stati Uniti.
A seguito dell’attenzione e dello scalpore generati, in meno di una settimana DarkSide ha dovuto annunciare lo smantellamento del gruppo, anche se non è da escludere che possa riemergere con un altro nome, o unirsi a un’altra organizzazione.
La mancata comprensione dell’impatto e dei danni collaterali generati da un attacco informatico può quindi portare a una serie indesiderata di ramificazioni dello stesso. Questo avviene, ad esempio, quando un gruppo hacker si sente improvvisamente incalzato dalle forze dell’ordine o quando uno stato nazionale si trova coinvolto e accusato di inasprire un conflitto già in atto.
Per questo motivo, la maggior parte dei gruppi di hacker che sfruttano ransomware tendono, storicamente, a mantenere un basso profilo e oltre il 70% di questi attacchi prende di mira le piccole e medie imprese. Sfortunatamente, mentre molti gruppi di cybercrimine si impegnano a risparmiare organizzazioni più grandi come gli ospedali e le infrastrutture critiche, l’irresistibile fascino di ottenere pagamenti veloci per riscatti da record ha comunque portato il settore sanitario, anche quello dei vaccini, a essere uno degli obiettivi preferiti degli attacchi ransomware. A seguito dell’incidente alla Colonial Pipeline, e senza dubbio spinto dalla paura di finire nella lista dei più ricercati dell’FBI, un importante gruppo Ransomware-as-a-Service (RaaS), REvil, ha dichiarato di impegnarsi a evitare operazioni nel settore sociale, come le organizzazioni sanitarie e le istituzioni educative, e governativo di qualsiasi Pease.
Le marce indietro non mancano. Lo dimostra anche quanto accaduto pochi giorni fa al Health Service Executive (Hse) irlandese, dove a fronte della dichiarazione delle autorità di Dublino di non voler pagare il riscatto, gli hacker hanno deciso di «redimersi» fornendo gratuitamente all’Hse la password per rendere i documenti di nuovo accessibili.
I gruppi cybercriminali più organizzati sottolineano spesso di essere apolitici e motivati solo dal guadagno finanziario ma, anche se questo fosse vero, la presenza di sistemi digitali tanto estesi quanto interconnessi oggi fa sì che gli attacchi possano facilmente avere delle conseguenze anche dal punto di vista geopolitico, incoraggiando i governi a emettere ordini esecutivi e ottenendo un’incredibile visibilità alle notizie su tutti i giornali. Da sempre, quando si trova di fronte a un’esposizione eccessiva, il cybercriminale sceglie di adottare un profilo basso mettendo in atto una “exit scam”, come hanno già fatto in passato gruppi come Maze e Jokeroo, o di cessare completamente l’operatività, come nel caso dello smantellamento della botnet Emotet all’inizio di quest’anno.
Ciò che è certo è che gli effetti secondari di un attacco informatico stanno diventando sempre più difficili da prevedere e controllare e la ragione di tutto questo è duplice. In primo luogo, perché oggi la connettività è diffusa. Viviamo in un mondo digitalizzato e talmente interconnesso da far sì che un attacco a un server possa avere conseguenze globali, sia in termine di effetti lungo la catena di approvvigionamento, sia perchè l’IT oggi converge con l’OT, e perché una minaccia informatica scagliata contro un Paese colpisce collateralmente tutti gli altri.
Essendo più “isolato” degli enti governativi, il settore privato si ritrova a essere vittima di questi danni collaterali con maggiore frequenza. Prendiamo come esempio NotPetya, dove un attacco contro le infrastrutture ucraine si è esteso a dismisura, paralizzando le fabbriche di tutto il mondo e realizzando una perdita di 300 milioni di dollari alla compagnia di navigazione Maersk.
La seconda ragione è legata invece alla possibilità di accedere più facilmente a strumenti di attacco sofisticati. La commercializzazione delle armi del cybercrime ha permesso anche agli attori meno preparati di fare uso di malware all’avanguardia e lanciare campagne ad alta pervasività con estrema velocità e facilità. L’attacco a Colonial Pipeline, infatti, è stato orchestrato da un gruppo affiliato che ha pagato per ottenere il malware DarkSide. Tutto questo rende molto più difficile il monitoraggio e la difesa delle potenziali vittime. Quando si tratta di RaaS (Ransomware-as-a-Service), anche gli sviluppatori stessi probabilmente non conoscono con certezza come verrà utilizzato il malware che hanno creato.
Nella preparazione di un attacco informatico, di qualsiasi tipo, la comprensione che un hacker ha dell’ambiente target non può essere mai completa. Se, ad esempio, è intenzionato a colpire una banca, ma non sa che un ospedale vicino utilizza la stessa rete elettrica, il rischio che gli effetti dell’attacco degenerino rapidamente è elevato, soprattutto quando a colpire è un hacker poco esperto e inciampare in errori di calcolo diventa estremamente facile.
Per quanto ne sappiamo, l’attacco compiuto da DarkSide non era un APT sponsorizzato da uno stato nazionale, ma semplicemente una sorta di “franchising” criminale privato. Eppure, il gruppo ha venduto il proprio ransomware come il più veloce del mondo riuscendo a portare a termine uno dei più dirompenti cyberattacchi alle infrastrutture critiche di tutti i tempi. Come ha dimostrato la storia, dal worm Morris all’attacco a Colonial Pipeline, quando il malware è veloce e progettato per propagarsi risulta anche incredibilmente imprevedibile e quasi impossibile da arginare.
L’automazione e gli attacchi abilitati dall’AI stanno diventando realtà, trasformando profondamente il panorama attuale delle minacce informatiche
La resilienza dell’organizzazione non dipende dal numero delle persone che operano in essa, o dall’aggiornamento delle competenze dei team di sicurezza esistenti perché il ransomware non è più un problema affrontabile e risolvibile dalla sola capacità umana: gli attacchi basati sull’IA hanno bisogno di una risposta che possa adattarsi alla stessa velocità di propagazione dell’attacco. In conclusione, ritengo che oggi la lotta al ransomware non sia qualcosa che coinvolge unicamente le aziende private, ma sia una questione di sicurezza nazionale, e la tecnologia AI di autodifesa sia fondamentale per affrontare l’imprevedibilità e la velocità delle minacce di oggi e di domani.
Marcus Fowler, Director of Strategic Threat di Darktrace
