A livello storico, i normali backup di sistema costituivano una delle principali difese contro il ransomware per le imprese, dato che consentivano di ripristinare velocemente i sistemi senza cedere ai ricatti.
Sebbene i backup regolari restino comunque una necessità nonché una procedura consigliata, purtroppo non offrono lo stesso livello di protezione dal ransomware rispetto al passato.
- I migliori antivirus del 2022
- Le migliori VPN del 2022
- Amazon Prime Day 2022: sconti, offerte, tutto quello che dovete sapere
Craig Lurey è il CTO di Keeper Security
Da "crittografia ed estrazione" a "estrazione ed estorsione"
Per anni, gli attacchi ransomware si sono distinti dalle violazioni di dati in cui i file vengono compromessi. I criminali informatici miravano a bloccare i sistemi per poi richiedere un riscatto, di solito in Bitcoin, in cambio di una chiave crittografica per lo sblocco dei dati.
Ma il ransomware si è evoluto e i criminali si sono resi conto che i livelli di accesso alla rete necessari per caricare i payload che poi danno il via agli attacchi ransomware consentono anche l'estrazione dei dati, con la possibilità di aggirare i file di backup che vanificherebbero l'attacco. Ed ecco una doppia estorsione, nota come "crittografia ed estrazione", in cui gli attacchi ransomware prevedono anche la violazione dei dati. Oltre a crittografare i file della vittima, i criminali ne fanno una copia, minacciando di venderli o divulgarli pubblicamente se non viene pagato il riscatto. Molto spesso vengono creati dei siti appositi, detti Leak Site o Shame List, all'interno dei quali vengono esposti dati potenzialmente sensibili oppure viene presentata una piccola quantità di dati per invogliare potenziali acquirenti a pagare e ottenere tutto il pacchetto.
Gli attacchi ransomware con estorsione sono sempre più diffusi fin dalla loro prima apparizione alla fine del 2019. Un nuovo studio di Coveware ha rilevato che il 77% degli attacchi ransomware include la minaccia di divulgazione dei dati estratti. Inoltre, i criminali stanno abbandonando la tecnica di "crittografia ed estrazione", convergendo verso il modello di "estrazione ed estorsione". Il prolifico gruppo ransomware REvil ha di recente trafugato dati e diagrammi di alcuni prodotti Apple non ancora rilasciati, minacciando di venderli nel caso in cui non venisse pagato un riscatto di 50 milioni di dollari.
Questi tipi di attacchi saranno sempre più frequenti a causa del RaaS, o ransomware-as-a-service. Il RaaS consente ai criminali informatici di vendere abbonamenti a "soluzioni" ransomware nello stesso modo in cui i normali sviluppatori vendono i prodotti Software-as-a-service (SaaS) legittimi. Gli sviluppatori di RaaS ricevono una provvigione per ogni attacco ransomware andato a segno. Il RaaS abbassa in modo critico la barriera di ingresso al mondo del crimine informatico, offrendo a tutti, incluse le persone con poche o nessuna competenza tecnica, la possibilità di lanciare attacchi ransomware.
Gli attacchi ransomware contro le PMI
I criminali attaccano sempre più spesso le piccole e medie imprese, molte delle quali sono fornitori di imprese più grandi. Mentre queste ultime dispongono dei mezzi per rafforzare le difese contro gli attacchi, molte PMI hanno limiti di budget che le rendono bersagli molto facili.
Nel 2019, le PMI rappresentavano circa il 60% dei target del ransomware. Lo studio di Coveware ha scoperto che il 77% delle vittime di ransomware non ha più di 1000 dipendenti, e la metà dei bersagli è composto da servizi professionali (di solito studi legali), aziende sanitarie e organizzazioni pubbliche.
Come proteggere la vostra organizzazione dai nuovi ransomware con estorsione
Secondo il rapporto, quasi metà degli attacchi ransomware inizia con la compromissione dei servizi RDP (remote desktop protocol), tramite credenziali rubate, la violazione di password predefinite o troppo comuni, o tramite vulnerabilità non risolte. Il secondo vettore di attacco più comune (il 25% degli attacchi) è rappresentato dal phishing via e-mail.
Si tratta di ottime notizie per le organizzazioni, dato che la stragrande maggioranza degli attacchi ransomware andati a segno coinvolge credenziali di accesso rubate o "indovinate" e tutto questo rappresenta l'80% delle violazioni dei dati perpetrate con successo. Qualsiasi organizzazione può rafforzare la propria sicurezza proteggendo le credenziali utente con password efficaci e sistemi IAM per la gestione di identità e autenticazione.
Ecco cinque consigli da seguire subito:
- Implementate un'architettura di sicurezza zero-trust, in cui tutti gli utenti (umani e account automatizzati) vengono verificati e autenticati prima di poter accedere alle risorse aziendali. Le tecniche zero-trust sono sempre più popolari, grazie anche alla diffusione del lavoro da remoto. A fronte di lavoratori attivi da più dispositivi e posizioni geografiche, il modello zero-trust è l'unico che garantisce l'effettiva identità di chi accede alla rete dell'organizzazione.
- Rendete obbligatorio l'uso di password uniche ed efficaci per ogni sito e app. In questo modo, proteggerete la vostra azienda dalle violazioni causate da password troppo facili da individuare.
- Imponete l'uso dell'autenticazione a più fattori su tutti gli account compatibili. Anche se un criminale riesce a impossessarsi di una password, questa sarà inutile senza il secondo fattore di autenticazione.
- Implementate una piattaforma di crittografia e protezione delle password di classe Enterprise in tutta la vostra azienda. Le piattaforme di questo tipo sono molto più efficaci dei password manager commerciali. Sebbene entrambe le soluzioni generino automaticamente e proteggano password uniche ed efficaci, con il completamento automatico dei campi di login sui siti e sulle app, i servizi Enterprise offrono ulteriori funzioni che consentono agli amministratori IT di applicare criteri di protezione delle password molto severi per l'intera organizzazione.
- Abbinate alla piattaforma di protezione e crittografia delle password una soluzione per il monitoraggio del dark web. Tali soluzioni analizzano i forum sul dark web e avvisano le organizzazioni in caso di password compromesse. Ciò consente agli amministratori IT di forzare il rinnovo immediato delle password, riducendo al minimo il rischio di violazioni, estrazione di dati e installazione di malware da parte degli hacker.
Il ransomware si evolve in modo aggressivo e le aziende devono adottare la stessa aggressività nel contrastarlo. Dal momento che la maggior parte degli attacchi ransomware riguardano credenziali di accesso rubate, le organizzazioni che proteggono le password in modo completo, insieme a un modello zero-trust e sistemi IAM saranno meno soggette alle violazioni.
