Contrastare il ransomware con la cyber resilienza

A 10 anni dalla sua comparsa, il ransomware rimane la minaccia IT più significativa per le Pmi, mentre i gruppi di criminali informatici continuano a fare evolvere le loro tattiche. Una risposta efficace risiede nell’adottare un approccio indirizzato alla cyber resilienza come quello suggerito da OpenText Cybersecurity

Il ransomware rappresenta un “modello di business” di grande successo per i criminali informatici e rimane la minaccia informatica più significativa per le piccole e medie imprese.

I gruppi ransomware continuano a sperimentare e a far evolvere le loro tattiche in un panorama di minacce in continua evoluzione. Secondo i dati del Cybersecurity Threat Report 2023 di OpenText Cybersecurity (che si basa su 95 milioni di sensori reali) l’84% degli attacchi ransomware include minacce di data leakage e un numero crescente di gruppi di criminali informatici sembra rinunciare completamente alla cifratura, limitandosi a rubare i dati e a minacciare di pubblicarli.

Piuttosto che cifrare i file violati, diventa preferibile inviare alle vittime “screenshot” dei dati riservati come prova dell’avvenuta violazione, tentando di estorcere pagamenti. Questa strategia elimina la necessità di disporre di competenze in materia di cifratura, di archiviazione e gestione delle chiavi di decifrazione e della capacità di distribuire il malware per la cifratura dei file attraverso l’intera infrastruttura dell’azienda target.

Una violazione dei dati può danneggiare significativamente la reputazione di un’azienda nei confronti dei propri clienti, a volte in modo così irreparabile che l’azienda potrebbe non sopravvivere. Inoltre, le autorità di controllo potrebbero multare le aziende che non hanno protetto i dati dei loro clienti; in alcuni casi, l’importo delle multe è più alto del riscatto e quindi l’effetto ottenuto è quello di incentivare le vittime a ricompensare gli aggressori pagando il riscatto.

, Contrastare il ransomware con la cyber resilienza
Pierpaolo Alì, Director Southern Europe di OpenText Cybersecurity

“Il danno per le vittime è doppio – spiega Pierpaolo Alì, Director Southern Europe, France, Belgium & Luxemburg di OpenText Cybersecuritypoiché il costo della mancata conformità alle normative sulla privacy dei dati e il danno al brand possono essere ancora più devastanti delle interruzioni causate dal ransomware. Per questo motivo molte aziende sono portate a ritenere più conveniente la scelta di pagare il riscatto e nascondere l’intero incidente”.

 

I metodi di ransomware si evolvono e la crittografia diventa più veloce

La maggior parte dei ransomware continua a diffondersi attraverso attacchi malware a più livelli.  Nella maggior parte dei casi, il malware viene trasmesso attraverso campagne di phishing: nella prima fase, l’utente viene indotto a cliccare su un allegato o un link dannoso, che infetta il computer con un client botnet che fornisce all’aggressore capacità di comando e controllo. Nella fase successiva, l’aggressore sfrutta il client botnet per installare un malware che gli consente di spostarsi e di effettuare ricognizioni all’interno dell’organizzazione prima di infettare l’ambiente con un ransomware. Anche lo sfruttamento delle vulnerabilità senza patch resta un veicolo molto importante. I cybercriminali utilizzano sempre più frequentemente tattiche di tripla estorsione, in cui la cifratura dei dati viene combinata con la “data leakage” e gli attacchi DDoS (Distributed Denial of Service) per aumentare la pressione sulla vittima.

Il Cybersecurity Threat Report 2023 di OpenText Cybersecurity evidenzia anche l’aumento delle tecniche di Living off the Land (LotL), in cui gli attori delle minacce approfittano di applicazioni innocue per eseguire payload dannosi camuffati da processi legittimi. Un’altra tecnica che sta crescendo in popolarità è il side-loading DLL, in cui gli aggressori eseguono librerie DLL dannose dall’interno di applicazioni legittime e affidabili, spesso con privilegi di sistema elevati.

Un ulteriore diversificazione riguarda l’uso di nuovi linguaggi di programmazione, come Rust e Go, che possono rendere più difficile il rilevamento dei file e facilitare la compilazione del malware in modo che venga eseguito su sistemi operativi o piattaforme diverse. Una conseguenza è che i ransomware non si concentrino più esclusivamente sul sistema operativo Windows ma si estendano anche su Linux. Il cybercrimine si sta anche concentrando per sviluppare malware in grado di cifrare i file a velocità record. In tal modo, il tempo che intercorre tra la penetrazione iniziale in un ambiente e la completa compromissione si riduce da settimane a giorni o addirittura ore e può risultare quasi impossibile per i difensori impedire la cifratura su larga scala.

OpenText Cybersecurity contrasta il ransomware con la cyber resilienza

In uno scenario in cui il ransomware può infettare i sistemi in molti modi diversi e gli attaccanti continuano a diversificare le loro tecniche, anche le organizzazioni con programmi di gestione delle vulnerabilità eccezionalmente accurati non possono aspettarsi di evitare per sempre ogni compromissione. “Questo non significa che sia inutile provarci – spiega Pierpaolo Alì – ma che bisogna spostare l’attenzione sulla resilienza informatica, non solo sulla prevenzione. La resilienza informatica implica l’adozione di misure per evitare gli attacchi, preparando, al contempo, la propria organizzazione a rispondere agli attacchi ransomware che sfuggono alle maglie della rete. Gli aggressori di ransomware possono spesso violare singoli livelli ma di solito non tutti contemporaneamente. Combinando tatticamente più livelli di protezione è possibile ridurre significativamente il rischio che un attacco di questo tipo abbia successo”. Una strategia di sicurezza multilivello richiede che i team di sicurezza predispongano un solido piano di risposta agli incidenti, in modo da poter agire rapidamente per bloccare la diffusione di un’infezione iniziale. Inoltre, serve sviluppare e testare costantemente le capacità di backup, in modo da essere sicuri di poter ripristinare i sistemi e i dati critici in tempo per proteggere la continuità delle operazioni. Infine è essenziale rivalutare regolarmente il piano di resilienza IT per assicurarsi che sia sempre adatto a fronteggiare le nuove minacce.

“Dal punto di vista delle soluzioni non bastano le applicazioni di data protection – conclude Alì – ed è per questo che OpenText Cybersecurity mette a disposizione un’ampia gamma di soluzioni software per la cyber resilienza, concepite per preparare le diverse tipologie di organizzazione a fronteggiare un attacco ransomware. L’offerta di OpenText Cybersecurity mette a disposizione gli strumenti appropriati per indagare e scoprire i punti deboli e le vulnerabilità e per assicurare che il team di sicurezza sia costantemente preparato e disponga delle competenze necessarie per utilizzare tali strumenti in caso di emergenza.”

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli