Qualche settimana fa Sonicwall ha pubblicato il "2022 Sonicwall Cyber Threat Report", un interessante documento di analisi sui malware che i firewall hanno incrociato lo scorso anno. Sono 66 pagine piuttosto dense che vale la pena leggere se si è interessati all'argomento.
Non vogliamo togliervi il piacere della lettura, ma vorremmo riprendere alcune delle conclusioni del report, quelle che ci hanno più colpito.
Partiamo dal "2021 in review", che non è nemmeno nel documento, ma nel sito da cui lo si scarica (link sopra). Non è tanto la scala temporale e il numero di eventi a preoccuparci, ma un riscatto, pagato, da 4.4 milioni di dollari. E probabilmente c'è un secondo riscatto, quello di Colonial Pipeline, che qui non è citato ma che si dice sia stato pagato (sembra poi che il gruppo responsabile si sia pentito, su questo abbiamo qualche dubbio).
È chiaro che a fare l'hacker e il distributore di ramsomware si possono fare molti soldi, e non sembra essere nemmeno tanto difficile. E quindi dobbiamo dormire preoccupati, o almeno preoccuparci prima di andare a dormire.
Una prima cosa: è facile puntare il dito contro quelli che pagano il riscatto, perché così facendo peggiorano la situazione. Però è meno facile decidere di non pagare se ti hanno reso inaccessibili i dati e cancellato i backup. Quindi bisogna comunque essere in grado di ripristinare i dati. Dobbiamo considerare l'evento ramsomware come possibile, proprio come il disastro fisico. Con una differenza, il backup geografico non serve. Serve un backup che non si possa cancellare. Nel senso che non possiamo cancellarlo nemmeno noi. Perché dobbiamo ipotizzare che l'hacker ci freghi le credenziali, e agisca con la nostra autorità. Per questo Azure Backup tiene i dati per 14 giorni anche quando li si cancella, e manda all'amministratore una mail, tanto per stare dalla parte della ragione.
Pare che gli hacker abbiano inventato la tripla estorsione (o doppia nei casi fortunati). In sostanza, infettano un poveraccio con un ramsomware, e gli estorcono un riscatto per ridargli accesso ai dati. Poi lo ricattano una seconda volta per non rendergli pubblici i dati. Poi ricattano le persone coinvolte nei dati, per non pubblicare i loro dati personali. È successo in Finlandia a un gruppo di cliniche di psicoterapia. Hanno ricattato prima le cliniche, due volte, poi i pazienti per non pubblicare le note delle sedute.
Come osserva il report di Sonicwall, il fatto è che pagare il riscatto non garantisce assolutamente nulla. E il fatto che l'interlocutore sia per definizione ladro, dovrebbe dirci quanto ci si possa fidare.
Una nuova tecnica di phishing, basata sulla più vecchia tecnologia di comunicazione, è emersa in USA: ti mandano un pacco (fisico, vero), che fa finta di essere un regalo da Amazon (vi è mai capitato di chiedervi "ma questo chi me lo manda?", se avete parenti lontani sicuramente sì). Oppure potrebbe essere una busta proveniente dal ministero della salute. Dentro c'è una chiavetta USB, un falso buono omaggio e una lettera che spiega la falsa missione della chiavetta. E dentro la chiavetta USB il vero regalo…
La difesa è possibile: configurare il pc/laptop/tablet in modo che non esegua nulla da supporti rimuovibili. E non avere autorità amministrative.
Un'altra novità, non tanto diffusa ma interessante nel concetto, è il ladro di criptovalute: una app android che si fa dare il permesso di accedere al sistema e poi accede al cripto-portafoglio per prelevare i bitcoin e trasferirli all'hacker. Grazie alla non tracciabilità della criptovaluta i ladri sono al sicuro e il malcapitato è senza difesa. Ironico il nome dell'app, "Trust: Crypto & Bitcoin Wallet". Ci auguriamo che sia sparita dallo store, ma il fatto che ci sia stata è più che sufficiente. In questo specifico caso la difesa è facile, basta non possedere criptovalute.
Sempre riguardo alle criptovalute, pare che nel 2021 ci siano stati più di 20 attacchi a piattaforme di scambio di cripto valute in cui i ladri si sono appropriati di più di 10 milioni di dollari. E in quattro di questi casi il bottino ha superato i 100 milioni. Ancora una volta, perché speculare in criptovalute, quando si può divertirsi di più giocando al videopoker nel bar sotto casa? Almeno in questo caso i soldi non vanno all'estero.
Ultima considerazione, la lista delle vulnerabilità
zero-day(*). Su 11 casi, 2 sono su Apple, 2 su Google Chrome, 2 Microsoft, e 1 per WordPress, Pulse, Adobe, Kaseya, Apache.
L'ultima, Apache Log4J, è molto insidiosa in quanto consente a chiunque di accedere remotamente ai sistemi vulnerabili, senza credenziali e senza necessità di utilizzare tool complessi. E per di più quella vulnerabilità è presente in tantissimi sistemi ed apparati.
Morale: non è più vero (ed è un bel po' che non è vero) che i sistemi più vulnerabili sono quelli Microsoft…
----------------------------------------------------------------------------------------
(*) Zero-day: sono vulnerabilità che vengono scoperte e sfruttate dagli hacker prima che sia disponibile una patch. Normalmente quando una vulnerabilità viene scoperta il ricercatore che la trova informa privatamente il produttore (e spesso per questo viene pagato). Il produttore crea la patch e la pubblica, prima che si sappia quale è il problema. Gli hacker studiando la patch possono scoprire quale era la vulnerabilità, e quindi provare ad attaccare i sistemi non aggiornati. Ma la patch arriva prima dell'hacker.
Se però è l'hacker a trovare la vulnerabilità allora non avviserà il produttore, e l'attacco avverrà senza preavviso, e senza patch disponibile: zero-day.