Reagire alle vulnerabilità tempestivamente o troppo tardi: quali gli effetti?

All’inizio di marzo del 2021 il Bundesamt für Sicherheit in der Informationstechnik (BSI – Ufficio Federale per la Sicurezza Informatica), ovvero l’agenzia governativa della Repubblica federale di Germania responsabile per la sicurezza informatica, ha lanciato l’allarme per la vulnerabilità della sicurezza in Microsoft Exchange, denominata Proxylogon. La vulnerabilità consente agli autori di appropriarsi illecitamente di dati sui server coinvolti o di installare ulteriore malware. All’epoca il BSI aveva avvertito che la minaccia doveva essere valutata come estremamente critica e che era necessario adottare misure immediate.

Le porte di accesso agli hacker sono rimaste aperte troppo a lungo

Tuttavia, nonostante questo espresso invito a intervenire, molte aziende non hanno adottato per lungo tempo nessuna misura volta a rimediare a questa falla. Tre settimane dopo che la vulnerabilità è stata resa nota, lo strumento di analisi informatica cysmo® di PPI AG ha identificato circa 18.000 backdoor, le cosiddette “web shell”, installate sui server MS-Exchange, utilizzando le quali eventuali terze parti possono accedere dall’esterno ai server e prenderne il controllo. 

Circa 800 tra le aziende coinvolte sono state trovate nel marzo 2023 sui cosiddetti “elenchi di vittime” di noti gruppi di ransomware. In questa forma di cyber-attacco gli autori bloccano l’accesso ai dati fino a coinvolgere l’intero sistema. Spesso lo sblocco avviene solo dopo il pagamento di un riscatto.

“Possiamo affermare che è estremamente probabile che 200 di queste aziende siano state colpite dalla vulnerabilità Proxylogon” asserisce Jonas Schwade, Responsabile prodotto cysmo® presso PPI AG. Un particolare che lascia allibiti: la maggior parte delle 200 aziende danneggiate avrebbero avuto tempo sufficiente per reagire, dopo che era divenuta di pubblico dominio la falla nella sicurezza di Exchange, nel marzo del 2021. Come mostra l’analisi cysmo®, più della metà dei soggetti interessati è stato colpito da un effettivo attacco ransomware solo dopo più di sei mesi.

Gli assicuratori che si occupano di cyber risk dovrebbero avvisare i clienti tempestivamente

“Nonostante l’espresso avvertimento del BSI (Ufficio Federale tedesco per la Sicurezza Informatica), queste aziende hanno reagito alla vulnerabilità troppo tardi o non hanno reagito affatto. In questo modo gli hacker hanno avuto buon gioco. I danni che ne sono conseguiti probabilmente ammontano a decine di milioni di euro. E si tratta solo di una stima prudente”, afferma il manager cysmo® Schwade.

Anche le assicurazioni che si occupano di cyber risk dovrebbero seguire questi sviluppi con estrema attenzione. “Proxylogon non è certo stata la prima, ed è garantito che non sarà l’ultima vulnerabilità a colpire i server delle aziende tedesche. Per proteggere i propri clienti e quindi anche se stessi da altri danni, gli assicuratori dovrebbero seguire con attenzione le attuali situazioni minacciose e segnalare ai propri clienti i rischi cyber con tempestività”, dice Schwade.