Ogni 11 secondi un’azienda è colpita da un ransomware e gli attacchi dei criminali informatici (che chiedono un riscatto, ransom in inglese, per disinstallare il software malevolo) continuano a crescere in frequenza e sofisticazione. Il ransomware spesso ha un impatto anche nel ‘mondo reale’, come testimonia un’ampia serie di attacchi di alto profilo che si sono verificati nell’ultimo periodo. Per ridurrne il raggio d’azione, le organizzazioni dovrebbero cercare soluzioni di gestione dei dati di nuova generazione, che siano in grado di ripristinare velocemente i sistemi e i processi critici e allo stesso tempo aiutino a ridurre in maniera significativa i tempi di inattività.
Gli attacchi informatici hanno un impatto sulla nostra vita quotidiana – dagli attacchi agli ospedali alle interruzioni delle forniture di carburante e delle filiere alimentari. I criminali informatici stanno diventando più aggressivi e hanno cambiato nel tempo le proprie tattiche. Nel tentativo di ottenere un ritorno economico, i criminali informatici stanno andando oltre la crittografia dei dati di produzione e di backup. Ora stanno rubando (o più tecnicamente “esfiltrando”) dati sensibili alle organizzazioni e minacciando di esporli sul dark web, seguendo il cosiddetto schema della “doppia estorsione”.
Come siamo arrivati a questo punto?
L’aumento degli attacchi ransomware può essere attribuito, in parte, alla crescente adozione delle criptovalute. Alcuni sostengono che le criptovalute hanno permesso ai criminali informatici di accelerare le loro imprese, permettendo loro di sferrare i propri attacchi in modo virtualmente anonimo, di richiedere pagamenti non tracciabili e, in molti casi, di riscuotere facilmente il riscatto. Questo anonimato ha alimentato la prima generazione di ransomware, i cosiddetti “ransomware 1.0”, come WannaCry.
Queste varianti prendevano di mira e criptavano i dati di produzione. I sistemi di backup sono diventati rapidamente le soluzioni più immediate per affrontare le minacce ransomware 1.0. Le organizzazioni che proteggevano i propri dati con soluzioni come Cohesity potevano utilizzare funzionalità progettate non solo per rispondere agli attacchi, ma anche per ripristinare rapidamente i propri dati senza pagare alcun riscatto.
Inizialmente, gli aggressori erano ben felici di concentrarsi sull’obiettivo che appariva loro più a portata di mano. Ma quando ripristinare i dati attraverso gli strumenti di backup per evitare di pagare il riscatto è diventata una pratica standard del settore, ciò ha costretto i criminali informatici a cambiare tattica. Oltre ai dati utente e di produzione, hanno iniziato a prendere di mira anche i dati e i sistemi di backup, portando all’ascesa del “ransomware 2.0”.
I criminali informatici hanno utilizzato varianti di ransomware 2.0, quali DarkSide e Ryuk, per attaccare in modo aggressivo i set di dati di backup memorizzati sui vari provider tradizionali. Analizzando il codice sorgente di DarkSide, i ricercatori esperti di sicurezza hanno scoperto che il codice è stato utilizzato per disabilitare o cancellare i dati su varie soluzioni di backup, servizi di sicurezza e servizi critici di Microsoft come VSS, SQL Server, prima di sferrare un attacco alle copie di produzione dei dati. Fortunatamente, le principali soluzioni di gestione dei dati di nuova generazione come Cohesity aiutano le organizzazioni a proteggere i propri dati di backup dalle varianti 2.0 del ransomware.
Come affrontare, invece, la minaccia di esfiltrazione dei dati? Secondo una ricerca di Covewave, l’80% degli attacchi ransomware nel secondo trimestre del 2021 ha comportato il furto di dati da parte dei criminali informatici. E, purtroppo, quasi due terzi delle organizzazioni colpite hanno confermato di aver pagato un riscatto per impedire che i propri dati sensibili venissero sottratti. Questo scenario ha rappresentato la successiva evoluzione delle tattiche degli aggressori, portando all’emergere del “ransomware 3.0”, la variante finora più dirompente.
Gli attacchi ransomware sono sempre dirompenti, ma l’esfiltrazione dei dati porta la minaccia a un altro livello. Secondo IBM Security, il costo medio delle violazioni di dati si avvicina ai 4,24 milioni di dollari. Oltre al costo diretto delle attività necessarie per rimediare all’attacco, alle sanzioni normative, alla sensibilizzazione delle vittime e alle relative sanzioni, questo costo include il danno alla reputazione di un’azienda nei confronti di clienti, fornitori, partner e dipendenti.
Attacchi ransomware, come mitigare la minaccia
Per aiutare a ridurre il raggio d’azione di tali ransomware, le principali società di data management di nuova generazione, come Cohesity, vanno oltre il principio Zero Trust nelle proprie architetture di difesa dalle minacce informatiche. Ciò è possibile grazie all’offerta di tecnologie di autenticazione multi-fattore, grazie alla crittografia dei dati in transit e at rest e grazie all’immutabilità by design. Questa architettura fornisce un approccio olistico al rilevamento delle minacce e al recovery rapido in ogni fase del processo e può svolgere un ruolo chiave nel consentire alle organizzazioni di coniugare sicurezza e governance dei dati.
Nell’era del ransomware 3.0, esiste una serie di misure proattive che le organizzazioni possono adottare per mitigare la minaccia. Per esempio, assicurarsi che le fondamenta della propria policy di sicurezza siano solide. Ciò significa avere in atto processi capaci di applicare rapidamente le patch alle vulnerabilità conosciute, garantendo al contempo che i dati di produzione e di backup siano crittografati, e seguire una gestione degli accessi basata sul privilegio minimo.
Colpire i sistemi attraverso le persone (social exploitation) rimane per i criminali informatici la modalità più diffusa per propagare gli attacchi ransomware, quindi investire in programmi regolari di formazione e awareness dei dipendenti aiuterà ad adottare un mindset “security-first” e a rafforzare quello che altrimenti sarebbe l’anello più debole della catena di difesa informatica.
La protezione deve coprire sia i sistemi di produzione sia quelli di backup e questo è il motivo per cui i backup immutabili – che sono progettati in modo da non poter essere manomessi – sono ormai una necessità. Oltre ad adottare le misure necessarie per difendersi da un attacco, bisogna investire per ridurre l’impatto in caso di violazione. Nel caso del ransomware, ciò include la capacità di rilevare un attacco il più presto possibile, monitorando i dati source-side in produzione con l’aiuto di Intelligenza Artificiale e Machine Learning per identificare le anomalie in tempo quasi reale.
È anche essenziale ripristinare i sistemi e i processi critici con tempo e obiettivi di recupero competitivi e fornire un’orchestrazione automatizzata di failover e failback, in modo che le organizzazioni possano ridurre significativamente il tempo di inattività dei sistemi critici nel caso in cui un attacco informatico abbia successo. Le organizzazioni trarrebbero vantaggio anche dal testare questi processi critici di recovery, attraverso il ripristino di sistemi e ambienti ed esercitazioni con tutto il personale necessario per eseguire l’intero processo.
E la prossima minaccia?
Se l’evoluzione del ransomware ci ha insegnato qualcosa, è che le tattiche dei criminali informatici continueranno a evolvere. La tecnologia di gestione dei dati di prossima generazione è quindi fondamentale per sostenere gli sforzi di prevenzione delle organizzazioni. Le funzionalità di una piattaforma di gestione dei dati di prossima generazione, come i backup immutabili e la crittografia, combinate con una solida strategia di recovery e con l’adozione dell’autenticazione multi-fattore, mettono le organizzazioni sulla buona strada per contrastare la minaccia del ransomware 3.0 e quelle che seguiranno.
