Nuova puntata dell’esclusiva rubrica #LegallyIT costruita in collaborazione con TD SYNNEX e Colin & Partners. Un appuntamento dedicato al ransomware per scoprire tutto quello che c’è da sapere in caso di attacco, cosa rischiamo e, sopratutto, cosa fare per difendersi.
L’estensione della superficie di attacco dei sistemi IT aziendali ha causato l’aumento dei rischi di subire un attacco di sicurezza informatica, tra cui spicca la minaccia ransomware. Per far fronte a questa crescente insidia le aziende devono fondamentalmente strutturare tre attività: formazione, protezione e reazione.
Per quanto riguarda gli ultimi due punti, i sistemi di sicurezza informatica, se implementati in maniera consapevole, offrono solide garanzie sia per la protezione dei dati che quando si tratta di implementare una strategia di incident response, mitigando gli attacchi prima che possano provocare ingenti danni. Occorre quindi una strategia di cybersecurity capace di sfruttare le tecnologie attualmente disponibili nella prospettiva di mettere al sicuro i sistemi e i dati critici dell’azienda.
Anche se sulla carta potrebbe apparire l’operazione più semplice, la formazione del personale si rivela spesso una delle più complesse da affrontare in azienda, in quanto richiede non solo l’acquisizione di semplici nozioni di igiene informatica, ma un deciso cambiamento di mentalità rispetto al modus operandi che si praticava in ufficio prima dell’emergenza dello smart working.
Lavorando ed accendendo alle risorse on-premise e in cloud le autenticazioni degli utenti e il software attivo sui dispositivi utilizzati per le connessioni da remoto diventano un bersaglio privilegiato attraverso cui i cybercriminali attivano quei movimenti laterali con cui sanno arrivare nelle zone più sensibili della rete, dove le aziende conservano i dati più critici, come le informazioni sui clienti e i segreti di natura industriale.
Di cosa si tratta e cosa dicono i dati
Il ransomware è un malware (software malevolo) in grado di infettare un sistema procedendo alla crittografia dei dati necessari per la sua corretta esecuzione, per paralizzare l’operatività della vittima e chiedergli un cospicuo riscatto. Tale operazione può essere preceduta dall’esfiltrazione dei dati stessi, ai fini di rivolgere un attacco a doppia estorsione, che alla minaccia data dal blocco dei sistemi aggiunge il ricatto in merito alla diffusione di informazioni che potrebbero avere un carattere vitale per le aziende che subiscono la violazione.
Il ransomware si diffonde soprattutto mediante attacchi di phishing o di social engineering, in grado di sfruttare l’errore umano per accedere ai sistemi, dove iniziare in maniera silenziosa una penetrazione sempre più profonda, ai fini di prendere il controllo dei server e degli storage più rilevanti nella rete aziendale.
I primi esempi di ransomware risalgono al 1989, anche se la loro diffusione massiccia ha iniziato ad avere luogo verso la metà degli anni 2000. Secondo i dati analizzati dal report State of Ransomware 2022, il 51% delle aziende sarebbe stato, almeno una volta, vittima di un attacco di natura ransomware, a prescindere dai danni provocati. Dopo una flessione nel 2020 (37%) il dato è andato progressivamente a risalire fino al preoccupante 66% del 2021, con le prospettive per l’anno in corso tutt’altro che rosee. Secondo il rapporto Clusit 2022, il ransomware caratterizzerebbe inoltre il 67% degli attacchi informatici di tipologia malware.
L’identikit degli hacker assume una dimensione sempre più sfaccettata, soprattutto per quanto concerne le motivazioni della loro attività: divertimento, attivismo o rivalsa personale. Per quanto riguarda la diffusione dei ransomware, il principale attore protagonista è certamente il criminale informatico, che è mosso sostanzialmente dal desiderio di trarre lucro dalle vittime che riesce a colpire attraverso la sua attività. Il proliferare degli attacchi ransomware ha incentivato la nascita e la diffusione di una nuova figura professionale: l’ethical hacker, che dispone delle medesime conoscenze della sua controparte nel lato oscuro. L’obiettivo degli hacker buoni è quello di anticipare le mosse dei criminali, cercando di individuare le vulnerabilità delle reti e delle applicazioni prima che ci riescano i malintenzionati.
I tipi di attacco ransomware più diffusi
Tra le forme più diffuse di ransomware spicca indubbiamente quello che utilizza la crittografia per rendere inaccessibili i file presenti su sistemi aziendali, in modo da perpetrare la richiesta di un riscatto.
Secondo i dati pubblicati dal report State of Ransomware 2022, il riscatto medio pagato dalle vittime di un attacco ransomware è stato di 308.071 dollari per il 2021. Il 43% delle aziende colpite avrebbe pagato il riscatto ma soltanto il 4% di queste sarebbe riuscita a venire a capo di tutti i dati attaccati.
Questo fatto si spiega facilmente se pensiamo alla natura dei cybercriminali, soggetti privi di qualsiasi scrupolo, che cercano di limitare il più possibile lo scambio di dati per evitare le loro comunicazioni vengano intercettate.
Gli attacchi ransomware sono riconducibili a due tipologie: a campione o mirati. Nel secondo caso l’attaccante prende di mira una vittima ben precisa, studiandola nei minimi dettagli prima di infiltrarsi e portare a termine il proprio attacco, esfiltrando i dati prima di procedere alla crittografia degli stessi.
I cybercriminali sfruttano soprattutto due strumenti per garantirsi l’accesso ai sistemi aziendali: l’errore umano (social engineering) e la posta elettronica (phishing).
