Il mese scorso una minaccia informatica è balzata agli onori di cronaca. L’attacco ransomware scagliato dal gruppo DarkSide contro la rete di oleodotti Colonial Pipeline, che trasporta quasi la metà del carburante consumato lungo la costa orientale degli Stati Uniti, ha interrotto le operazioni di un’infrastruttura nazionale critica, e l’impatto che ha generato sulle nostre vite ci ha chiaramente ricordato cosa può scatenare un attacco informatico, quando ha successo.
Se la portata e le conseguenze di questo drammatico evento hanno conquistato i titoli dei giornali di tutto il mondo, dobbiamo constatare come questo attacco rappresenta, in sostanza, solo un’ulteriore conferma dell’incredibile inasprimento delle campagne ransomware registrate nell’ultimo anno. Oltre a un aumento del numero degli attacchi, VMware ha rilevato come i ransomware stiano diventando a tutti gli effetti minacce sempre più organizzate e sofisticate, con la diffusione del cosiddetto ransomware-as-a-service, che permette a una base sempre più ampia di criminali di scagliare pericolosi attacchi utilizzando strumenti già esistenti e avanzati. Una situazione, questa, che crea preoccupazioni crescenti per i CISO in tutto il mondo, impegnati nel fronteggiarli e dovere allo stesso tempo difendere un ambiente sempre più distribuito.
Ransomware, causa principale delle violazioni di sicurezza a livello globale
Nel nuovo report Global Security Insights, VMware ha intervistato 3.542 CISO di 14 diversi Paesi rilevando come gli attacchi ransomware siano oggi la causa primaria delle violazioni informatiche all’interno delle organizzazioni di tutto il mondo.
Il numero medio di attacchi ransomware subiti è raddoppiato nell’ultimo anno. Inoltre, la VMware Threat Analysis Unit ha identificato un aumento del 900% dei ransomware nella prima metà del 2020.
Durante la pandemia, i cybercriminali hanno capitalizzato sulle proprie attività, sfruttando le vulnerabilità causate dal rapido incremento della forza lavoro distribuita e dall’uso di dispositivi personali e reti da parte dei lavoratori da remoto. Gli aggressori hanno oggi un’opportunità senza precedenti di indirizzare i propri attacchi di social engineering, come il phishing ad esempio, verso una moltitudine di lavoratori ignari.
Nessun settore è oggi immune dagli attacchi. L’industria sanitaria, già stretta nella morsa pandemica, è stata incredibilmente – e vergognosamente – presa di mira dai ransomware nel 2020. Come riportato dai CISO operanti in questo settore che abbiamo intervistato, una violazione su cinque è stata causata proprio da ransomware. Nello stesso modo in cui DarkSide ha attaccato un’infrastruttura critica nazionale, i gruppi ransomware hanno cercato di speculare sulle organizzazioni sanitarie, spesso più propense a pagare un riscatto a causa della criticità delle loro attività.
Le tattiche a doppia estorsione aumentano la pressione sulle vittime
Le nuove tattiche di attacco, inoltre, stanno rendendo il ransomware una minaccia molto più sfumata e difficile da rilevare. Invece di bloccare immediatamente i sistemi, gli aggressori mirano a infiltrarsi senza essere individuati e a stabilire una presenza nella rete target, muovendosi lateralmente ed estraendo dati che possono essere monetizzati anche nel momento in cui non venga pagato alcun riscatto. La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione.
Queste tecniche, sicuramente più sofisticate, concedono ai criminali informatici una maggiore presa e controllo sulle vittime. Oltre alla necessità di decriptare i propri sistemi, per le organizzazioni si pone anche il rischio che risorse critiche come i dati dei clienti o i segreti commerciali vengano diffusi illecitamente per la vendita sul dark web e che la violazione venga resa pubblica. Il rischio per la reputazione è talmente forte che spesso la pressione a pagare il riscatto è altrettanto significativa. Tuttavia, a meno che la presenza dell’aggressore nella rete di un’organizzazione non venga definitivamente rimossa, rimane sempre alta la possibilità che questo ritorni, e sferri un altro attacco contro l’obiettivo che ha mostrato disponibilità a pagare il riscatto. La comunità dei criminali informatici sta sfruttando questo approccio decisamente redditizio, e circa il 40% dei professionisti della sicurezza afferma che il ransomware a doppia estorsione è la nuova tecnica di attacco ransomware del 2020.
Rafforzare le difese contro il ransomware
In uno scenario che vede le aziende adattarsi costantemente per supportare la forza lavoro distribuita, e i malintenzionati sfruttare un varietà sempre maggiore di minacce informatiche, i CISO hanno l’opportunità di rafforzare le difese contro il ransomware e proteggere la propria organizzazione. Come?
Offrendo la sicurezza come servizio distribuito: per proteggere la forza lavoro distribuita, indipendentemente dai dispositivi e dalle reti utilizzate dai dipendenti, è necessario fornire controlli degli endpoint e della rete come servizio distribuito, in grado di seguire le risorse da proteggere attraverso tutto l’ambiente.
Dando priorità alla visibilità: una migliore visibilità sugli endpoint e sui carichi di lavoro offre una visione e un’intelligenza sul contesto in grado di supportare i team di sicurezza nel prioritizzare le diverse situazioni e gestire il rischio con maggior fiducia.
Conducendo regolarmente la ricerca delle minacce: il primo passo di una campagna ransomware su più fasi è ottenere l’accesso alle reti silenziosamente, senza farsi intercettare. Una ricerca delle minacce da parte dei team di sicurezza condotta in modo regolare può, al contrario, rilevare incursioni ben nascoste e la presenza di avversari nell’ambiente individuando i comportamenti anomali.
Monitorando in modo “silenzioso” i sistemi per evitare una seconda offensiva: bisogna sempre supporre che l’avversario abbia a disposizione più mezzi per accedere all’ambiente che vuole colpire. È quindi buona prassi osservare, bloccando il malware o terminando i sistemi solo quando si è completamente sicuri di comprendere tutte le possibili vie di rientro dello stesso.
Scegliendo un partner di sicurezza affidabile: purtroppo non è più una questione di se, ma di quando le organizzazioni saranno prese di mira, ed è quindi essenziale farsi trovare preparati. È importante poter contare su un partner specializzato nell’Incident Response per sviluppare un piano di risposta e implementarlo, quando necessario. Questo dovrebbe includere la remediation e l’analisi post incidente per sradicare definitivamente qualsiasi presenza residua dell’aggressore, evitando così nuovi possibili attacchi da parte dello stesso.
Oggi le organizzazioni stanno ripensando profondamente il proprio approccio alla sicurezza e, in questo, la difesa contro il ransomware dovrebbe essere una priorità assoluta. La forza lavoro distribuita deve essere supportata adottando una strategia di sicurezza che circondi e protegga i dipendenti per permettere loro di lavorare in modo sicuro e produttivo senza mettere a rischio l’infrastruttura, la reputazione e la competitività dell’azienda.
Di Rodolfo Rotondo, Principal Business Solution Strategist, VMware EMEA