“Il ransomware è stato una benedizione, in un certo senso, perché ha imposto miglioramenti nella sicurezza informatica”: l’analisi di un dirigente di Amazon
Un nuovo studio ha lanciato l'allarme questa settimana: il settore finanziario latinoamericano è ancora vittima di un tipo specifico di attacco informatico: il ransomware . Si tratta di un tipo di programma dannoso ( malware ) che crittografa le informazioni rendendole inaccessibili ai proprietari, per poi richiedere un riscatto in cambio. È stato un vero grattacapo per aziende, stati ed enti in tutto il mondo negli ultimi cinque anni.
Il ransomware ha una storia. Sebbene le sue origini risalgano alla fine degli anni '80, è diventato un'attività criminale informatica solo nell'ultimo decennio. È così prolifico che questi gruppi di ransomware hanno membri dedicati alla crittografia di informazioni, dati finanziari e persino a quello che chiamano "supporto tecnico": una chat in cui si aprono trattative per, nel migliore dei casi per la vittima, ridurre la cifra richiesta. Hanno persino creato marchi con nomi noti nel settore.
Nonostante diverse importanti interruzioni operative nel 2024, come quelle dei gruppi LockBit e BlackCat (ALPHV) , rimane una minaccia attiva. Sebbene sia scomparso dai riflettori dei media, il 2025 ha già visto diversi casi, alcuni circolati sui social media e altri finiti sui giornali.
Ma, come ogni crisi, il ransomware è stato anche un’opportunità: “Per certi versi, il ransomware è stato una benedizione , perché ha costretto gli utenti a praticare una migliore igiene informatica ”.
Sono Mark Ryland , a capo di un team di esperti di sicurezza cloud presso Amazon Web Services (AWS), la divisione cloud computing di Amazon . È vice del "CISO", una posizione che grandi aziende e governi stanno iniziando a prendere in considerazione per le loro operazioni: il Chief Information Security Officer, ovvero la persona che risponde a un incidente di sicurezza informatica, ma è anche responsabile della progettazione delle policy di accesso, della gestione degli account e delle pratiche che in ultima analisi contribuiscono alla sicurezza di un'azienda.
Ed è proprio questa mappa a fare la differenza quando si subisce un attacco o si deve reagire: capire quali misure adottare per prevenire un ransomware, avere ben chiaro che bisogna essere preparati quando si verifica e avere una politica di "sicurezza fin dalla progettazione", come garantire che un sistema non consenta di scegliere "1234" come password.
Ryland ha parlato di tutto questo con Clarín al re:Inforce , l'evento AWS incentrato sulla sicurezza informatica tenutosi a Philadelphia, negli Stati Uniti, per spiegare cosa sta succedendo con le attuali tendenze negli attacchi informatici.
Ransomware: crittografia dei dati ed estorsione. Foto: Shutterstock
─Come fai a stare al passo con i progressi tecnologici e con la velocità con cui si verificano?
─Penso che se hai una curiosità innata, ti spinga a cercare di capire un po' meglio cosa sta succedendo. Gran parte del mio lavoro consiste nel parlare di tecnologia a un pubblico non tecnico, quindi devo rimanere aggiornato sui nuovi strumenti utilizzati per sentirmi a mio agio nel riassumere o semplificare le idee. E lo dico perché ci sono semplificazioni fuorvianti e altre valide. È anche un po' un'arte.
─Non sono forse sopravvalutate anche le tendenze attuali, come l'intelligenza artificiale?
─Il ciclo di hype di Gartner è sempre un fattore da considerare quando esce una nuova tecnologia. Tendo ad essere piuttosto scettico nei confronti di qualsiasi tecnologia che venga venduta come la soluzione a tutti i nostri problemi. In realtà, sto divagando un po', ma ero scettico sulla blockchain . Non avrei mai pensato che avrebbe risolto tutto ciò che dicevano avrebbe risolto, come il tracciamento delle spedizioni di merci da un capo all'altro del Paese.
─In realtà sì, perché avevamo già database che funzionavano benissimo per quello. La blockchain non era minimamente all'altezza delle aspettative . È utile per le criptovalute, le valute digitali, ma non molto di più. Quasi tutti gli usi oltre a quello erano insensati, e ricordo che IBM, Accenture, Gartner parlavano tutti di blockchain e vendevano progetti di consulenza alle aziende per usare la blockchain per fare cose che avrebbero potuto fare con un database tradizionale.
─Negli ultimi anni, il ransomware è stato l'argomento principale nel settore della sicurezza informatica. Qual è la situazione attuale?
─I rapporti indicano che ha smesso di crescere come tendenza, ma non è affatto un problema risolto . L'opinione generale – e i numeri – indicano che almeno non sta aumentando.
─Cosa pensi che il ransomware abbia insegnato al settore?
─Vorrei dire una cosa leggermente controversa. In un certo senso, il ransomware è stato una benedizione, perché ha costretto gli utenti a praticare una migliore igiene informatica . Il problema di fondo è che, in realtà, per molti anni abbiamo lavorato con sistemi facili da hackerare; la differenza è che prima non esisteva un'industria del crimine informatico che potesse monetizzarlo. Un aggressore poteva entrare, ma perché farlo se non c'era modo di monetizzarlo?
─Ma pensi che sia cambiato qualcosa dopo l'arrivo del ransomware?
─Beh, penso che sia stato un terribile rito di passaggio, un tributo che l'industria ha dovuto pagare . È stato doloroso, ma credo che, in generale, le aziende siano diventate più forti migliorando le basi, lavorando sulla formazione con test interni sul phishing, rafforzando perimetri e firewall e realizzando backup migliori. Sempre più aziende ed enti governativi si sono resi conto del problema e, ad esempio, hanno iniziato a limitare l'accesso degli utenti in modo che non avessero il permesso di eliminare un backup, nemmeno gli amministratori più privilegiati.
─Quindi, paradossalmente, ha avuto un effetto positivo sul settore.
─E credo che ci sia maggiore consapevolezza. Anche i dirigenti aziendali hanno iniziato a capire che la sicurezza informatica non è un'opzione. CEO e dirigenti senior hanno iniziato a chiedersi: "Cosa facciamo con il ransomware?" . Le aziende non sono mai state brave a patchare i sistemi (aggiornarli) e a formare gli utenti. E dopo i casi di ransomware, le cose hanno iniziato a migliorare. Ammetto che in un modo strano, ma le crisi generate dal ransomware hanno anche creato opportunità per migliorare pratiche e sistemi.
BlackCat Ransomware, uno dei gruppi di criminali informatici più noti al mondo. Illustrazione di Midjourney (IA)
─ Due anni fa abbiamo discusso di come gli aggressori utilizzino l'infrastruttura AWS per ospitare campagne di phishing. Come si è evoluto questo problema e siete riusciti a risolverlo?
─Beh, questo è ancora un problema, ma siamo migliorati nel rilevare e bloccare questi account. È qui che entrano in gioco l'intelligenza artificiale e il machine learning , aiutandoci a distinguere meglio tra campagne legittime e dannose. Il pericolo è sempre presente: posso avere un negozio di biciclette e voler inviare email ai miei clienti con le ultime novità, ma c'è sempre la possibilità che il mio account venga compromesso e che la mia piattaforma venga utilizzata impropriamente per inviare spam.
─C'è una filosofia di "progettazione sicura" promossa dall'industria. Cosa significa?
─Nel contesto attuale, utilizzare tecnologie che già includono standard di sicurezza integrati è, idealmente, l'opzione migliore. Pensatela in questo modo: se fossi una startup che produce, ad esempio, un tostapane intelligente, molto probabilmente non vorrei – o non potrei – investire molto nella sicurezza informatica. Ma se un fornitore mi offre una soluzione che è già sicura in base alla progettazione, la userei. Potrei persino pubblicizzarla: "aggiornamenti automatici", "password complesse", ecc. Questo aumenta la sicurezza complessiva; è a questo che si riferisce la sicurezza in base alla progettazione. Adottare questa mentalità vi manterrà sempre un passo avanti in un ecosistema in continua evoluzione.
Usi illeciti dell'intelligenza artificiale. Foto: Shutterstock
─Hai detto in precedenza di essere scettico sugli usi e la portata della blockchain. Ti è successo qualcosa di simile con l'intelligenza artificiale?
─All'inizio, sì, mi è sembrato che ci sia stato un forte "rebranding" di qualcosa che già conoscevamo. È sicuramente una tecnologia che porta qualcosa di nuovo, e ne stiamo appena iniziando a vedere le applicazioni; non è lo stesso caso della blockchain di cui ti parlavo. Ma devo distinguere tra ciò che è utile e ciò che non lo è. Questa settimana ho incontrato i regolatori governativi a Washington, e dico sempre loro di abbassare un po' le aspettative riguardo a ciò che si aspettano dall'IA. Avrà sicuramente un grande impatto sul nostro lavoro , ma penso che le persone debbano comunque usare il buon senso quando decidono se un output è utile o meno.
─Beh, facciamo un esempio. Se chiedo a un'IA di scrivermi una proposta di marketing, ma non ho mai lavorato in quel campo in vita mia, è improbabile che trovi qualche utilità per ciò che l'IA può offrirmi. Se non riesco a giudicare a cosa serva, potremmo iniziare a rimanere senza esperti in grado di decidere se qualcosa sia utile o meno. C'è un rischio nell'usarla.
─Stephen Schmidt, responsabile della sicurezza di Amazon, ha dichiarato la scorsa settimana in un'altra conferenza che i criminali informatici stanno usando l'intelligenza artificiale per migliorare i loro attacchi. "Non ci sono bot che si attaccano a vicenda", ha affermato . È corretto?
─È un buon riassunto della situazione, sì. Aggiungerei che anche chi difende i sistemi ne sta traendo vantaggio per programmare, rivedere il codice, eseguire test di penetrazione del sistema e migliorare i tempi di risposta. L'intelligenza artificiale è anche molto utile per ordinare le informazioni già in vostro possesso, aiutandovi a individuare schemi o forme di attacco che potreste non aver individuato. L'intelligenza artificiale è efficace nel catturare la semantica , ed è per questo che è molto utile non solo per gli aggressori, ma anche per chi difende i sistemi. Se usata bene, è uno strumento molto potente.
─L'intelligenza artificiale è utile per l'analisi di malware (virus)?
─Finché viene utilizzato da un esperto , sì . Questa è la risposta. I nostri team lo stanno utilizzando per analizzare famiglie di malware simili; aiuta a comprendere somiglianze e differenze. E onestamente, stanno ottenendo buoni risultati.
─Oggi nel settore si tende a parlare di " agenti ", ovvero di intelligenza artificiale che, oltre ad analizzare, "prende decisioni". Dove si colloca la sicurezza informatica in questa discussione?
─Questo è il passo successivo nell'utilizzo dell'IA nell'analisi delle minacce: agire. Se programmo un'IA per l'analisi, posso poi chiederle di correggere un bug (un errore nel sistema).
─È in corso. Un esempio concreto è una competizione organizzata dalla DARPA, la Defense Advanced Research Projects Agency statunitense. Stanno promuovendo una competizione che sarà annunciata ufficialmente al Black Hat , con premi significativi (il primo classificato, ad esempio, si aggiudicherà mezzo milione di dollari). L'obiettivo è sviluppare un sistema in grado di analizzare progetti open source, rilevare vulnerabilità e correggerle automaticamente. La cosa interessante è che, una volta che i team presentano il loro sistema, la DARPA lo testa con progetti diversi da quelli utilizzati durante l'addestramento per valutarne le capacità.
─Quindi è adatto per carichi di lavoro pesanti.
─Sicuramente, ad esempio per pianificare attività noiose, effettuare aggiornamenti automatici, ecc. Fa risparmiare tempo.
─Quale aspetto negativo o problematico vedi in questi sviluppi dell'intelligenza artificiale?
─C'è un lato oscuro, non c'è dubbio. Ad esempio, le truffe di phishing stanno diventando molto più sofisticate . Uno dei fenomeni che più cattura la mia attenzione è il cosiddetto " pig butchering ": truffe prolungate in cui gli aggressori si spacciano per persone affidabili per ottenere accesso a denaro o informazioni. Questo tipo di inganno sta crescendo a un ritmo allarmante e, naturalmente, è alimentato da strumenti di intelligenza artificiale. Molti di questi attori operano da luoghi come la Malesia o le Filippine, in condizioni di quasi schiavitù, e grazie all'intelligenza artificiale possono comunicare perfettamente in inglese, persino simulando voci false e riproducendole.
─La clonazione vocale e i deepfake sono problemi che sembrano non avere soluzione.
─Sì, senza dubbio, oggi è già possibile ricevere un messaggio vocale che suona esattamente come quello del tuo capo, che ti chiede di trasferire denaro o di accedere a determinati sistemi. E se non sei preparato a sospettare tutto questo , potresti facilmente cadere in questa truffa. Ecco perché è essenziale che gli utenti ricevano una formazione molto più avanzata.
─Penso che non basti dire "non cliccare su link sospetti". Abbiamo bisogno di una formazione tramite simulazione , anche in realtà virtuale se necessario, in modo che le persone sappiano di dover sempre confermare tramite un altro canale qualsiasi richiesta che implichi la modifica dello stato di un sistema o il trasferimento di denaro.
─Quale consiglio daresti all'utente medio per mantenere una corretta igiene informatica?
─Anche se ricevi un messaggio da qualcuno che sembra esattamente qualcuno che conosci, che sia un collega, il tuo capo o tua madre, pensaci sempre due volte e controlla altrove prima di agire: prima di cliccare su "Accetta", prima di aprire un link o anche prima di aggiungere un nuovo destinatario alla tua rubrica e cliccare su "Trasferisci". Esita sempre.
Clarin
