Il 7 marzo 2022 l’FBI ha diramato un allarme sulla pericolosità di RagnarLocker. Il Bureau (come lo chiamano negli Stati Uniti) ha spiegato che lungo tutto gennaio il ransomware ha infettato 52 entità in 10 infrastrutture critiche nel Paese. Gli ambiti interessati sono stati le manifatture, l’energica, i servizi finanziari, l’Information Technology e le istituzioni governative.
L’allarme dell’FBI ha destato impressione, e da più parti è arrivato un messaggio preciso: se questi sono i termini, RagnarLocker è il ransomware più pericoloso in circolazione. Ma è davvero così?
«Ho i miei dubbi», risponde Raffaele Fazio (SOC HWG). «Li ho a cominciare dall’impostazione: è più o meno inutile cercare di capire se un ransomware sia più pericoloso di altri. Ma se proprio vogliamo provarci, io penso che la minaccia maggiore sia rappresentata da Lockbit 2.0 e Conti».
Lockbit2.0 e Conti: perché temerli?
Le ragioni che spingono Fazio a citare proprio questi due ransomware sono molto chiare: «Secondo una recente analisi, Lockbit, che gira dal 2019, ora nella sua versione 2.0, è il più impattante sul fronte della rapidità a criptare i dati: in 5 minuti rende inutilizzabili più di 50 Gigabyte. E poi è selfspreader, cioè si auto propaga senza che ci sia bisogno di qualcuno che lo guidi. Conti, in rete dal 2020, invece lo è per contesto geopolitico in cui siamo immersi ora».
Quest’ultimo ransomware prende il nome dal gruppo russo che lo ha elaborato; capire la delicatezza del contesto è facile, e lo è ancor di più dopo che lo stesso gruppo ha diramato un messaggio di appoggio totale alla Russia nella guerra contro l’Ucraina. In altre parole, è un’aperta dichiarazione di ostilità, sul fronte del cyberwarfare, verso le aziende di quelle nazioni che si schiereranno con Mosca.
«In un momento storico preoccupante, Conti rappresenta una minaccia molto forte - prosegue Fazio -. Non punta solo a lanciare ransomware, quindi a criptare o esfiltrare dati per chiedere un riscatto. Punta anche ad impattare secondo logiche politiche il mondo digitale».
Il lavoro a monte
Le premesse comunque non cambiano: è inutile ragionare sul grado di pericolosità, è il concetto stesso di ransomware che deve far paura. Il caso recente di Trenitalia, hackerata da Hive, è sintomatico: si tratta di un ransomware su piazza da due anni, aggiornato ma che comunque non è l’ultimo “ritrovato tecnologico” del settore. Eppure. ha messo in ginocchio il sistema di prenotazione e acquisto dei biglietti delle ferrovie di un intero Paese.
«Capire da chi sono stato impattato, se da Hive, da Lockbit o da un altro, mi aiuta a cercare una soluzione: magari esiste un decripter che mi permette di liberare i dati - spiega Fazio -. Posso dire che, nei casi citati, non ci sono e quindi nulla cambia. La cosa importante, però, è il ragionamento a monte, su come è disegnata l’infrastruttura di rete».
Guardare a monte è parte di quella prevenzione che, come si dice da sempre, è molto più efficace della cura quando si subisce il colpo. In questo caso, prevenire significa anche avere una struttura compartimentata, perché limita i movimenti dell’attaccante. In pratica, si segregano porzioni di rete in modo che non abbiano contatti tra di loro: in caso di attacco, se ne può salvare una a scapito dell’altra.
Ma se due porzioni non si parlano, non è un problema?
«Fino a un certo punto - dice Fazio -. Esistono porzioni obbligate ad avere reciproca visibilità, a parlarsi. Ma molte non ne hanno bisogno, non necessitano di quello che definiamo il traffico est-ovest, e cioè un corridoio orizzontale che unisce le singole porzioni. A confermare questa inutilità è stato l’effetto dell’alert diramato dal Csirt il 5 marzo, su possibili attacchi a entità governative, anche da noi, per il giorno dopo. In seguito, molte organizzazioni, anche tra quelle con cui lavoriamo, hanno deciso di attuare un revamping, cioè una riconfigurazione della rete secondo standard attuali di cyber security, con l’obiettivo di segmentare le reti per limitarne l’interconnessione allo stretto necessario. Applicando, in pratica, lo stesso concetto che si applica con gli utenti: quello del minor privilegio possibile».
