Dopo alcuni mesi “neri” anche per il nostro paese, la situazione malware in Italia sembra essersi placata nel corso dell’ultimo mese, sia su Windows che su Mac.
Secondo il Global Threat Impact Index, l’Italia scende di quindici posizioni nella classifica dei paesi più attaccati al mondo piazzandosi al 50esimo posto. Se si considerano le minacce, Fireball, il malware cinese che prende il controllo dei browser, ha colpito anche da noi aggiudicandosi il primo posto nella classifica dei malware più diffusi. Al secondo posto si è piazzato Roughted, un tipo di malvertising presente su larga scala che viene utilizzato per diffondere siti web dannosi e payload come truffe, adware, exploit kit e ransomware, mentre al terzo posto appare Conficker, warm che punta ai sistemi operativi Windows. Gli utenti di Facebook e Skype sono stati tra le prime vittime di questo malware che da tempo compare in classifica. WannaCry, il ransomware che ha sconvolto mezzo mondo lo scorso mese, è fermo invece alla posizione numero quattro nella classifica italiana dei 10 malware più diffusi.
Nello specifico, Fireball attacca i browser di destinazione e li trasforma in zombie, ottenendo la possibilità di compiere una vasta gamma di azioni malevole, tra cui il rilascio di ulteriori malware o il furto di credenziali. Al contrario, RoughTed è una campagna di malvertising su larga scala, mentre WannaCry sfrutta un exploit di Windows SMB chiamato EternalBlue capace di diffondersi all’interno delle reti e tra le reti. WannaCry è diventato famoso a maggio per avere bloccato un larghissimo numero di reti e dispositivi in tutto il mondo.
Per quanto riguarda il mobile, Hummingbad ritorna al primo posto della classifica, marcato stretto da Hiddad e Triada:
I tre malware per dispositivi mobili più diffusi nel mese di maggio:
1. Hummingbad – malware Android che stabilisce un rootkit persistente sui dispositivi, installa applicazioni fraudolente, e, con poche modifiche, può consentire altre attività malevole, come l’installazione di key-logger, il furto di credenziali e riesce a scavalcare la crittografia utilizzata dalle aziende.
2. Hiddad – malware Android che riconfeziona app legali e poi le consegna a un negozio. La sua funzione principale è mostrare adv, ma è anche in grado di trovare un accesso a informazioni di sicurezza fondamentali presenti nel sistema operativo, consentendo agli hacker di ottenere dati sensibili degli utenti.
3. Triada – malware modulare per Android che sferra l’attacco tramite una backdoor che concede privilegi amministrativi a malware scaricati, dato che aiuta ad integrarsi nei processi di sistema. Triada è anche stato identificato come URL di tipo spoofing – cioè che impiega in varie maniere la falsificazione dell’identità
Il database di ThreatCloud contiene più di 250 milioni di indirizzi, che vengono analizzati per scoprire bot, più di 11 milioni di firme di malware e più di 5 milioni e cinquecentomila siti web infetti, e ogni giorno individua milioni di varianti di malware.
Ma le aziende devono stare attente anche ai nuovi regolamenti europei. L’anno prossimo, infatti entrerà in vigore il GPDR e un attacco simile a quello di WannaCry rischia di penalizzare ancora di più le aziende che non si faranno trovare conformi al nuovo regolamento. In pratica, molte aziende cadute vittima di WannaCry potrebbero incorrere anche in sanzioni punitive se la stessa tipologia di attacco accadesse fra un anno.
Il General Data Protection Regulation (GDPR) sta arrivando infatti e porta con sé un nuovo livello di urgenza per le aziende, che devono considerare una seria revisione delle loro strategie di cybersecurity dopo WannaCry. A una prima occhiata sembrerebbe poco opportuno collegare un attacco ransomware al nuovo regolamento europeo per la protezione dati, le aziende colpite da WannaCry infatti si sono ritrovate i dati criptati e non rubati. Ad ogni modo, un’esamina più approfondita del GDPR ci permette ulteriori considerazioni.
L’articolo 4.12 cita: “Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.
In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.
E l’articolo 5.1 precisa: “I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.
E ancora, l’articolo 32 afferma che l’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione “lo stato dell’arte” per “implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio”. E aggiunge: “Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.
Sappiamo che le aziende sono state colpite da WannaCry fallendo nel non patchare una vulnerabilità Windows SMB (CVE-2017-0144). Questo ha permesso agli attaccanti di liberare un file ransomware nei sistemi infettati e crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Ovviamente, tra questi file c’erano anche quelli dei clienti che devono essere regolati dal GDPR.
Cosa significa tutto questo con il nuovo regolamento? Innanzitutto che ogni azienda che gestisce dati di clienti che sono stati colpiti da WannaCry potrebbe essere colpevole di aver permesso “il trattamento non autorizzato o illegale” di questi dati. Tecnicamente è stata subita anche una violazione di dati personali, nonostante nessun dato sia stato rubato, in virtù del fatto che questi dati sono stati persi o distrutti nell’attacco ransomware. Ancora più grave, nel momento in cui una patch ufficiale di Microsoft era a disposizione settimane prima dell’attacco, le organizzazioni colpite hanno fallito nel prendere adeguate misure di sicurezza. Inoltre, le tecnologie di virtual patching esistono appunto per proteggere i sistemi non patchati o non supportati.
Se l’attacco di WannaCry fosse avvenuto un anno dopo, le aziende sarebbero responsabili anche di non essere compliance con i principi del GDPR. Le multe in questo caso potrebbero raggiungere il 4% del fatturato annuo o i 20 milioni di euro.