Non vi è dubbio che, nel corso del 2021, gli attacchi ransomware siano stati al primo posto tra le principali preoccupazioni in materia di cyber security. La Global Security Attitude Survey del 2020 di CrowdStrike ha rivelato che oltre la metà delle organizzazioni intervistate a livello mondiale ha subito un attacco ransomware nel 2020. Tra queste, circa il 25% ha scelto di pagare il riscatto in denaro richiesto dai criminali informatici, per un costo medio di 1,1 milioni di dollari (USD) ciascuno.
Il ransomware rimane una minaccia ad alta priorità, confermando un trend di crescita in linea con quello del 2020, ma la posta in gioco quest’anno è ancora più alta. Significativi attacchi ransomware verificatisi nel 2021 mostrano un aumento delle richieste di risarcimento, con una recente richiesta di riscatto record al gruppo MediaMarkt/MediaWorld pari a 50 milioni di dollari.
Per arginare la crescita di tali minacce, è indispensabile che le organizzazioni comprendano come sta evolvendo il fenomeno dei ransomware e rafforzino le proprie difese a 360 gradi, al fine di salvaguardare il patrimonio, i dati e la fiducia stessa dei clienti.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
Indice degli argomenti
L’evoluzione del ransomware: una doppia estorsione
Si è recentemente osservato che gli autori delle minacce adottano il modello della “doppia estorsione”, crittografando i dati del soggetto obiettivo dell’attacco e richiedendo un riscatto per la loro restituzione, ma non solo: essi sfruttano ulteriori incentivi di pagamento per aumentare la pressione sulle vittime affinchè queste paghino il riscatto. Alcuni autori delle minacce usano anche un approccio più mirato, minacciando di rendere pubblici dei documenti e/o mettendo all’asta i dati a meno che le loro vittime non paghino.
Questi attacchi informatici sempre più sofisticati sono destinati a mettere fortemente a rischio la disponibilità di servizi e flussi di dati all’interno, visto che i criminali informatici tendono a cercare sempre nuovi mezzi per esercitare ulteriore pressione sulle vittime e massimizzare le occasioni di pagamento di un riscatto.
I cyber criminali continueranno, inoltre, a perfezionare questi approcci e a sperimentare differenti modelli di business, compresi schemi di affiliazione progettati per reclutare altre persone da coinvolgere nella distribuzione degli attacchi, in cambio di una fetta del profitto.
Con il modello della doppia estorsione, le potenziali ramificazioni si moltiplicano.
Gli autori delle minacce stanno raddoppiando la pressione sulle organizzazioni affinchè queste paghino i riscatti, e ciò contribuisce ad alimentare l’ecosistema ransomware in un circolo vizioso che danneggia ulteriormente l’azienda che subisce l’attacco.
Inoltre, lo sfruttamento illecito dei dati mette le organizzazioni, oggetto di bersaglio, anche a rischio di violazione delle normative OFAC, GDPR e altre, in vigore in materia di privacy e tutela dei dati, il che può comportare un costo di milioni di dollari da sommare a quello del riscatto stesso. In questo contesto, le aziende possono sentirsi messe alle strette e senza altra scelta, se non quella di soddisfare le minacce dei criminali informatici.
Pe rquesto è utile adottare una serie di best practice che possano supportare le organizzazioni nella lotta contro i ransomware.
Come combattere i ransomware
Lo si può fare, innanzitutto, iniziando in modo semplice. Quando si tratta di proteggere un’organizzazione da un ransomware, spesso ci si concentra sul reagire o sul ripristinare i sistemi colpiti da un evento catastrofico.
Sebbene ciò sia estremamente importante, ci si dimentica dell’obiettivo primario che tutti dovrebbero avere: assicurarsi che gli autori delle minacce non interrompano o impattino il business, i dipendenti e, in primo luogo, i clienti.
Quando si verificano attacchi ransomware, spesso notiamo che le vittime hanno accesso a soluzioni di sicurezza, ma che i sistemi legacy reattivi che utilizzano si dimostrano essere utili solo a sistemare ciò che è stato compiuto da un cyber-criminale, mentre non hanno alcun potere in termini di prevenzione.
Le organizzazioni oggi hanno bisogno di adottare una mentalità basata sulla prevenzione, al fine di proteggere in primo luogo il business. Tuttavia, a causa della pandemia globale e del conseguente aumento del lavoro da casa, una metodologia di prevenzione può essere difficile da attuare.
I nemici informatici stanno sfruttando questa nuova modalità di lavoro come un’opportunità per prendere di mira le organizzazioni alle prese con il proprio processo di trasformazione digitale. Sempre di più, gli autori delle minacce di eCrime sfruttano le lacune presenti in termini di sicurezza nei servizi di identità per violare le reti, senza essere scoperti.
È dunque fondamentale che le organizzazioni si concentrino innanzitutto sulla prevenzione, non solo per quanto concerne gli endpoint, ma anche i workload sul cloud e, soprattutto, i servizi di verifica dell’identità. Avere una soluzione di sicurezza in grado di prevenire un attacco informatico è il primo passo fondamentale verso una difesa proattiva.
Fare del “cacciatore” il “soggetto braccato”
I team di esperti in materia di threat hunting sono particolarmente utili a promuovere una sicurezza più proattiva. La pratica del threat hunting consente alle organizzazioni di arrivare laddove la tecnologia non arriva, di identificare l’ignoto e trovare l’ago nel pagliaio, come si suol dire.
Gli autori di ransomware spesso operano inosservati per giorni, a volte settimane o mesi, mentre preparano l’ambiente ideale per un attacco. I più importanti attacchi ransomware di cui leggiamo sui notiziari sono comunemente frutto del lavoro di nemici informatici che, da tempo, preparano il terreno per creare il massimo impatto.
Un tempo adeguato dà agli avversari informatici la migliore opportunità di esercitare più pressione possibile ed estorcere quanti più soldi possibili alle vittime, costringendole a pagare il riscatto in denaro o a fare ciò che viene richiesto (altri tipi di estorsioni).
Tuttavia, i team di esperti di threat hunting sono stati pensati proprio per individuare le minacce in tempo reale, per rilevare e coinvolgere i cyber criminali in un combattimento corpo a corpo, fornendo difesa alle organizzazioni prima che sia troppo tardi.
Anche nei contesti in cui siano state implementate tutte le misure di sicurezza, un conto è intercettare nella rete un’azione di attacco ransomware in atto, un altro è fare qualcosa in risposta ad essa. I team specializzati in threat hunting sono fondamentali per supportare, o sostituire, i team esistenti, trasformando il rilevamento in azione concreta contro le minacce ransomware.
La via d’uscita più semplice: non pagare il riscatto
“Paga e sarà tutto finito”. Sfortunatamente la verità è tutt’altra. Le organizzazioni devono fare tutto il possibile per evitare di dover cedere al riscatto. Soprattutto alla luce dei recenti avvertimenti dell’OFAC secondo cui le organizzazioni che assistono le vittime nel pagamento di un riscatto corrono anch’esse il rischio di violare i regolamenti in vigore.
Quando un’azienda viene colpita da un attacco ransomware, il primo passo da compiere è quello di schierare fornitori di incident response e servizi proattivi per eseguire attività di informatica forense e indagini ai fini di preservare l’operatività del business aziendale anche in situazioni di questo tipo.
Nonostante la pressione che gli autori delle minacce esercitano sulle aziende attraverso i ransomware sia notevole, pagare i riscatti va ad alimentare soltanto la loro attività criminale e contribuisce a rafforzare la loro potenza, ulteriormente.
Col passare del tempo l’atteggiamento globale continua a spostarsi dal “se” un’organizzazione subirà un attacco ransomware a “quando” essa si troverà inevitabilmente di fronte alla sola scelta di pagare. Tuttavia, una giusta conoscenza della materia, l’adozione degli strumenti corretti e una preparazione adeguata, possono aiutare le organizzazioni a resistere efficacemente a questa tempesta che non sembra attenuarsi.
