Gli attacchi ransomware evolvono e diventano più dannosi fino a spingersi oltre la crittografia dei dati, di per sé già grave soprattutto se la vittima non ha attuato una difesa preventiva e un backup costante.
Dai ransomware a singola estorsione si è giunti a quelli a estorsione quadrupla, laddove l’aumento delle capacità estorsive rappresenta l’evoluzione dei ransomware stessi.
Per capire come stanno evolvendo i ransomware e comprendere quali tecniche e quali tecnologie adottare è utile approfondirne la genesi, la diffusione e una strategia per attuare la migliore difesa possibile.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
La diffusione dei ransomware
La diffusione dei ransomware è sottostimata e se ne ha una percezione errata: basti pensare che tra il 2017 e il 2021 i danni che hanno arrecato, tra ricatti e fermi macchina, sono quadruplicati passando da 5 miliardi a 20 miliardi di dollari.
Oltre al costo che rappresentano, le aziende italiane colpite da ransomware sono il 58%, quasi una su sei.
I vettori più diffusi sono le e-mail e i siti web malevoli e l’efficacia degli attacchi si rivela inversamente proporzionale ai sistemi di difesa e alla cultura aziendale in materia di cyber security.
L’evoluzione degli attacchi ransomware
Si è partiti dai ransomware a singola estorsione, quelli che crittografano i dati delle vittime alle quali viene consegnata la chiave utile alla decriptazione solo pagando un riscatto. Una generazione di ransomware che perde mordente perché le imprese hanno attuato politiche di difesa con particolare attenzione ai backup, che diventano vitali per ripristinare la situazione in seguito a un attacco.
Quelli a doppia estorsione rappresentano un’evoluzione: gli attaccanti esfiltrano dati sensibili prima di crittografare i file della vittima. In questo modo, se il target non dovesse pagare perché capace di ripristinare i file, gli hacker possono minacciare di fare diventare pubblici i dati sottratti e questo coincide con una perdita di affidabilità che può arrecare danni di immagine, perdita di clienti, insoddisfazione degli investitori e persino crolli dei titoli in borsa.
Il furto di dati a danno di un’azienda può favorire la concorrenza e, non di meno, può essere sanzionato dai Garanti per la privacy in virtù del GDPR.
Gli attacchi ransomware a tripla estorsione sono a loro volta un’evoluzione: oltre ad avere esfiltrato e crittografato i dati, i criminal hacker contattano clienti e stakeholder dicendo loro di essere in possesso di informazioni riservate, incentivandoli così a insistere affinché si adoperino per chiedere all’azienda vittima dell’attacco di pagare il riscatto.
A corredo e in ordine di sofisticatezza, oltre a esfiltrare e poi crittografare i dati e oltre a comunicare alle parti coinvolte di essere in possesso di informazioni riservate, i criminal hacker sferrano attacchi DDoS che mettono in ginocchio i server pubblici dell’azienda presa di mira. Questo è un attacco ransomware a quadrupla estorsione ed è un assoluto segno di forza dei criminal hacker, i quali non soltanto penetrano il perimetro aziendale ma affondano il coltello pressoché a piacimento allo scopo di ottenere il pagamento del riscatto.
Gli attacchi ransomware a singola e a doppia estorsione sono i più diffusi ma prendono piede quelli più sofisticati. A prescindere dalla loro natura, i ransomware possono crittografare i file nei server, nei computer e in tutti i dispositivi collegati alla rete e sono anche in grado di crittografare backup e copie shadow.
Trovare soluzioni è quindi una mera questione di reverse engineering: prima è necessario capire eziologia e dinamiche di diffusione dei ransomware e poi, a ritroso, costruire i parametri difensivi.
Per quanto riguarda i backup può essere utile ricorrere a strutture esterne al perimetro aziendale (il cloud è una soluzione).
Come proteggersi dai ransomware a quadrupla estorsione
Cominciamo dal contributo di Fabio Sammartino, Head of Pre-Sales di Kaspersky: “Oggi la pressione estorsiva esercitata dai criminali informatici è aumentata rispetto al passato. Gli attacchi non colpiscono solo l’azienda ma si estendono anche ai clienti, informandoli di aver a disposizione i loro dati sensibili e minacciandoli di diffonderli nel caso in cui l’azienda colpita non paghi il riscatto o chiedendo anche a loro di pagarlo. Questo scenario è il risultato dell’implementazione da parte delle aziende di soluzioni di sicurezza sempre più complesse e di strategie volte a evitare di pagare i riscatti”.
“Un aspetto fondamentale per combattere le minacce complesse e gli attacchi mirati”, continua Sammartino, “dove le azioni rapide intraprese dagli esperti di sicurezza riducono le possibilità degli aggressori di raggiungere l’obiettivo con la conseguenza di danni finanziari o reputazionali per l’organizzazione colpita”.
Ecco, inoltre, un breve elenco degli accorgimenti che si rendono parimenti necessari:
- la tutela delle email con il blocco dello spam e l’autenticazione a più fattori;
- utilizzo di soluzioni antivirus e antimalware anche sui dispositivi mobili e non soltanto a vantaggio dell’hardware che si trova costantemente all’interno del perimetro di rete;
- implementazione di firewall e sistemi di rilevamento delle minacce e segmentazione della rete;
- implementazione di soluzioni che prevengano gli attacchi DDoS;
- politiche di backup continue che prevedano la crittografia e che si avvalgano di risorse esterne alla rete aziendale (Cloud storage).
Tutto ciò, per avere un effetto persino olistico, deve essere accompagnato da un’adeguata formazione del personale che deve essere messo in condizione di conoscere le tecniche usate dagli attaccanti e deve fungere da primo filtro davanti all’insorgere di un dubbio come, per esempio, un’email potenzialmente sospetta.
A chiudere il cerchio, un piano di incident response che preveda ruoli e compiti chiari all’interno dell’organizzazione.
