Anche il gigante Accenture caduto vittima di LockBit 2.0. Gli attaccanti chiedono una cifra da capogiro: 50 milioni. L’azienda opera anche nell’ambito della sicurezza e fortunatamente è riuscita a ripristinare i suoi servizi in breve tempo tramite un’ottima politica di backup. Ma l’incubo è davvero finito? Rimane il nodo dei dati sottratti e il danno d’immagine subito dall’azienda di Dublino.

Il ricatto a quattro vie

Quando un malintenzionato riesce a corrompere un sistema, non basa tutta la sua strategia di estorsione sull’impossibilità di fruizione dei dati all’utente; questa è una strategia vecchia! Ora va di moda mettere sotto pressione con più modalità i malcapitati. Il ricatto, a quattro vie, prevede dei modi subdoli per mettervi in ginocchio:

la crittografia la conosciamo unita a un DDoS, il tempo necessario ripristinare i backup e tornare online; altri due punti rimangono problematici: la protezione dei dati personali e la credibilità dell’azienda.

Volevamo soffermarci su un aspetto spesso trascurato: cosa succederebbe se l’attore malevolo andasse direttamente dai vostri clienti e dicesse che siete stati vittime di un attacco? Il prezzo a questo punto non si limita alla mancanza del servizio erogato ma ad un danno d’immagine da non sottovalutare affatto.

Accenture è una grande azienda e reggerà il colpo, ma una realtà più piccola, rischierebbe di chiudere i battenti dopo una pubblicità negativa del genere. Qualche testata scrive anche “speriamo che i servizi di sicurezza forniti da Accenture siano migliori di quelli propri” davvero terribile..!

Non sempre è questione di crittografia

Anche solo un attacco DDoS può spaventare ed è semplice da portare a termine. Scavalcare un perimetro di difesa può essere una cosa estremamente difficile se i difensori sono preparati, un attacco DDoS non lo è affatto. Basta disporre di un’elevata potenza di fuoco, intesa come banda internet utilizzabile. Un DDoS consiste nel saturare la banda disponibile per un servizio inondandolo di richieste, se l’attaccante dispone di una botnet che (al netto di un grosso capitale da investire) può ottenere lecitamente, affittando un gran numero di server virtuali privati (VPS) si elimina anche la necessità di infettare un gran numero di sistemi. 

Noi assidui lettori di CybersecurityUP abbiamo i nostri backup chiusi in cassaforte vero? Rimane un problema… 

Nessuno testa mai quanto tempo ci vuole per rimettere in piedi l’infrastruttura con dei backup! A volte il prezzo del downtime (il tempo che un sito rimane offline)  è maggiore di quello del riscatto. Questo è vero quanto per le grandi aziende, che potrebbero perdere molti nuovi clienti o causare malcontento a quelli già acquisiti, quanto alle piccole realtà in piena espansione perché i motori di ricerca tendono a mandare a fondo pagina i siti che soffrono di frequenti o lunghi downtime. Prendiamo come esempio Google, la sua missione è soddisfare le domande degli utenti se mettesse in cima risultati non affidabili questo rifletterebbe negativamente sulla opinione che il pubblico ha di Google stesso. Interrompere un servizio a volte basta per chiedere un riscatto.

Qualche caso fortunato

Non è certo la fortuna a doverci proteggere in questi casi ma a volte qualche decryptor universale aiuta. Sul sito NoMoreRansom così come sul sito di Kaspersky sono presenti alcuni software che fanno tornare come nuovi i vostri dati, questi però sono un numero molto esiguo e spesso sono la soluzione a ransomware di vecchia generazione, ma anche avendo la chiave non siamo protetti dai rischi di cui abbiamo parlato prima.

Quello che dobbiamo veramente chiederci non è se sia giusto pagare o non pagare ma come fare oggi ad evitare i pericoli di domani! Ricordiamoci che l’awareness  limita di molto la superficie di attacco dato che, di solito, la vulnerabilità più insidiosa si trova tra la sedia e la tastiera! Se invece la nostra passione è quella di trovare la cura per il prossimo ransomware il corso di malware reverse engineering è sicuramente un buon inizio.

Tweet