Ransomware e cyber attacchi hanno registrato una crescita esponenziale negli ultimi dodici mesi. Già nel 2020 l’FBI aveva rilevato un aumento del 400% degli attacchi informatici, con attacchi ransomware che non sono solo diventati più frequenti, ma anche più precisi, accurati e metodici.
Ma in che modo il ransomware si è evoluto da minaccia irrilevante a incubo di tutte le aziende? E come possono le aziende difendersi da attacchi futuri?
Indice degli argomenti
Il polimorfismo dietro l’evoluzione del ransomware
Il boom del ransomware nasce dalla convergenza tra diverse realtà e strumenti illeciti in un forum dove mettere il tutto a fattor comune, che si tratti di ladri di carte di credito, pacchetti di trojan bancari, servizi di spam, exploit kit o qualsiasi altra cosa di cui un hacker abbia bisogno.
I cyber criminali si sono riuniti nelle zone d’ombra del Dark Web e sono cresciuti lì, favorendo la maturazione del malware da semplice parassita a un efficace meccanismo di monetizzazione.
Il polimorfismo si è rivelato fondamentale nell’ascesa del ransomware a partire dal 2015, e ancora oggi qualsiasi attacco sfrutta quasi certamente una firma hash precedentemente sconosciuta.
Durante quegli anni ne sono state generate nuove varietà in stile catena di montaggio, insieme a centinaia di server di comando e controllo (C2) al giorno. Non appena un dominio o un URL veniva identificato e bloccato, altri arrivavano a prendere il suo posto.
Questa combinazione di malware e infrastrutture era letteralmente usa e getta, e il tutto veniva ripetuto il giorno dopo. Per distribuire il malware, i servizi di spam for hire e gli exploit kit venivano affittati o messi all’asta sul Dark Web per infettare in modo casuale gli individui più comuni, con un riscatto molto basso.
Oggi i criminali hanno trasformato il ransomware in una vera e propria arte. Le tattiche spray and pray non esistono più, perché l’hacker preferisce un approccio più mirato: identificare il bersaglio perfetto e dargli la caccia per tutto il tempo necessario. E chi può biasimarli? Un attacco mirato e meticoloso, se ha successo, vale più di quanto avrebbero mai potuto sognare con un approccio casuale.
Ransomware: suggerimenti per i responsabili IT
Per i responsabili IT che cercano di rafforzare le difese contro queste minacce, uno dei suggerimenti basilari, oltre alla prevenzione, è quello di aumentare la resilienza. Ed avere i backup in formato immutabile è essenziale per impedire ai bad guys di accedere e crittografarli come parte fondamentale del loro attacco.
Il ransomware remediation plan
Oltre ai backup immutabili, sono necessarie opzioni di recupero point-in-time, staging e ripristino. Il recupero istantaneo dei server permette di avviare le catene di dipendenza delle applicazioni. Nel caso di un attacco, l’identificazione rapida e automatizzata dei sistemi colpiti e un piano di recupero pre-definito, rendono il ritorno all’operatività un processo rapido e semplice (iniziamolo a chiamare con il giusto nome: ransomware remediation plan).
L’assicurazione per il riscatto non basta
Alcune organizzazioni cercano di proteggersi da tali attacchi stipulando un’assicurazione per il riscatto. È un approccio però non adeguato.
Nella migliore delle ipotesi questo non è economicamente sostenibile, nella peggiore delle ipotesi scoraggia l’attenzione alla sicurezza informatica, con le aziende che preferiscono accantonare denaro per ottenere nuovamente accesso ai propri dati dopo un attacco subito, piuttosto che investire in modo proattivo nelle proprie difese informatiche.
È come se si stipulasse una polizza assicurativa per la casa, per poi lasciare aperta la porta sul retro.
Allo stesso modo, stipulare un’assicurazione ransomware senza usare precauzioni di sicurezza preventive lascia le aziende ugualmente vulnerabili
Pianificare una difesa proattiva
Oltre a proteggere il loro backup, le aziende dovrebbero creare una strategia di difesa informatica più ampia che consenta loro di prevenire e rilevare gli attacchi e di ripristinare rapidamente utilizzando tali backup come ultima risorsa.
Per garantire questo, i team di sicurezza devono pianificare una difesa proattiva agli attacchi e investire negli strumenti giusti per aiutarli a prevenire, rilevare e recuperare il più rapidamente possibile.
Il machine learning come arma di difesa dal ransomware
Per mantenere il passo con attacchi ransomware sempre più sofisticati, le organizzazioni che intendono creare una strategia di backup e recupero veramente olistica dovrebbero anche sfruttare il machine learning.
È una tecnologia che può monitorare il comportamento di filesystem e metadati per rilevare ransomware e altre attività sospette, mentre si adatta continuamente per stare al passo con il panorama delle minacce in continua evoluzione.
Oltre a rafforzare qualsiasi difesa, una soluzione completa di machine learning è anche in grado di mappare i cambiamenti ambientali in tempo reale, il che significa che i team IT non devono più sorvegliare l’intero ambiente per determinare quali applicazioni o file siano stati colpiti da una violazione. In caso di un attacco andato a buon fine, le capacità di machine learning consentono alle organizzazioni di tornare rapidamente indietro all’ultimo stato non compromesso, eliminando la necessità di complessi processi di ripristino manuale che molti leader IT continuano a intraprendere, rafforzando ulteriormente la resilienza del ransomware.
Per fare un paragone classico, se i dati sono i nuovi gioielli della corona, le infrastrutture e la resilienza di un’organizzazione sono il moderno fossato e il ponte levatoio che servono alla difesa.
A differenza dei castelli di un tempo, tuttavia, un perimetro ben definito non è più sufficiente. Il Cloud, il mobile, il SaaS e altri dispositivi IoT hanno di fatto messo fine al concetto tradizionale di perimetro.
Conclusioni
Le aziende moderne devono costruire una strategia di difesa che combini la sicurezza a più livelli, una maggiore resilienza informatica, un backup robusto e immutabile e un piano di ripristino post violazione automatizzato che riduca radicalmente i danni dell’attacco.
Una soluzione robusta può funzionare con qualsiasi configurazione – sia essa on-premise, Edge o Cloud – per rilevare le discrepanze, analizzare le minacce e accelerare il ripristino in pochi clic. Idealmente, questo dovrebbe essere completato da una piattaforma SaaS che sia in grado di organizzare e proteggere i dati attraverso un intero ambiente, presentandoli in modo organizzato e azionabile che renda il rilevamento e il recupero il più semplice possibile.
Solo utilizzando queste informazioni, strategie, strumenti e capacità per riprendersi rapidamente da un attacco – e non basandosi su una semplice assicurazione ransomware – le aziende possono creare un approccio olistico alla prevenzione, al backup e al recupero ed essere nella migliore posizione possibile per sopravvivere a qualsiasi attacco malevolo.