Zscaler ha pubblicato l’edizione 2023 del Report sul ransomware di ThreatLabz. Il report di quest’anno monitora il continuo aumento degli attacchi ransomware complessi e mette in evidenza le recenti evoluzioni di questa tipologia di minacce, tra cui la tendenza a prendere di mira gli enti pubblici e le aziende provviste di assicurazione informatica, a cui si aggiunge la crescita del Ransomware-as-a-Service (RaaS) e l’estorsione senza crittografia.
“Gli attacchi RaaS hanno contribuito a un aumento costante degli attacchi ransomware sofisticati” ha dichiarato Deepen Desai, Global CISO e Head of Security Research di Zscaler. “I criminali informatici responsabili delle minacce ransomware riescono a eludere la rilevazione lanciando attacchi senza crittografia che comportano l’esfiltrazione di grandi volumi di dati. Le aziende devono abbandonare l’uso di prodotti non integrati obsoleti e migrare, invece, verso una piattaforma Zero Trust completamente integrata che minimizzi la superficie di attacco, prevenga le violazioni, riduca il raggio di diffusione in caso di attacco riuscito e impedisca l’esfiltrazione dei dati”.
L’evoluzione del ransomware è caratterizzata da una relazione inversa tra la complessità degli attacchi e la barriera di protezione in ingresso per i nuovi gruppi di criminali informatici. La barriera all’ingresso si è assottigliata, mentre gli attacchi informatici sono cresciuti in termini di complessità, grazie alla prevalenza del RaaS, un modello secondo cui i criminali informatici vendono i loro servizi sul dark web per il 70-80% dei profitti del ransomware. Questo modello di business ha continuato a crescere di popolarità negli ultimi anni, come dimostra la frequenza degli attacchi ransomware, aumentati di quasi il 40% nell’ultimo anno. Una delle tendenze più rilevanti da sottolineare è stata la crescita dell’estorsione senza crittografia, uno stile di attacco informatico che privilegia l’esfiltrazione dei dati rispetto a metodi di crittografia più distruttivi.
I paesi più colpiti dal ransomware
Gli Stati Uniti sono stati il Paese più bersagliato dagli attacchi ransomware a doppia estorsione, con ben il 40% di tutte le vittime. Canada, Regno Unito e Germania insieme hanno subito meno della metà degli attacchi che hanno invece preso di mira le aziende statunitensi. Le famiglie di ransomware più diffuse che Zscaler ThreatLabz ha monitorato includono BlackBasta, BlackCat, Clop, Karakurt e LockBit, che rappresentano una minaccia significativa in termini di perdite finanziarie, violazioni di dati e interruzioni operative per utenti e aziende di tutte le dimensioni.
Nell’ultimo anno, il settore più bersagliato a livello globale è stato quello manifatturiero, nel quale la proprietà intellettuale e le infrastrutture critiche sono obiettivi interessanti per i gruppi che operano attraverso ransomware. Tutti i gruppi di ransomware rilevati da Zscaler hanno colpito le aziende di questo settore, che include società impegnate nella produzione di beni per settori quali l’automotive, l’elettronica e il tessile, solo per citarne alcuni. La ricerca di Zscaler ha rilevato che la famiglia di ransomware BlackBasta era particolarmente interessata alle aziende manifatturiere, con oltre il 26% dei casi.
Tendenze crescenti nel panorama ransomware
Nel 2021, ThreatLabz ha osservato 19 famiglie di ransomware che hanno adottato approcci a doppia o multipla estorsione per i loro attacchi informatici. Da allora sono state osservate 44 famiglie di ransomware. Il motivo per cui questi tipi di attacchi sono popolari è che, dopo aver crittografato i dati rubati, i criminali informatici minacciano di diffonderli online per aumentare ulteriormente la pressione sulle vittime affinché paghino. Gli attacchi di estorsione senza crittografia, che saltano il processo di crittografia, impiegano la stessa tattica di minacciare di diffondere i dati delle vittime online se non pagano e sono sempre più diffusi. Questa tattica consente ai gruppi di ransomware di ottenere profitti maggiori più rapidamente, eliminando cicli di sviluppo del software e il supporto alla decrittazione. Pertanto, gli attacchi di estorsione senza crittografia tendono a non interrompere le operazioni commerciali delle vittime, con conseguenti minori tassi di denuncia. In origine, la tendenza all’estorsione senza crittografia è iniziata con gruppi di ransomware come Babuk e SnapMC. Nell’ultimo anno, i ricercatori hanno visto una serie di nuove famiglie adottare questa tattica, tra cui Karakurt, Donut, RansomHouse e BianLian.
Protezione con Zscaler Zero Trust Exchange
Per difendersi dagli attacchi ransomware è necessario un approccio completo che affronti ogni fase della minaccia, riducendo al minimo i danni potenziali. Zscaler Zero Trust Exchange offre una piattaforma Zero Trust onnicomprensiva integrata con misure di protezione ransomware all’avanguardia. Adottando le seguenti linee guida, è possibile ridurre efficacemente il rischio di cadere vittima di un attacco ransomware.
- Prevenire la compromissione iniziale: adottare policy di sicurezza coerenti che garantiscano una sicurezza senza compromessi. Grazie all’implementazione di funzionalità estese di ispezione SSL (Secure Sockets Layer), isolamento del browser, sandboxing inline e controllo degli accessi basato su policy, è possibile impedire l’accesso a siti Web dannosi, bloccare i canali di compromissione iniziale e rilevare le minacce sconosciute che raggiungono gli utenti.
- Bloccare gli utenti compromessi e le minacce interne: la combinazione dell’ispezione delle applicazioni inline e l’ITDR (Identity Threat Detection & Response) con le funzionalità di deception integrate consente di rilevare, ingannare e bloccare efficacemente potenziali criminali informatici, che si tratti di minacce esterne o di utenti malintenzionati.
- Ridurre al minimo la superficie di attacco esterna ed eliminare gli spostamenti laterali: impedire ai criminali informatici di operare all’interno della rete scollegando le applicazioni da Internet e adottando un’architettura Zero Trust Network Access (ZTNA) .
- Prevenire la perdita dei dati: implementare misure di prevenzione della perdita di dati in linea con l’ispezione TLS completa e ispezionare a fondo i dati sia in transito che a riposo, per bloccare efficacemente i tentativi di furto di dati. Rimanere un passo avanti ai criminali informatici aggiornando regolarmente il software e fornendo agli utenti una formazione completa sulla sicurezza.
Sfruttando le potenzialità di Zscaler Zero Trust Exchange e adottando queste best practice, le aziende possono proteggere in modo proattivo i loro utenti, i workload, i dispositivi IoT/OT e la connettività B2B, in modo che i dati critici siano al sicuro dal panorama di minacce in continua evoluzione degli attacchi ransomware.