Il più grande cyber attacco della storia...futura

attacco2

 

Nella mitologia cinese il Bashe è un serpente gigante che è in grado di inghiottire interi elefanti ed è proprio il Bashe che il Cyber Risk Management Project (CyRiM) dell’Università tecnologica Nanyang di Singapore, in collaborazione con i Lloyd’s, ha scelto come simbolo per intitolare il proprio report: “Bashe attack: Global infection by contagious malware” (1). Una chiara metafora di un malware che coinvolge centinaia di migliaia di aziende. La pubblicazione del report è avvenuta nel mese di Gennaio 2019 ed è stato realizzato in collaborazione con esperti accademici tra cui il centro per gli studi sul rischio dell’Università di Cambridge (CCRS).

I ricercatori coinvolti in questo progetto hanno sviluppato e analizzato un modello previsionale. Lo scenario ipotizzato, strutturato in diverse fasi, ruota intorno ad un’organizzazione criminale stabilita nel sud-est asiatico che decida di entrare nel mercato nero del cyber crime investendo tutto il capitale necessario per la formazione di un team di professionisti altamente qualificati ed esperti al fine di progettare il più grande cyber attacco globale della storia. Dopo una prima fase di recruitment nella quale avviene la composizione del team e una seconda di ricerca e sviluppo nella quale i membri del team, dopo avere concordato che il malware debba essere di tipo ransomware (Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione), collaborano alla programmazione del software evitando i difetti dei precedenti attacchi globali, si passa alla terza fase, quella operativa, riguardante la sua diffusione.

Il meccanismo è molto semplice: il malware viene inviato alle aziende attraverso una e-mail che sembra proveniente dal dipartimento Payroll dell’azienda stessa di modo che quando il singolo dipendente apre l’allegato, il ransomware venga scaricato ed avviato nel giro di pochi minuti. Il risultato è che l’accesso ai dati di tutti i computer che condividono la rete con il computer del dipendente è criptato e a ciascuno di questi appare un messaggio di riscatto per $700; inoltre, il ransomware inoltra l’e-mail a tutti i contatti presenti nei computer della rete, garantendo così la propagazione nelle reti dell’azienda e verso l’esterno. In sole 24 ore il ransomware ha crittografato i dati di quasi 30 milioni di dispositivi in tutto il mondo. A questo punto ogni azienda che ha subito il cyber attacco deve stabilire una linea di condotta scegliendo attentamente tra due possibilità: resettare/sostituire ogni dispositivo infettato dal ransomware oppure pagare il riscatto richiesto; a tal proposito, secondo il modello sviluppato dai ricercatori la probabilità di pagamento del riscatto è inversamente proporzionale alla dimensione dell'azienda coinvolta: le aziende grandi che hanno tutta la capacità economica per gestire cyber attacchi globali, sono le più avverse a pagare il riscatto a causa del potenziale danno alla reputazione e per motivi di sicurezza finanziaria, mentre le aziende piccole si trovano costrette a pagare il riscatto perché i tempi tecnici di un fermo attività lo impongono.

Attraverso il CCRS Historical Malware Dataset and Malware taxonomy, un archivio del CCRS che contiene i dati di cyber attacchi avvenuti tra il 1988 e il 2018, ricercatori del CCRS hanno definito tre varianti dello scenario. In ordine di gravità crescente, le tre varianti S1, S2 e X1 sono riportate nella figura seguente assieme alle loro caratteristiche di base: superficie di attacco (attack surface), range dei tassi di infezione (infection rates) e payload del ransomware.

1art

La superficie di attacco del ransomware è definita secondo due ipotesi: nello scenario S1 vengono colpiti di dispositivi che utilizzano il sistema A, installato sul 43.1% dei dispositivi globali. Nel secondo e nel terzo scenario viene anche coinvolto il sistema B, per un totale di 97,3% di dispositivi coinvolti nel mondo. Il tasso di infezione è la percentuale delle aziende tra quelle interessate all’attacco che patiscono delle conseguenze. Infine, nell’ultima colonna c’è il payload del ransomware e nella variante X1 il malware in aggiunta alle sue funzioni di base cancella i dati di backup della rete infettata.

Passiamo così all’analisi delle perdite economiche stimate dal modello per ogni variante dello scenario sia su scala globale che regionale, e in quest’ultimo caso le quattro considerate sono gli Stati Uniti (US), l’Europa (Russia inclusa), l’Asia e il resto del mondo (RoW). Lo schema dettagliato delle perdite economiche globali, che distingue tra perdite dirette ed indirette, è riportato nella figura seguente dalla quale emerge chiaramente che il principale fattore di perdita economica è l'interruzione dell'attività, cioè la voce “Productivity and comsumption loss”.

2art

Rimanendo ad un livello di analisi globale, si può esaminare la proiezione dello schema precedente sull’elenco dei settori lavorativi ed il grafico riportato in basso, valido nella variante di scenario S1, afferma che i settori di lavoro maggiormente colpiti dal cyber attacco sono la vendita al dettaglio, l’assistenza sanitaria e la manifattura.

 

3art

 

Il quadro non è ancora completo: nell’ultima analisi dello scenario si inserisce la componente assicurativa. Viene distinto tra le aziende che sono direttamente coinvolte nel cyber attacco in quanto sono state infettate dal ransomware (un’assunzione del modello è che il 9% di queste aziende abbia un’assicurazione e si rivolga ad essa) e le aziende che non sono state infettate dal ransomware ma che subiscono in ogni caso un impatto negativo a causa della connessione nella catena di distribuzione, ed altre aziende, ad esempio IT service providers, che sono accusate dalle aziende vittime dell’attacco di essere responsabili della trasmissione del ransomware. Non è sorprendente che valga la stessa osservazione fatta nel caso dello schema delle perdite economiche globali: il principale fattore di perdita è l'interruzione dell'attività.

5art

Per chiudere riportiamo il pensiero degli autori: “Lo scenario mette in discussione le ipotesi di un attacco informatico globale (…) e invia un messaggio chiaro alle organizzazioni - singole entità, associazioni industriali, mercati e responsabili delle politiche e cioè che devono migliorare la loro consapevolezza e valutazione di questa minaccia”.

Bibliografia:

(1) Cambridge Centre for Risk Studies, Lloyd’s of London and Nanyang Technological University, Bashe attack: Global infection by contagious malware, 2019.Il report è liberamente scaricabile qui:

https://www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/bashe-attack