5 lezioni che abbiamo imparato dall’attacco ransomware
È ormai risaputo che gli attacchi ransomware sono in aumento, con gravi conseguenze su tutte le componenti di un'azienda.
Nell'ambito del mio ruolo presso DXC Technology, sono responsabile della supervisione della nostra attività legata alla sicurezza e spesso mi capita di dover gestire gli attacchi che i clienti subiscono. Ma sabato 4 luglio 2020, mentre scendevo dall'auto per iniziare le vacanze con la mia famiglia, l'azienda è diventata il bersaglio di un attacco ransomware.
L'incidente ha coinvolto Xchanging, una società controllata con sede nel Regno Unito, che fornisce servizi aziendali dedicati al settore delle assicurazioni commerciali. L'autore dell'attacco ha inviato una comune immagine di un noto personaggio dei cartoni animati che compie un gesto osceno con la mano, accompagnata dal seguente messaggio: “Siamo in possesso dei vostri dati. Abbiamo crittografato i file. Se volete negoziare, possiamo discutere tramite un tool sicuro o una sessione di chat protetta”.
Sebbene la rete usata da Xchanging fosse separata dall'ambiente IT molto più ampio di DXC, eravamo comunque preoccupati del possibile impatto operativo di questo incidente sui clienti dell'azienda alla riapertura degli uffici assicurativi di Londra il lunedì successivo.
Il tempo è un fattore essenziale in un attacco ransomware, poiché una delle conseguenze concrete è il downtime. Secondo Emsisoft, in media un attacco mette fuori uso i sistemi critici per 16 giorni e si prevede che nel 2020 i costi complessivi legati al ransomware potrebbero raggiungere i 170 miliardi di dollari in tutto il mondo.
Nel caso di Xchanging, l'hacker aveva ottenuto l'accesso iniziale soltanto due giorni prima. I sistemi coinvolti erano pochi e siamo riusciti a isolare e neutralizzare rapidamente la minaccia; nessun dato è stato rubato e non abbiamo dovuto pagare il riscatto. Abbiamo immediatamente informato i nostri clienti e le autorità e domenica 5 luglio l'ambiente coinvolto è stato ripristinato. Entro la mattina del lunedì, Xchanging era di nuovo in grado di gestire le polizze assicurative.
Il tempo è un fattore essenziale in un attacco ransomware, poiché una delle conseguenze concrete è il downtime.
Suggerimenti per garantire la sicurezza
Le indagini giudiziarie sono in corso e stiamo cercando di cogliere ogni opportunità per rivedere le nostre procedure e modalità di controllo. Quasi tutto è andato come previsto. Sfortunatamente però, questo non accade in molte organizzazioni.
Abbiamo analizzato quello che ha o non ha funzionato e che cosa possiamo fare per migliorare.
Ecco cinque insegnamenti fondamentali che abbiamo ricavato:
Conoscere l'infrastruttura. È necessario concentrarsi sulla protezione attiva di base tramite l'applicazione di patch software e verificare che tutte le reti e tutti i firewall dispongano di tool di sicurezza di livello aziendale per rilevare comportamenti dannosi. Gli autori hanno avviato l'attacco utilizzando un tool per test di sicurezza disponibile al pubblico e chiamato “grayware”. Il grayware non è di per sé dannoso, ma in questo caso è stato impiegato per creare una backdoor e sfruttare Microsoft Windows per la distribuzione di una nuova variante del malware di crittografia. Pur non riuscendo a impedire l'attacco, siamo stati avvisati della presenza di anomalie e abbiamo potuto identificare velocemente la porzione di rete compromessa quando la violazione era in corso.
Coinvolgere i dirigenti senior fin dall'inizio. Il nostro team di crisi globale si è riunito per valutare la situazione, una scelta fondamentale per noi perché abbiamo coinvolto direttamente i dirigenti senior con l'obiettivo di accelerare le decisioni più importanti. Ad esempio è stato necessario bloccare l'accesso remoto, quindi ho deciso di interrompere del tutto la connettività ai sistemi di Xchanging. Sebbene possa sembrare un'operazione semplice, ha richiesto un intervento urgente dei nostri team IT nel Regno Unito e in India: coinvolgendo i dirigenti interessati, l'interruzione è avvenuta in tempi rapidi e in modo efficace. Durante le azioni di risposta, i membri del nostro team dirigente, tra cui il CEO Mike Salvino, hanno partecipato alla valutazione della situazione e ai passaggi chiave del processo decisionale. Oggi è essenziale una governance efficiente. Se manca chiarezza sulle responsabilità di ciascun ruolo, si perde tempo prezioso e si favoriscono gli hacker.
Las autoridades aconsejan encarecidamente que no se paguen rescates. De hecho, en Estados Unidos y el Reino Unido están en proceso de imponer sanciones civiles e incluso penales por realizar pagos de rescates.
Informare autorità ed esperti il prima possibile. Le forze dell'ordine e gli esperti di sicurezza possono fornire preziose informazioni su come rispondere a un attacco e consentire una rapida azione legale. Ad esempio, il ransomware era impostato per l'invio dei dati di Xchanging a domini di siti Web negli Stati Uniti, perciò ho contattato gli ufficiali di polizia che prestavano servizio nel fine settimana festivo. La sera stessa abbiamo ottenuto un'ordinanza per controllare i domini Internet degli autori dell'attacco.
Sfruttare al massimo la posizione di forza e non pagare. Le autorità consigliano vivamente di non pagare i riscatti. In effetti, gli Stati Uniti e il Regno Unito stanno procedendo in una direzione che prevede l'applicazione di sanzioni civili e penali per i pagamenti dei riscatti. Nel nostro caso, gli hacker non ci hanno chiesto subito denaro, volevano negoziare. Sapevamo di aver bloccato l'attacco, sapevamo che non erano in possesso dei nostri dati e sapevamo di avere a disposizione i backup. Eravamo in una posizione di forza, quindi non avevamo l'esigenza di trattare. Chi sceglie di trattare con i criminali informatici, non deve farlo autonomamente: è importante affidarsi a un ransom broker esperto, preferibilmente nell'ambito della preparazione della strategia di risposta agli incidenti, prima di essere stati attaccati.
Essere trasparenti. Non è obbligatorio rivelare tutti i dettagli, ma in generale è consigliabile adottare un atteggiamento basato sulla trasparenza. Abbiamo condiviso gli indicatori di compromissione (IOC) degli autori dell'attacco con centinaia di clienti. Sebbene esistano informazioni che non possono chiaramente essere rivelate (ad esempio se soggette a vincoli di riservatezza dei clienti o se previsto dalla legge), nei casi in cui è possibile la condivisione non solo agevola la protezione degli altri, ma può anche essere utile per ottenere il supporto di un vasto gruppo di colleghi, autorità e membri della community che si occupa di sicurezza. Domenica 5 luglio, per informare i mercati, abbiamo emesso un comunicato, a cui ne è seguito un altro alcune settimane dopo con cui veniva confermato il contenimento dell'emergenza.
Gli ufficiali delle forze dell'ordine con cui ho parlato in quel fine settimana erano sorpresi del fatto che l'attacco fosse già stato contenuto. La maggior parte delle segnalazioni che ricevono arrivano da CEO, poiché i team IT e di sicurezza sono estremamente occupati e le aziende di solito sono già arrivate al terzo o quarto giorno di blocco dei sistemi senza una prospettiva di risoluzione.
Sappiamo che il nostro attacco del 4 luglio avrebbe potuto andare molto peggio. La combinazione di una rapida risposta all'incidente, controlli di sicurezza, governance efficace e utilizzo di strumenti tecnici e best practice di settore ci ha garantito un vantaggio importante.
La “nuova DXC” si è dimostrata forte nella gestione della problematica e i nostri clienti sono sempre stati una priorità assoluta.
Ecco come ho trascorso le mie vacanze estive.
Rimanete aggiornati sulle minacce più recenti. Iscrivetevi per ricevere il Security Threat Intelligence Report di DXC alla pagina www.dxc.technology/threats_HBR.
Informazioni sull'autore
Mark Hughes è Senior Vice President Offerings and Strategic Partners presso DXC Technology, è responsabile dell'organizzazione e delle offerte di sicurezza di DXC a livello globale, comprese difesa informatica, infrastruttura protetta, identità digitale e protezione dei dati. In precedenza ha ricoperto il ruolo di Chief Executive presso BT Security.