Quando si parla con i CISO (Chief Information Security Officer) delle loro maggiori preoccupazioni e priorità, c’è un elemento sempre presente: il ransomware.
È il loro scenario da incubo: un evento di sicurezza pubblico, in grado di danneggiare la capacità operativa e provocare una grave perdita di dati, il tutto con costi davvero elevati.
Indice degli argomenti
Ransomware: i numeri del fenomeno criminale
Una recente ricerca di Proofpoint ha evidenziato che il 44% delle aziende è stato colpito da ransomware nel corso del 2020. Data la potenziale portata dell’impatto, si tratta di una cifra particolarmente significativa.
Di queste organizzazioni, inoltre, il 34% ha deciso di pagare il riscatto per recuperare la propria posizione e, elemento ancora più interessante, il 98% di quest’ultime è stato in grado di recuperare i propri dati.
L’anno precedente solo il 78% ci era riuscito, a dimostrazione di un crescente livello di professionalità da parte degli attaccanti, che hanno studiato il miglior modo per far salire i tassi di pagamento: guadagnare la fiducia delle vittime sul fatto che il pagamento porterà effettivamente al recupero dei dati.
Guida al ransomware: cos’è, come si prende e come rimuoverlo
L’approccio “professionale” dei gruppi ransomware
Un esempio di questa maggiore professionalità è stato dimostrato in un recente attacco a un noto marchio fashion, in cui l’aggressore ha studiato i dati sottratti per trovare i dettagli sulla cyber-assicurazione dell’organizzazione, fissando poi il riscatto a quella cifra specifica.
Ha poi negoziato questo importo con la vittima, in base alla valutazione della salute finanziaria dell’azienda, fino a ricevere un pagamento concordato.
Questo approccio di tipo professionale arriva fino al “coinvolgimento del cliente” e possiamo spesso vedere l’offerta di una sorta di supporto tecnico, fornito tramite piattaforme anonime di messaggistica istantanea, per sostenere le vittime nel recupero una volta pagato il riscatto.
Nel caso sopracitato, infatti, ciò che ha reso particolarmente interessante l’attacco è che, dopo la negoziazione, l’attaccante ha offerto dettagliati consigli su come evitare che gli attacchi ransomware si ripetano.
Lezioni pratiche per difendersi dai ransomware
Proprio per l’impatto sempre più significativo del ransomware, abbiamo elaborato una serie di suggerimenti, per dare un’idea di ciò che ognuno di noi può fare per proteggere meglio la propria organizzazione dall’entrare in questo pericoloso, e costoso ciclo di trattative con i criminali.
Implementare l’email filtering
Il primo consiglio è di implementare il filtering delle e-mail. Le statistiche mostrano che circa il 94% dei cyber attacchi inizia attraverso il canale e-mail, che di conseguenza si configura come una vera e propria centrale di rischio direttamente all’interno di un’organizzazione.
Anche se storicamente gli attacchi ransomware sfruttavano le porte RDP (Remote Desktop Protocol), la ricerca Proofpoint ha mostrato un aumento degli attacchi ransomware consegnati attraverso campagne di phishing basate sulle e-mail, evidenziando una controtendenza rispetto gli anni precedenti, in cui gli hacker hanno sfruttato principalmente i downloader come payload iniziale.
Protocollo RDP, perché è ancora un problema di cyber security: come approntare una difesa
Condurre test di phishing sugli impiegati e realizzare penetration test
Degli attacchi provenienti via e-mail, oltre il 99% richiede che l’utente compia una qualche azione per consentire una violazione di successo, che si tratti di eseguire una macro, distribuire credenziali o semplicemente pagare una fattura falsa.
I dipendenti sono la principale superficie di attacco di qualsiasi impresa ed è essenziale che siano istruiti e abbiano una formazione su come riconoscere e affrontare le minacce.
Questo, inoltre, dovrebbe anche essere supportato da regolari test di penetrazione, per garantire che qualsiasi errore di configurazione del perimetro o dispositivi perimetrali senza patch siano rilevati e corretti prima che possano venire sfruttati.
Rivedere la policy di password relativa alle Active Directory
Assicurarsi che la password policy sia sufficientemente sicura, a partire dalla dotazione dell’autenticazione a più fattori (MFA) per l’accesso esterno, estesa anche alla password policy interna.
Componente base della kill-chain del ransomware è proprio quella di estendere i privilegi per consentire agli attaccanti di accedere e rimuovere grandi volumi di dati critici prima della crittografia forzata.
Questo risultato può essere ottenuto identificando le password interne deboli, o semplicemente sfruttando un file XLS in cui gli amministratori di database potrebbero elencare tutte le password chiave all’interno del loro dominio.
Autenticazione a due fattori: quando attivarla e come protegge i nostri account
Migliorare la propria tecnologia di endpoint detection and response (EDR)
È sempre più comune vedere come i criminali informatici riescano a essere creativi nei loro attacchi.
Una tendenza recente sviluppata per raggiungere i loro obiettivi, ad esempio, include l’utilizzo di strumenti legittimamente installati come PowerShell, ma ci sono anche casi dove in un attacco ransomware sia stato usato BitLocker per crittografare i dispositivi.
Di conseguenza, il rilevamento di malware basato sulla firma non è più sufficiente.
Una protezione degli endpoint più intelligente, con la capacità di monitorare continuamente i comportamenti sospetti e consentire il recupero, diventa essenziale.
Proteggere meglio la rete interna e isolare i sistemi critici
Reti ampie e flat possono essere più facili da amministrare, ma al contempo rendono più semplice per l’attaccante raggiungere i propri obiettivi.
Ulteriori livelli concentrici di segmentazione e controllo della rete, intorno ai sistemi e ai dati critici, fanno sì che un’infezione malware abbia meno probabilità di avere impatto sui servizi fondamentali.
I sistemi IT aziendali, inviando e ricevendo costantemente e-mail, tendono a essere più a rischio, per questo devono essere tenuti segmentati dall’infrastruttura e dai dati vitali per l’organizzazione.
Implementare processi di storage offline e backup su nastro
Il concetto di backup è quasi scomparso dalle conversazioni, e non va bene.
I backup online attuali avvengono senza soluzione di continuità e sono comodi e automatizzati, ma purtroppo anche vulnerabili agli attacchi.
Se un malintenzionato riesce a rubare le credenziali admin, può cancellare o danneggiare l’intero backup, lasciando l’azienda senza possibilità di recuperare i dati.
I giorni del backup affidato ai nastri e van possono sembrare un ricordo, ma è essenziale che ogni azienda abbia un modello chiaro di conservazione dei backup, in un vero storage offline, in modo da proteggerlo dai malintenzionati.
