Ransomware, una minaccia che continua a cambiare pelle

Evoluzione ed efficacia sono le parole chiave di questo tipo di attacco che, nel nostro paese, è più presente che in altri e la cui diffusione è facilitata anche da offerte di ransomware as a service e dall’ai generativa. Per minimizzare i danni, in un approccio di resilienza del “non se ma quando”, servono formazione, prevenzione, protezione e capacità di ripristino rapido.

Il Ransomware è oggi la prima minaccia al mondo per diffusione e danno ed è una piaga che colpisce l’Italia in maniera superiore ad altri Paesi. Secondo  il report di Trend Micro Research “Stepping ahead of risk” sulle minacce informatiche 2023, infatti, l’Italia risulta il terzo Paese al mondo e il primo in Europa maggiormente colpito dai malware dove il ransomware ricopre un ruolo importante. Secondo la i dati della polizia postale, gli eventi di cyber crime gravi nel 2023 sono stati caratterizzati per il 34% da attacchi di tipo ransomware. 

Un attacco che blocca, cifra, elimina e sottrae

In molti hanno familiarità con la definizione più tradizionale di ransomware che è quella fornita dal NIST che lo descrive come un tipo di attacco malevolo in cui gli aggressori cifrano i dati di un’organizzazione e chiedono un pagamento per ripristinare l’accesso. 

In realtà al ransomware si adatta più la definizione di attacco dato che può eseguire quattro azioni fondamentali: bloccare l’accesso a una risorsa come uno schermo o una particolare applicazione; cifrare un asset rendendolo non più disponibile; eliminare un asset, per esempio cancellando il riferimento di un file nel file system oppure riscrivendo i suoi byte senza per forza cifrarlo; sottrarre dati e file e assumerne il controllo.

Per svolgere queste attività i ransomware continuano a evolvere adottando strategie di attacco diversificate finalizzate a massimizzare il possibile ritorno in termini di profitto.

Tecniche emergenti di diffusione 

Oggi anche persone prive di competenza hanno la possibilità di affittare il ransomware come un servizio (RaaS) messo a disposizione da decine di organizzazioni criminali che operano con criteri analoghi a quelli delle aziende legittime fornendo tool, istruzioni, supporto per individuare target e punti di accesso fino a fornire servizi di assistenza e garanzia di qualità.

È in crescita anche l’attività svolta da operatori indipendenti che ha dato origine a un nuovo fenomeno denominato Franken-ransomware. Un termine che descrive la tendenza a mettere insieme nuove varianti di ransomware utilizzando frammenti di codice rubato o divulgato da varie fonti. Il malware ESXiArgs, utilizzato per colpire i sistemi VMware nel 2023 è stato uno di questi esempi, utilizzando la nota di riscatto di un ransomware e lo schema di crittografia di un altro.

Ransomware una minaccia che continua a cambiare pelle, Ransomware, una minaccia che continua a cambiare pelle

Per quanto riguarda i vettori di attacco il predominio degli allegati di posta elettronica utilizzati con i protocolli SMTP e POP3, ha lasciato il posto ai link URL e alla navigazione sul Web come metodi predominanti per distribuire i ransomware. A questi si aggiungono lo sfruttamento delle vulnerabilità del software e gli attacchi “forza bruta” sui servizi Remote Desktop Protocol (RDP) in cui vengono utilizzati algoritmi automatizzati per ricavare le credenziali legittime sfruttando l’uso di password deboli, mancanza di un sistema di autenticazione a due fattori o dell’adozione di reti VPN sicure.

Nuove strategie di attacco

In passato, non appena il criminale otteneva l’accesso alla rete aziendale avviava l’attività di cifratura. Oggi invece, un attaccante che è riuscito a entrare all’interno della rete aziendale, anziché rendere immediatamente manifesta la sua presenza, predilige strategie finalizzate a muoversi al suo interno  con quelli che vengono denominati spostamenti laterali, per acquisire informazioni sull’azienda, sulla sua struttura, sugli asset che detiene, sul suo stato patrimoniale e sui partner con cui intreccia relazioni commerciali e partnership tecnologiche. In tal modo riesce a valutare meglio come agire e a stabilire con precisione l’importo più alto possibile, ma non inarrivabile, che un’azienda sarebbe in grado di pagare per ritornare in possesso dei suoi dati.

In questo scenario, è frequente il tentativo di creare identità digitali “legittime” dotate di privilegi sempre più ampi che consentano di migliorare il livello di esplorazione e nel contempo, che possano risultare invisibili ai sistemi di “detection” tradizionali. In molti casi l’ingresso nella rete di un’azienda può essere utilizzato per accedere ai suoi clienti. Per esempio, compromettere l’identità digitale di una piccola software house che lavora per grandi entità potrebbe permettere agli aggressori di inviare email convincenti e apparentemente legittime, che avrebbero più possibilità di essere aperte, facilitando così l’inserimento di malware.

Singola, duplice, triplice estorsione

Le novità non riguardano solo le tecniche di attacco ma anche il livello di estorsione. Le strategie di attacco non sono più di ampia portata ma si sono trasformate in attacchi mirati e personalizzati verso specifiche aziende, che talvolta puntano a riscatti di importi milionari. Tuttavia, non sempre si mira a cifre così elevate; in alcuni casi, le attività rivolte a riscatti di piccola entità possono consentire di ottenere pagamenti in modo più agevole e comportare una minore esposizione pubblica per chi effettua la minaccia.

Si definisce doppio livello di estorsione la situazione in cui alla tradizionale cifratura dei file presenti sulla rete e sui sistemi della vittima si aggiunge la minaccia di copiare questi dati e di divulgarli pubblicamente o persino di venderli nel dark web. Di conseguenza, le vittime sono motivate non solo dal desiderio di recuperare i propri dati, ma anche dalla minaccia della loro possibile diffusione e dalla rivelazione della violazione ai loro clienti e partner.

In altri casi, l’estorsione avviene esclusivamente attraverso il furto di dati, senza imporre alle vittime la cifratura. Questo tipo di estorsione offre numerosi vantaggi ai gruppi di ransomware rispetto agli attacchi basati sulla crittografia: un minore rischio di essere rilevati e la possibilità di generare profitti senza la complessità tecnologica degli attacchi di cifratura. Inoltre, l’estorsione dei dati permette ai criminali informatici di colpire più efficacemente le organizzazioni con infrastrutture critiche, le quali sono generalmente più disposte a pagare riscatti per evitare violazioni dei dati, data l’alta sensibilità e il potenziale danno associato.

A volte, si può verificare anche un terzo livello di estorsione, in cui i cyber criminali prendono di mira i clienti delle aziende compromesse, chiedendo direttamente a loro un riscatto per evitare la diffusione delle informazioni che li riguardano. Questo può servire sia per ampliare ulteriormente il profitto sia per esercitare pressione sull’azienda violata, nel caso in cui si rifiuti di pagare il riscatto richiesto.

Ransomware e AI generativa

L’impiego dell’intelligenza artificiale generativa nel contesto del ransomware rappresenta un’avanzata significativa nelle tecniche utilizzate dagli attaccanti per rendere i loro attacchi più efficaci e meno riconoscibili. Le capacità dell’AI possono essere sfruttate per personalizzare massivamente gli attacchi di phishing, generando email, messaggi istantanei o comunicazioni sui social media che imitano il tono, lo stile e il contenuto di fonti legittime e familiari all’utente, aumentando notevolmente le probabilità che il destinatario clicchi su un link malevolo o scarichi un allegato infetto. 

Inoltre, l’AI generativa può essere impiegata per ottimizzare i payload di ransomware. Per esempio, algoritmi avanzati possono analizzare dati rubati o accessibili pubblicamente per determinare quali tipi di file sono più critici per una specifica organizzazione. Successivamente, possono adattare il ransomware per criptare selettivamente questi file critici, massimizzando così l’impatto e, potenzialmente, aumentando la probabilità che il riscatto venga pagato.

Un altro aspetto preoccupante dell’uso dell’AI generativa nei ransomware è la capacità di questi sistemi di apprendere e adattarsi in continuazione. A mano a mano che i sistemi di sicurezza si evolvono per rilevare e neutralizzare le minacce, l’AI generativa può essere utilizzata per testare la rilevabilità dei nuovi payload di ransomware, modificandoli fino a quando non eludono con successo le misure di sicurezza attuali in un ciclo continuo di test e adattamento.

Danni a breve e lungo termine

Un attacco ransomware di successo comporta per l’azienda danni significativi che superano le mere perdite finanziarie e si protraggono oltre il periodo dell’attacco stesso. 

Un danno immediato riguarda la possibilità di non recuperare i propri file, che possono includere informazioni critiche dei clienti. La legislazione vigente impone di informare i soggetti interessati che, di conseguenza, potrebbero intraprendere azioni legali e decidere di non avvalersi più dei servizi dell’azienda in questione. 

Altri impatti a breve termine includono la diminuzione delle vendite, la riduzione della produttività, i costi di risposta, recupero e ripristino; l’interruzione di processi aziendali critici; la perdita di asset come software, procedure interne e risorse intellettuali in più il costo del pagamento del riscatto, qualora l’organizzazione decidesse di cedere alla richiesta di estorsione. I danni a lungo termine sono altrettanto gravi. La divulgazione pubblica dei dati dei clienti può non solo causare la perdita di clienti esistenti ma anche precludere la possibilità di acquisirne di nuovi o di stringere partnership strategiche. I danni alla reputazione possono influenzare il personale, che potrebbe essere licenziato o decidere di cambiare azienda, generando una discontinuità nelle operazioni che compromette la stabilità e la continuità operativa dell’azienda. L’immediata riduzione delle entrate, conseguente all’evento, provoca ovviamente anche problemi di flusso di cassa.

Pagare o non pagare?

È l’eterno dilemma per chi ha subito un attacco di questo tipo. Le motivazioni per decidere di pagare sono diverse e comprendono principalmente il desiderio di evitare perdite di fatturato, accelerare il ripristino operativo e recuperare i dati. Chi deve prendere tale decisione si trova spesso in una situazione critica, necessitando di una soluzione rapida, il che può influenzare la lucidità nel prendere decisioni.

È importante chiarire un punto fondamentale: non esiste una soluzione tecnologica che permetta di ripristinare i dati cifrati senza avere accesso alla chiave di cifratura utilizzata dai cybercriminali. I dati cifrati da un ransomware sono, a tutti gli effetti, irrecuperabili se non si possiede la chiave.

Quando un’organizzazione subisce un attacco ransomware, si trova di fronte a tre possibili scenari. 

Il primo è pagare il riscatto nella speranza di recuperare i dati. Il secondo è tentare di ripristinare i dati alla condizione pre-attacco, avendo predisposto un sistema di sicurezza tecnologico capace di duplicare costantemente le risorse e di eliminare quelle compromesse per ripristinare quelle sicure. La terza opzione è quella di accettare la situazione, rimboccarsi le maniche e ripartire, assorbendo la perdita.

Tra queste, la seconda opzione è certamente la più auspicabile, ma anche quella che richiede lungimiranza che troppo spesso manca. Poter ripristinare i dati richiede la certezza che le copie di backup siano libere da codici maligni, il che non è affatto scontato considerando che, secondo i dati di Ponemon Institute, il tempo medio per rilevare una compromissione supera 200 giorni.

Come difendersi?

Il ransomware spesso entra nelle aziende attraverso azioni inconsapevoli dei dipendenti. Pertanto, il primo passo consiste nella prevenzione, che si attua elevando la cultura della sicurezza aziendale. È fondamentale che i dipendenti, di fronte a email che li esortano a compiere azioni contrarie alle procedure di sicurezza, basate su presunte emergenze, abbiano l’abitudine di consultarsi con il personale addetto prima di intraprendere qualsiasi iniziativa autonoma.

Altri strumenti preventivi includono l’uso di tecnologie di detection capaci di rilevare ogni tipo di malware e intercettare e di bloccare messaggi potenzialmente pericolosi. Questi strumenti spaziano dai sistemi di filtro antiphishing, ai sistemi di rilevamento di minacce note e attacchi zero day ma solo attraversi sistemi basati su AI è possibile intercettare azioni nocive attraessero l’analisi delle anomalie di comportamento. Per ridurre il rischio di estorsione attraverso l’esfiltrazione dei dati, è consigliabile cifrare i dati: in questo modo, anche se sottratti, non rappresenteranno alcun valore per il cybercriminale. Tuttavia, l’esperienza dimostra che la possibilità di un attacco ransomware riuscito, anche in presenza di tecnologie di protezione avanzate, non è mai completamente azzerabile.

La gestione del ransomware, così come altri aspetti della sicurezza IT, dovrebbe quindi essere affrontata con un approccio basato sull’analisi e sulla gestione del rischio, piuttosto che su una mera logica di protezione. Il principio guida è sempre più riconosciuto nel settore: non si tratta di chiedersi “se” si verificherà una violazione, ma “quando” questa avverrà, sottolineando l’inevitabilità di essere violati.

La risposta al ransomware non dovrebbe, quindi, consistere nel tentare di costruire un improbabile sistema di sicurezza impenetrabile né nel pagare il riscatto, poiché non vi è garanzia che il pagamento elimini la minaccia o impedisca future aggressioni. Risulta più indicato indirizzarsi verso un approccio che si sposta dalla sicurezza alla resilienza. Essere un’azienda resiliente significa essere in grado di affrontare un attacco ransomware con effetti limitati nel tempo, danni minimizzati e un’interruzione delle attività aziendali quasi nulla. 

10 buone pratiche per contrastare il Ransomware

  1. Formare gli utenti, inclusi quelli di tipo privilegiato, sulle più recenti tendenze del ransomware e alimentare una cultura della sicurezza.
  2. Eseguire un backup costante di tutti i file critici e dei dati personali e tenerlo costantemente aggiornato, protetto e isolato dalla rete.
  3. Utilizzare prodotti o servizi di sicurezza, possibilmente dotati di strumenti che utilizzano tecniche di AI per rilevare anomalie e comportamenti insoliti, per monitorare costantemente gli asset e identificare rapidamente possibili minacce.
  4. Predisporre misure di difesa diversificate adatte a proteggere le molteplici superfici di attacco utilizzate dai criminali informatici.
  5. Mantenere i dati critici cifrati in modo che, anche in caso di esfiltrazione, risultino inutilizzabili.
  6. Allineare il più possibile il livello di protezione di partner e fornitori a quello dell’organizzazione.
  7. Effettuare una valutazione regolare del rischio.
  8. Predisporre un piano di risposta e ripristino rapido e collaudarlo periodicamente per essere sicuri che sia sempre aggiornato rispetto all’evoluzione del ransomware.
  9. Gestire le identità e le autorizzazioni di accesso per dispositivi, utenti e processi, seguendo il principio del minimo privilegio e della separazione dei compiti.
  10. Separare gli ambienti di sviluppo da quelli di produzione.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli