Attacchi informatici? Non ci sono abbastanza cybercriminali! Il provocatorio punto di vista di Cynet

Non ci sono abbastanza cybercriminali, per le potenzialità di attacco che esistono. È la provocazione di Marco Lucchina, Country Manager di Cynet, azienda specializzata in soluzioni per la sicurezza informatica. Una riflessione che parte da un assunto: i criminali informatici non corrispondono a quelli dell’immaginario comune. Non sono persone che indossano felpe con cappuccio e dotati di grandi competenze che agiscono come lupi solitari. Non corrispondono più ai genietti come Kevin Mitnick, il Condor (uno dei suoi tanti pseudonimi), l’uomo che secondo le autorità statunitensi poteva far scoppiare la Terza Guerra Mondiale da un telefono a gettoni. Oggi il cybercrimine è a tutti gli effetti un’industria, anche molto strutturata. Che in molti casi può contare sull’appoggio di Stati, che coprono, quando proprio non sponsorizzano, le loro azioni. E Lucchina sottolinea proprio come, nonostante tutto, in qualche maniera si riesca ancora a contenere la quantità di attacchi, che in certi casi potrebbero mettere in ginocchio interi Paesi. Il motivo? Lo stesso delle grandi aziende: non è facile trovare personale competente!

In Italia? Possiamo ritenerci fortunati. Intervista a Marco Lucchina

L’Italia, come più volte segnalato, è fra i Paesi maggiormente presi di mira dai criminali informatici. Per tantissimi motivi, che vanno dalla presenza di tantissime PMI, che non hanno le risorse per proteggersi come invece fanno le grandi aziende. “Per comprendere la situazione ragioniamo su tre aspetti”, spiega Lucchina. “Prima di tutto, facciamo monitoraggio sui canali del Dark Web e le chat come Telegram e Signal dove discutono i threat actor. Questi segnali ci dicono che l’Italia è considerata da molti come bersaglio primario. Non dal punto di vista geopolitico, ma da quello economico, come accade anche in Francia e in Spagna. Il motivo? Siamo una nazione ricca con un tessuto imprenditoriale frammentato e composto da piccole aziende”. Il secondo aspetto è relativo alla quantità di dati da proteggere, che sono tantissimi (oltre 200 zetabyte) e sparsi su più sistemi. Infine, Lucchina sottolinea una sottovalutazione del rischio da parte degli imprenditori: dopo tanti allarmi sull’informatica che rimbalzano prevedendo disastri, molti imprenditori hanno iniziato a considerarli esagerati, abbassando la guarda. “Si è urlato “al lupo” troppo volte”, sostiene il Country Manager .

In un simile scenario, se il numero di attacchi è tutto sommato contenuto (ma sempre in aumento, non dimentichiamolo) è solo perché anche i criminali faticano a trovare personale. E i gruppi APT, come detto, sono aziende a tutti gli effetti. “Il gruppo Conti (APT Russo che sviluppava l’omonimo ransomware NdR) aveva 100 dipendenti”.

Sono numerosi i sistemi compromessi ma ancora non sfruttati

Che anche i criminali informatici fatichino a stare dietro alla mole di possibili attacchi è evidenziato anche dal fatto che le analisi degli esperti di sicurezza hanno individuato numerosi sistemi dove gli attaccanti sono già entrati, ma senza compiere azioni dannose. Il motivo è che l’approccio iniziale non è molto sofisticato: “si fa pesca a strascico, automatizzando il più possibile”, spiega Lucchina riferendosi al phishing. E anche ottenuto l’accesso iniziale, non sempre lo si sfrutta.

Perché nel frattempo sono state cambiate le password o i token compromessi. O ancora perché sono stati modificati gli IP dei server C&C utilizzati dai criminali per sferrare i loro attacchi. Ci possono essere anche altre motivazioni: troppo poco tempo per gestire tutte le potenziali vittime; il sospetto che le vittime non siano disposte (o non siano in grado) di pagare il riscatto. E, in certo casi “ci sono anche questioni etiche”. Il riferimento è agli ospedali e a simili infrastrutture critiche. Alcuni gruppi, infatti, si rifiutano di proseguire quando realizzano che la vittima è una struttura sanitaria.

Ospedali: non più zone franche

Sino a non troppi anni fa, gli APT che si occupavano di gestire servizi di RaaS (Ransomware as a Service) avevano una sorta di codice di onore, ed evitavano di attaccare gli ospedali. “Dopo il Covid sono aumentati di parecchio i gruppi di criminali informatici e molti di questi non si pongono alcuna regola etica”, dice Lucchina. Diversa invece la questione per altre infrastrutture critiche, come quelle per la generazione e il trasporto dell’energia. “In certi casi c’è una logica politica”, sottolinea il manager, sottolineando che puntando a bersagli di questo tipo si rischia di attirare troppe attenzioni da agenzie come l’FBI o gli equivalenti di altri Paesi. “Nel caso di Colonial Pipelines, il gruppo Darkside, che aveva fornito alcuni strumenti agli attaccanti, si è dissociato da questa operazione”.

Secondo Lucchina, è strano che nel caso del ransomware non ci siano in Italia leggi simili a quelle per i sequestri, che proibiscono esplicitamente il pagamento dei riscatti, arrivando anche a bloccare i fondi dei familiari. E questo è anche uno dei motivi per cui gli ospedali non sono visti come bersagli primari: “al contrario dei privati, non pagano”. E c’è anche un terzo motivo: oggi le strutture sanitarie italiane non sono così tanto digitalizzate. E un attacco informatico crea sì disagi e rallentamenti, ma non blocca completamente le attività di un ospedale. Sotto questo punto di vista “essere analogici è una strategia di difesa”, afferma Lucchina.

Serve un piano di reazione

Il quadro dipinto da Lucchina non è consolante. Se non vediamo un numero maggiore di attacchi non è perché siamo bravi a reagire, ma perché gli APT non hanno risorse a sufficienza. Potenziare le difese tecnologiche è sicuramente importantissimo, così come la formazione. Ma non è sufficiente. “La formazione sulla cyberecurity è fondamentale, proprio come quella per la sicurezza fisica, ma non basta. Bisogna spostare l’attenzione sui sistemi, per esempio evitando sistemi poco sicuri (email, whatsapp e via dicendo) per scambiare informazioni chiave”, come password o altri dati. Capita spesso infatti che vengano intercettate queste comunicazioni. Secondo Lucchina, il problema non è relativo alla scarsa sicurezza di questi canali, che sono spesso dotati di cifratura end-to-end: “il problema è che le credenziali prima di passare per questi sistemi sono copiate sulla clipboard, e oggi, con tanti dipendenti che operano da remoto, è probabile che sui loro dispositivi personali possa esserci un infostealer”. Alternative valide possono essere sistemi autenticati e considerati sicuri, come per esempio Microsoft 365 o Google Workspace. La parte più difficile, però, è spingere le persone, siano essi manager o dipendenti, al cambiamento.