Non è un segreto che i criminali informatici testino continuamente le reti aziendali e i dipendenti per individuare le vulnerabilità; poiché il mondo si è spostato in una direzione sempre più digitale, gli attacchi di ransomware stanno crescendo rapidamente e causando più grattacapi che mai alle organizzazioni.
Gli hacker usano ogni strumento digital per rubare dati e, in alcuni casi, minacciano persino di rilasciare pubblicamente informazioni sensibili.
2021: le ultime tendenze del ransomware
La forte ondata di trasformazione digitale, incentivata nel corso del 2020 e 2021 dalla emergenza coronavirus, ha portato molte più aziende nel perimetro informatico. Una naturale conseguenza è che anche le minacce informatiche sono aumentate nel corso dell’anno.
Secondo Security Boulevard c’è stato un aumento medio del 139% su base annua degli attacchi ransomware nel terzo trimestre del 2020 rispetto terzo trimestre del 2019, e il trend appare in continua crescita
Tutti i settori produttivi sono interessati dal ransomware, nessuno è stato risparmiato. Ad esempio, sempre secondo Security Boulevard, gli attacchi ransomware riusciti nel settore dell’istruzione sono aumentati di un sorprendente 388% nel terzo trimestre del 2020.
In questi primi mesi del 2021, Proofpoint ha già identificato oltre 30 campagne che hanno sfruttato esche e-mail associate alle tasse, all’assistenza fiscale, ai rimborsi e agli enti governativi mirate a colpire grandi quantità di persone.
Sono almeno quattro i gruppi tracciati da Proofpoint che si sono focalizzati su e-mail a tema fiscale. Ciò che però rende unico il 2021 è la crisi pandemica, sanitaria e finanziaria senza precedenti che i cybercriminali stanno combinando alle esche di phishing tradizionali.
Durante questi attacchi, non solo gli hacker sono intenzionati a tenere in ostaggio dati o reti, ma spesso esfiltrano dati e minacciano di pubblicarli altrove se le aziende non pagano.
Questi attacchi possono anche rivelarsi incredibilmente costosi, con richieste di riscatto che raggiungono una media di 5 milioni di dollari e raggiungono i 40 milioni di dollari. In un esempio allarmante, Cognizant ha affermato che l’attacco ransomware subito nell’aprile 2020 ha avuto un costo compreso fra i 50 e i 70 milioni di dollari.
Esfiltrazione di dati in aumento come parte degli attacchi ransomware
La minaccia del ransomware per le aziende continua a crescere, ma in particolare l’esfiltrazione di dati sta crescendo a un ritmo allarmante.
A partire dal secondo trimestre del 2020, circa il 50% dei casi di ransomware ora include l’esfiltrazione di dati, il che significa che informazioni come nomi utente, password e informazioni finanziarie personali sono state rubate.
Sebbene un’azienda possa eseguire il backup di tutti questi dati, può essere incredibilmente dannoso che i dati rubati vengano rilasciati pubblicamente dagli hacker.
I cybercriminali colpiscono le organizzazioni e spesso non mantengono la parola data
Tuttavia, sebbene molte aziende hanno negoziato con hacker che hanno eseguito tattiche di esfiltrazione dei dati, ci sono alcune indicazioni che siamo a un punto di svolta.
Coveware, ad esempio, osserva che molti criminali informatici rilascino pubblicamente i dati nonostante abbiamo ricevuto il riscatto pattuito.
Pertanto, le aziende potrebbero non sentire la necessità di pagare per i dati esfiltrati perché non c’è modo di garantire che l’accordo venga rispettato. Dopotutto, parliamo di criminali, non certo di stimati professionisti.
Evoluzione dei modelli di attacco ransomware: parte la caccia grossa
Un’altra tendenza importante che è importante capire sugli attacchi ransomware nel 2021 è che hacker e criminali informatici si stanno impegnando nella “big game hunting”, un termine reso popolare dalla società di sicurezza informatica CrowdStrike.
In questa nuova tattica, i criminali informatici si addentrano nei sistemi anziché, ad esempio, limitarsi a inserire un allegato in un gruppo di e-mail di spam nella speranza che qualcuno faccia clic accidentalmente.
Un salto di qualità nelle strategie del cybercrime: assistiamo nel 2021 ad una distribuzione di ransomware più coordinata e strategica.
La tecnica degli “spostamenti laterali” all’interno di un sistema informatico richiede più tempo agli aggressori, ma permette loro di entrare in possesso di una quantità moto superiore di dati.
Le nuove forme di attacco alle organizzazioni
Quando si verifica un attacco ransomware in un’azienda, inizia con un punto di compromessione iniziale.
I tre punti di compromissione più comuni sono phishing, rete e desktop remoti. Phishing è quando un criminale si presenta come un interlocutore noto e affidabile, ad esempio fingendo di essere la propria banca in un’e-mail in modo che il malcapitato possa rivelare i suoi numeri di conto o la password. Vulnerabilità della rete: in questo caso i cybercriminali attaccano apparecchiature di rete non sottoposte a patch o con vulnerabilità ancora non note per infiltrarsi un un network aziendale. Protocollo desktop remoto: in questo caso, uno strumento software di desktop remoto che ha già accesso a una macchina viene sfruttato e quindi utilizzato per accedere al dispositivo per rubare informazioni.
I criminali informatici impiegano tempo per raccogliere informazioni e ottenere l’accesso amministrativo
Una volta che un hacker ha sfruttato uno dei punti di vulnerabilità, si prende il suo tempo e lavora metodicamente.
Se in passato questi criminali avrebbero colpito immediatamente, nel 2021 potrebbero prendersi intere settimane per studiare al meglio l’ambiente informatico e capire come funzionano i sistemi. L’obiettivo finale molto probabilmente è ottenere i privilegi di amministratore, che consente loro di sfruttare i computer di tutta la rete.
Dopo che la rete è stata compromessa, gli hacker lavoreranno per esfiltrare i dati, distruggere i backup e distribuire più ransomware possibile in ogni direzione.
Una volta fatto tutto ciò, gli hacker rendono pubbliche le loro richieste e spesso minacciano di rilasciare dati esfiltrati o di eliminare l’unica copia rimanente di dati essenziali.
Come contenere e contrastare il fenomeno ransomware
Per sintetizzare le contromisure da adottare ci affidiamo, in rappresentanza dell’intero comparto di offerta tecnologica, alle indicazioni di David Gubiani, Regional Director SE EMEA Southern di Check Point Software Technologies, che suggerisce ovvoiamente di utilizzare tecnologie capaci di prevenire anche malware sconosciuti, di adottare una strategia di backup e recovery e di provvedere sempre alla formazione dei propri dipendenti.
Spesso, infatti, il ransomware entra in azienda tramite messaggi di phishing. Quindi è possibile prevenire un attacco se l’utente è in grado di identificare una potenziale minaccia e per fare questo l’educazione svolge un ruolo fondamentale.
Infine, per ridurre al minimo l’impatto di un attacco riuscito, è importante garantire che gli utenti abbiano accesso solamente alle informazioni e alle risorse di cui hanno bisogno per svolgere il proprio lavoro.
Ad esempio, la segmentazione riduce al minimo il rischio che il ransomware si diffonda in modo incontrollabile sulla rete.
Risolvere le conseguenze di un attacco ransomware su un singolo sistema può essere difficile, ma riparare i danni dopo un attacco a un’intera rete è molto più complicato.
La sicurezza informatica deve essere quindi parte integrante di tutti i processi aziendali e la protezione deve essere affrontata in modo completo, i rischi non possono più essere presi alla leggera.