La nuova frontiera del crimine informatico è l’attacco finalizzato alla doppia estorsione con la quale i criminali stanno cercando di diversificare le loro tattiche per ottenere maggiori guadagni dalle loro vittime.
Le ultime vittime illustri di questo tipo di attacco sono state Garmin (dispositivi indossabili GPS per lo sport), Luxottica e Campari.
In tutti e tre i casi, le aziende hanno visto presi di mira i loro servers e cifrato i loro dati.
Strutture di questo tipo dovrebbero essere dotate di sistemi che consentono di ripristinare i dati rapidamente, ma alla prova dei fatti si è visto che non è così: Garmin ha impiegato settimane per ripristinare un minimo di funzionalità e servizi, Luxottica ha dovuto chiudere i propri stabilimenti nel mondo per 3 giorni.
In entrambi i casi si è trattato di un attacco feroce e continuato, durato molti giorni, una sorta di vera e propria partita a scacchi tra l’attaccante ed il malcapitato che si deve difendere.
Perché si tratta di una doppia estorsione? Perché la prima avviene subito dopo la cifratura “Se paghi il riscatto ti consegno la chiave per decifrare i tuoi dati”, la seconda oltre che più subdola, segna un salto di qualità nel crimine informatico.
L’attaccante non cifra solo i dati della vittima, ma li preleva e minaccia di pubblicarli, e qui scatta la seconda estorsione, come successo con Luxottica, che ha dichiarato di non aver subìto altri danni oltre a quelli già conosciuti, per essere pubblicamente smentita dopo che i criminali hanno pubblicato alcuni Gigabyte di dati con tanto di link su Twitter.
Oltre alla beffa, se si tratta di dati personali, (nel caso di Garmin, dati personali sensibili, dal momento che includono i tracciati cardiaci delle prestazioni sportive che derivano dagli orologi sportivi) va calcolato anche il danno: è necessario notificare la violazione dei dati personali all’Autorità Garante ed a tutti gli interessati con potenziali cause risarcitorie e sanzioni amministrative.
Attacchi come questi sono finalizzati al profitto: in questo momento vengono colpite le strutture molto grandi per realizzare grandi profitti con pochi attacchi, le stesse modalità con cui sono partiti gli attacchi ransomware nel 2012 … questo significa che la criminalità, se saprà creare modelli replicabili, da generalizzare ed usare su larga scala potrà ottenere grandi ricavi colpendo anche organizzazioni molto piccole.
Come prepararsi dunque? Adesso che il telelavoro sta diventando una prassi comune è necessario considerare la sicurezza al primo posto: in una piccola o media azienda un attacco di questo genere può avere come conseguenza la chiusura per fallimento.
Per ogni minaccia c’è la corretta contromisura, prima di attivare lo smart working è bene dotarsi di firewall (meglio se intelligenti) VPN, antivirus e sistemi antintrusione per difendersi dalle minacce esterne ed avere un solido piano di backup e disaster recovery per avere la possibilità di ripristinare tempestivamente i dati (ed i servizi) come prescritto dal GDPR, ed evitare accuratamente le scorciatoie come i sistemi desktop remoto.