Nel panorama delle minacce informatiche, il ransomware rappresenta una delle sfide più insidiose per la sicurezza delle organizzazioni pubbliche e private. Questa forma di malware crittografa i dati delle vittime, richiedendo il pagamento di un riscatto per ripristinarne l'accesso. L'impatto potenziale del ransomware è devastante, causando perdite finanziarie, interruzioni operative e compromissione di informazioni sensibili.

Panoramica Globale delle Minacce Ransomware

Secondo l'Agenzia per la Cybersicurezza Nazionale (ACN), nel 2023, l'Italia è risultata il terzo Paese dell'Unione Europea più colpito da virus o ransomware, mentre a livello globale si è posizionata al sesto posto. Questi numeri allarmanti sottolineano la necessità di adottare misure di sicurezza informatica all'avanguardia per contrastare efficacemente questa minaccia in costante evoluzione.

I dati dell'ACN rivelano che nel 2023 sono stati monitorati 1.411 eventi cyber, con una media di circa 117 al mese. Di questi, 303 sono stati classificati come incidenti con impatto confermato, per una media di circa 25 al mese. Inoltre, l'Agenzia ha rilevato 3.624 dispositivi e servizi a rischio e 584 tentativi di phishing segnalati alle vittime.

Impatto del Ransomware sulle Pubbliche Amministrazioni Italiane

Nel corso del 2023, l'ACN ha gestito 422 eventi cyber ai danni di istituzioni pubbliche nazionali, con un aumento significativo rispetto ai 160 casi registrati nel 2022. Di questi, 85 sono stati classificati come incidenti, procurando nella maggior parte dei casi il malfunzionamento dei sistemi e conseguenti blocchi o rallentamenti nell'erogazione dei servizi.

In media, si è verificato un incidente a settimana, tra sfruttamento delle vulnerabilità, phishing e attacchi DDoS (Distributed Denial of Service). Quest'ultimo rappresenta la minaccia più frequente nei confronti delle istituzioni pubbliche, mirando a compromettere i sistemi mediante esaurimento delle risorse di rete, elaborazione o memoria.

Il monitoraggio delle rivendicazioni DDoS nel mese di maggio 2024 mostra che l'Italia è stata il quarto paese al mondo e il primo in UE. I gruppi più attivi sono stati NoName057 e CyberArmyofRussia (fonte ACN).

Anatomia di un Attacco Ransomware

Il ransomware è un malware in cui l'attaccante cripta i dati di un'organizzazione al fine di ottenere il pagamento di un riscatto. Può causare seri danni alle organizzazioni in termini di perdita dei dati, interruzione delle attività, esposizione di informazioni riservate, oltre a impatti economici, organizzativi e reputazionali.

Nel monitoraggio annuale dell'ACN, sono stati identificati 56 attori ransomware e 265 hacker attivi. Tra i threat actor più intercettati nel 2023, sono stati identificati 20 diversi gruppi, tra cui molto attivi LockBit 3.0, LockBit e NoEscape.

L'Agenzia ha osservato 165 eventi ransomware diretti verso privati e PA (+27% sul 2022). Il 16% degli attacchi verso le PA rispetto all'84% verso i privati (il 23% grandi aziende) non rende affatto l'idea dei rischi per il sistema e le ricadute potenzialmente devastanti a livello di pubblici servizi, considerando anche gli stretti rapporti di fornitura di servizi informatici tra pubblico e privato.

Quanto alla distribuzione geografica, le zone più interessate sono le aree metropolitane di Roma, centro della PA centrale, e Milano, distretto finanziario-imprenditoriale, oltre ai distretti industriali e manufatturieri del Nord-Ovest e Nord-Est (fonte ACN).

Ransomware as a Service: Un Modello di Business Criminale

Il RaaS (Ransomware-as-a-Service, in italiano "ransomware in affitto") è un modello di business del crimine informatico in base al quale gli sviluppatori di ransomware vendono il proprio malware ad altri hacker.

Questo schema consente di abbassare il livello di conoscenze necessarie per darsi al crimine informatico e di effettuare attacchi anche ad attori con competenze tecniche limitate. Gli hacker traggono profitto dall'estorsione evitando di sviluppare malware, mentre gli sviluppatori aumentano i profitti senza dover attaccare manualmente le reti.

Tra i gruppi criminali RaaS, Lockbit sviluppa e mantiene la funzionalità di una particolare variante di ransomware, vende l'accesso a quella variante a individui o gruppi di operatori "affiliati" e sostiene la distribuzione del proprio ransomware in cambio di un pagamento anticipato, di quote di abbonamento o di una parte dei profitti. Secondo l'agenzia americana per la cybersecurity, di fatto Lockbit agisce come una vera azienda che fornisce un servizio (fonte Cybersecurity360).

Caso di Studio: L'Attacco a Westpole e PA Digitale

L'ultimo attacco noto, in ordine di tempo, è stato quello ai data center di Westpole, gigante informatico europeo, fornitore di servizi cloud. Tra i clienti anche PA Digitale, che serve 1300 PA, 540 tra Comuni e istituzioni, tra cui Ministero dell'Ambiente, Banca d'Italia e il Comando generale dei Carabinieri.

L'attacco di Lockbit 3.0 è partito alle 5.30 dell'8 dicembre 2023. L'intrusione ransomware ha colpito l'infrastruttura cloud della società e messo ko 1500 macchine. Circa 1.000 enti e uffici pubblici dopo il ponte dell'Immacolata hanno avuto i servizi bloccati per giorni.

Questo caso di studio evidenzia la vulnerabilità delle infrastrutture critiche e l'impatto potenzialmente devastante degli attacchi ransomware sulle operazioni delle pubbliche amministrazioni e sui servizi essenziali per i cittadini.

Buone Pratiche di Cybersecurity per Prevenire gli Attacchi Ransomware

Diverse sono le policy che possono aiutare a combattere e prevenire efficacemente il cybercrime. In primis, tutti i sistemi di IT, pubblici o privati, devono essere protetti da un firewall e da antivirus professionali completi, in grado di rilevare e disattivare la maggior parte dei programmi dannosi e dei malware.

In seconda istanza, le organizzazioni devono stabilire linee guida rigorose e formare il personale, assicurandosi che chiunque acceda ai sistemi aziendali conosca le moderne minacce informatiche. Altri accorgimenti includono evitare password deboli, cambiarle spesso, rifiutare allegati da indirizzi mail sconosciuti e proibire l'accesso ai social media sul luogo del lavoro.

È consigliato poi l'utilizzo di un sistema di sicurezza di tipo NAC (Network Access Control), grazie al quale è possibile analizzare e classificare la conformità dei dispositivi, identificarli sempre tramite credenziali o ID, associare a queste le policy dei servizi e di accesso alle reti wired, Wifi o VPN Client (fonte Connect).

Fondamentale è avere un backup plan e procedure strutturate di reazione alle emergenze, facendo frequenti verifiche di integrità ed eseguendo esercitazioni (Recovery Drill).

Decisivo è poi saper garantire il recupero dei dati, utilizzando ad esempio dischi hardened on-premises e utilizzando cloud-storage con funzionalità di immutabilità.

Tecnologie Avanzate per la Cybersicurezza

Tra i nuovi più evoluti strumenti per la cybersicurezza, spiccano le tecnologie di Machine Learning, Blockchain e altre in cui entra in campo l'Intelligenza Artificiale. L'AI sta permettendo di creare una sicurezza più avanzata e ottimizzata, ma allo stesso tempo sta anche facilitando la crescita del volume e della complessità degli attacchi.

La ricerca corre, e molte aziende all'avanguardia sulla resilienza dei dati testimoniano l'altissimo livello di know-how raggiunto dalla lotta al cybercrime. Ma la sfida sia per le PA che per le aziende che non vorranno rincorrere criminali più veloci di loro, sarà quella di investire costantemente sulla specializzazione e su tecnologie di ultimissima generazione.

Prospettive Future e Considerazioni Finali

Il cybercrime rappresenta una minaccia in costante evoluzione, con un impatto economico globale stimato in 10,5 trilioni di dollari entro il 2025. Per le pubbliche amministrazioni italiane, la sfida è duplice: da un lato, proteggere le infrastrutture critiche e i dati sensibili dai crescenti attacchi ransomware; dall'altro, garantire la continuità dei servizi essenziali per i cittadini.

È fondamentale adottare un approccio proattivo e olistico alla cybersicurezza, che comprenda la formazione del personale, l'implementazione di tecnologie all'avanguardia, la collaborazione tra settore pubblico e privato, e una costante valutazione e aggiornamento delle misure di sicurezza.

Solo attraverso una strategia globale e un impegno continuo, le pubbliche amministrazioni potranno rafforzare la propria resilienza informatica e tutelare la riservatezza e l'integrità dei dati, garantendo al contempo la continuità dei servizi essenziali per i cittadini.

Vuoi saperne di più?