I ransomware si sono evoluti da semplici malware fastidiosi a minacce sofisticate che paralizzano intere organizzazioni. Secondo il Report Veeam sulle tendenze nel ransomware 2023, l’85% delle aziende intervistate ha subito almeno un attacco informatico negli ultimi 12 mesi.
La natura degli attacchi è diventata più complessa: l’estorsione multifaccettata combina ransomware tradizionale e altre tattiche di estorsione per costringere le vittime a conformarsi a richieste onerose. Gli aggressori non si limitano più alla crittografia dei dati, ma utilizzano tecniche di doppia estorsione, minacciando di divulgare informazioni sensibili esfiltrate.
L’anatomia di un attacco di nuova generazione
I ransomware operano attraverso fasi strategiche progettate per massimizzare l’impatto. Gli attacchi iniziali si diffondono solitamente tramite campagne di phishing, come evidenziato da Cips Informatica, utilizzando email convincenti per indurre le vittime a scaricare allegati dannosi. Altri vettori comuni includono lo sfruttamento delle vulnerabilità VPN o l’utilizzo di credenziali rubate per infiltrarsi negli ambienti di rete.
Una volta ottenuto l’accesso, gli aggressori implementano tecniche di evasione sofisticate. Eliminano le copie shadow per impedire un facile recupero dei file, disattivano gli strumenti di sicurezza come Windows Defender e arrestano determinati processi per evitare il rilevamento.
La fase critica, secondo un recente documento pubblicato da Akamai, è rappresentata dal movimento laterale attraverso la rete. Il movimento laterale è fondamentale per il successo di un attacco. Se il malware non riesce ad espandersi oltre il punto di approdo, è inutile. I criminali cercano di impossessarsi di un controller di dominio, compromettere le credenziali e individuare i backup per impedire all’operatore di ripristinare i servizi bloccati.
Strategie di prevenzione proattiva
Controllo degli accessi e gestione delle identità
La prima linea di difesa consiste nell’implementazione di controlli di accesso robusti. È fondamentale, come evidenzia Veeam, adottare un approccio senza password o chiavi di accesso per i dipendenti e per i carichi di lavoro, rafforzando il modello Zero Trust con l’implementazione dell’autenticazione a più fattori (MFA) per l’accesso a informazioni, sistemi e dispositivi aziendali.
Le organizzazioni dovrebbero applicare il principio del minimo privilegio, limitando l’accesso degli utenti solo alle risorse necessarie per svolgere il proprio lavoro. I controlli degli accessi devono applicare i diritti “need-to-know” limitando i diritti di amministratore sugli account utente.
Monitoraggio esterno e threat intelligence
Il monitoraggio proattivo va oltre il perimetro. Monitorare il comportamento degli attori delle minacce, il dark web e i segnali di rischio esterno, come si legge sul blog di SecurityScorecard, può fornire un allarme precoce di targeting o esposizione delle credenziali. Le organizzazioni devono implementare sistemi di threat intelligence che identifichino i rischi di terze parti prima che vengano sfruttati, ricevano avvisi su credenziali compromesse o infrastrutture ransomware.
Segmentazione della rete
La segmentazione della rete divide la rete in segmenti più piccoli e gestibili, il che può aiutare a limitare la diffusione del ransomware all’interno di un’organizzazione in caso di violazione. È necessario separare i sistemi per contenere potenziali infezioni, assicurandosi che i sistemi vulnerabili e di alto valore non abbiano accesso esterno a Internet.
L’implementazione di VLAN e firewall di nuova generazione con Unified Threat Management (UTM) permette un’ispezione approfondita dei pacchetti per identificare le minacce che entrano nella rete.
Gestione delle patch e aggiornamenti
Uno dei vettori più comuni per gli attacchi ransomware è lo sfruttamento di vulnerabilità software note. È fondamentale installare le patch di sicurezza il prima possibile per impedire agli hacker di sfruttare queste vulnerabilità. Il software obsoleto e non supportato è particolarmente vulnerabile agli attacchi.
Le organizzazioni devono implementare processi di patch management che garantiscano che tutti i componenti software siano aggiornati e le vulnerabilità vengano risolte tempestivamente.
Soluzioni di sicurezza avanzate
Sistemi di rilevamento e risposta
Le soluzioni Advanced Threat Protection (ATP) utilizzano machine learning, analisi comportamentale e rilevamento basato su signature per identificare e bloccare minacce potenziali prima che possano essere eseguite. Questi sistemi forniscono un livello aggiuntivo di difesa monitorando attività sospette.
Le soluzioni SIEM e XDR possono monitorare il traffico di rete per rilevare e segnalare attività di rete insolite e minacce informatiche. Gli strumenti EDR forniscono monitoraggio in tempo reale, analytics comportamentali e risposta automatizzata per identificare infezioni in fase iniziale.
Filtraggio email e sicurezza web
Le email sono uno dei metodi più comuni per l’invio di malware ransomware. È necessario configurare robusti filtri email per rilevare i tentativi di phishing e attivare filtri antispam efficaci. I filtri email efficaci e la formazione dei dipendenti per riconoscere gli attacchi di phishing sono componenti essenziali della sicurezza.
Formazione del personale
La ricerca di SecurityScorecard mostra che l’errore umano rimane una delle maggiori vulnerabilità di sicurezza. I dipendenti svolgono un ruolo fondamentale nel rafforzare i livelli di sicurezza. È necessario investire nella loro formazione utilizzando strumenti specializzati per formarli sulle diverse forme di attacchi di phishing.
Gli aspetti chiave della formazione includono il riconoscimento di email sospette, pratiche di download sicure e consapevolezza dei rischi associati al Wi-Fi pubblico.
Strategia di backup e ripristino
Regola 3-2-1-0
Per Veeam è fondamentale adottare la regola di backup 3-2-1-0: mantenere tre set ridondanti di backup oltre ai set di dati online, utilizzare almeno due diversi tipi di supporti per archiviare i dati, mantenere una copia off-site, offline e sicura. Lo zero finale indica l’importanza di testare i backup per assicurarsi che non ci siano errori.
Backup immutabili
È essenziale rendere i backup immutabili, il che significa che non possono essere sovrascritti, cambiati o modificati. L’immutabilità protegge dagli attacchi ransomware e dalla cancellazione accidentale. I backup immutabili, secondo Cips Informatica, devono essere archiviati in ambienti che non possono essere modificati.
Crittografia e verifiche
È necessario crittografare sempre i backup e verificarli regolarmente. Il modo migliore per controllare i backup consiste nel configurare una macchina virtuale ed eseguire un ripristino di prova.
Rilevamento e risposta agli incidenti
Indicatori di compromissione
Il rilevamento precoce è cruciale per minimizzare l’impatto. I principali segnali di infezione includono un picco evidente nell’utilizzo della CPU e file rinominati con estensioni specifiche. Per LockBit, ad esempio, le estensioni includono .lockbit, .abcd, .lockbit2, .lockbit3, .lockbit_black e la nuova variante LockBit 4 utilizza l’estensione .lockbit4.
Piano di risposta
Avere un piano di risposta agli incidenti e disaster recovery ben definito è cruciale per minimizzare l’impatto di un attacco ransomware. Questo piano deve delineare passaggi specifici per isolare sistemi infetti, comunicare con stakeholder e ripristinare le operazioni.
Akamai evidenzia quanto sia fondamentale l’avvio di misure automatiche di contenimento e messa in quarantena delle minacce quando viene rilevato un attacco. Le organizzazioni devono implementare regole di isolamento che permettano la rapida disconnessione delle aree della rete interessate.
Architettura di difesa a più livelli
Approccio Zero Trust
Con una segmentazione definita dal software, è possibile creare micro-perimetri Zero Trust a protezione delle applicazioni, dei backup, dei file server e dei database più importanti. Questo approccio assume che nessun utente o dispositivo sia intrinsecamente affidabile.
Visibilità completa
È necessaria una soluzione che consenta di identificare tutte le applicazioni e le risorse in esecuzione nell’ambiente IT. Questo livello di visibilità granulare permette di mappare le risorse, i dati e i backup più importanti.
Costi e impatti
L’impatto finanziario degli attacchi ransomware è devastante. Il costo medio di un attacco ransomware nel 2022, escluso il costo del riscatto stesso, è stato di 4,54 milioni di dollari. Secondo il Financial Crimes Enforcement Network, le perdite totali dovute agli incidenti ransomware nel 2021 sono state di circa 1,2 miliardi di USD.
Il pagamento ransomware più alto registrato è di 75 milioni di dollari USD, con una richiesta iniziale di 150 milioni di USD. Tuttavia, pagare il riscatto non sempre funziona: in un caso su quattro la chiave di decrittazione è difettosa, e anche quando funziona, in media solo il 55% dei dati crittografati è recuperabile.
La minaccia dei ransomware continua a evolversi rapidamente. Le intrusioni che coinvolgono ransomware hanno un tempo di permanenza mediano di appena sei giorni, rendendo critica la velocità di rilevamento e risposta.
Solo attraverso una strategia di difesa multicouche che combina controlli preventivi, monitoraggio continuo, formazione del personale e piani di ripristino robusti, le organizzazioni possono sviluppare una resilienza efficace contro questa minaccia in continua evoluzione. Le aziende che hanno avuto accesso a backup immutabili al di fuori della portata dei criminali informatici sono riuscite a ripristinare i propri sistemi e riprendere l’attività con interruzioni minime.