Se la crescita degli attacchi ransomware nel 2022 rappresenta un’indicazione per il futuro, i team di sicurezza di tutto il mondo devono aspettarsi che questo vettore di attacco cresca ancora di più nel 2023. Il team dei FortiGuard Labs di Fortinet ha infatti documentato 10.666 nuove varianti di ransomware nella prima metà del 2022, rispetto alle 5.400 della seconda metà del 2021: un aumento di quasi il 100%. Questa crescita esplosiva di nuove varianti di ransomware è dovuta principalmente al maggior numero di malintenzionati che sfruttano il Ransomware-as-a-Service (RaaS) nel dark web.
Tuttavia, nonostante l’aumento delle varianti di ransomware, le tecniche che i malintenzionati utilizzano per diffondere il ransomware rimangono in gran parte le stesse. Questa è una buona notizia, perché i team di sicurezza dispongono di un modello affidabile per proteggersi da questi attacchi. Ecco un approfondimento sulle strategie di mitigazione del ransomware e su come implementarle all’interno delle organizzazioni.
Che cos’è un ransomware?
Il ransomware è un malware che tiene in ostaggio i dati al fine di ottenere il pagamento di un riscatto. Inoltre, minaccia di pubblicare, bloccare o corrompere i dati, o di impedire all’utente di lavorare o accedere al proprio dispositivo se le richieste del malintenzionato non vengono soddisfatte. Oggi il ransomware viene spesso diffuso tramite e-mail di phishing. Questi allegati malevoli infettano il computer dell’utente una volta aperti. Il ransomware può essere diffuso anche attraverso il drive-by downloading, che si verifica quando un utente visita un sito web infetto e il malware presente sul sito viene scaricato e installato, senza che l’utente se ne accorga.
Anche il social engineering svolge spesso un ruolo in un attacco ransomware. In questo caso, il malintenzionato tenta di manipolare qualcuno per indurlo a divulgare informazioni riservate. Una tattica comune di social engineering consiste nell’inviare e-mail o messaggi di testo per spaventare l’obiettivo e indurlo a condividere informazioni sensibili, aprire un file malevolo o fare clic su un link fraudolento.
Che cos’è la mitigazione del ransomware?
I tentativi di attacco e le violazioni dei dati sono inevitabili e nessuna organizzazione vuole essere costretta a decidere tra il pagamento di un riscatto e la perdita di dati importanti. Fortunatamente, queste non sono le uniche due opzioni. La strada migliore da percorrere è quella di adottare misure appropriate per salvaguardare le reti, in modo da ridurre le probabilità che un’azienda venga colpita da ransomware. Questo approccio richiede un modello di sicurezza stratificato che combini controlli di rete, endpoint, edge, applicazioni e data center, oltre a una threat intelligence in costante aggiornamento.
Oltre all’implementazione dei giusti strumenti e processi di sicurezza, non bisogna dimenticare il ruolo della formazione in materia di sicurezza informatica, all’interno della strategia di mitigazione. Insegnare ai dipendenti come individuare un attacco ransomware e, in generale, educarli a pratiche solide di cyber hygiene, è un’ottima difesa contro gli aggressori più astuti.
Comprendere i rischi che rendono necessaria la mitigazione del ransomware
Guardando in giro per le organizzazioni, è probabile che si trovino “lacune” nella sicurezza che aumentano le probabilità che queste siano vittime di un attacco ransomware. Ecco alcune sfide comuni che i team di sicurezza e le loro organizzazioni devono affrontare e che possono renderle più vulnerabili agli incidenti informatici.
- Mancanza di conoscenze di cyber hygiene tra i dipendenti: il comportamento umano continua a essere un fattore significativo nella maggior parte degli incidenti di sicurezza. Oltre a comprendere i segnali del ransomware, la mancanza di una formazione generale sulla sicurezza informatica tra i dipendenti può mettere a rischio l’organizzazione. Secondo il Verizon 2022 Data Breach Investigations Report, l’82% delle violazioni avvenute nell’ultimo anno ha coinvolto l’elemento umano.
- Policy per le password deboli: policy insufficienti relative alle credenziali dei dipendenti, o l’assenza totale delle stesse, aumentano la probabilità che un’organizzazione subisca una violazione della sicurezza. Le credenziali compromesse sono coinvolte in quasi il 50% degli attacchi.
- Monitoraggio e processi di sicurezza insufficienti: nessuno strumento da solo offre tutto ciò di cui il team di sicurezza ha bisogno per monitorare e proteggere da potenziali incidenti informatici, come il ransomware. Un approccio di sicurezza stratificato può aiutare le organizzazioni a gestire adeguatamente il rischio aziendale.
- Carenza di personale nei team di sicurezza e IT: non è un segreto che sia necessario avere nel proprio team persone con le giuste competenze per supportare il monitoraggio e gli sforzi di mitigazione del rischio per combattere efficacemente la criminalità informatica. Tuttavia, i dati dimostrano che la carenza di competenze in materia di sicurezza informatica rappresenta una sfida continua per i CISO: come attrarre e fidelizzare nuovi talenti, assicurando al contempo ai membri attuali del team le necessarie opportunità di formazione e aggiornamento?
Gli ultimi attacchi ransomware da cui imparare
Il ransomware continua a diventare sempre più aggressivo e costoso, e colpisce aziende di ogni settore e area geografica. Sebbene la maggior parte di noi si ricordi dei recenti attacchi ransomware di alto profilo che hanno coinvolto aziende come Colonial Pipeline e JBS, si verificano innumerevoli altri incidenti ransomware che non fanno notizia. Tuttavia, molti attacchi ransomware possono essere prevenuti applicando solide pratiche di cyber hygiene, tra cui l’offerta di una formazione continua sulla consapevolezza informatica per i dipendenti, e concentrandosi sull’implementazione di misure di Zero Trust Network Access (ZTNA) e sulla sicurezza degli endpoint.
5 best practice per la protezione dai ransomware
Il rilevamento efficace del ransomware richiede una combinazione di formazione e tecnologia. Ecco alcuni dei modi migliori per rilevare e prevenire l’evoluzione degli attuali attacchi ransomware:
- Educare i dipendenti sulle caratteristiche del ransomware: la formazione sulla sicurezza per la forza lavoro di oggi è un must e aiuterà le organizzazioni a difendersi da una serie di minacce in continua evoluzione. Insegnate dunque ai dipendenti a riconoscere le caratteristiche del ransomware, quali ad esempio le e-mail progettate per sembrare provenienti da aziende autentiche, i link esterni sospetti e gli allegati di file discutibili.
- Usare l’inganno per attirare (e fermare) gli aggressori: un honeypot è un’esca costituita da falsi archivi di file progettati per apparire come obiettivi attraenti per gli aggressori. È possibile rilevare e bloccare l’attacco quando un hacker di ransomware prende di mira l’honeypot. Questa tecnologia di cyber deception non solo utilizza le tecniche e le tattiche del ransomware contro sé stesso per innescare il rilevamento, ma consente anche di scoprire le tattiche, gli strumenti e le procedure (TTP – tactics, tools, and procedures) che hanno permesso ai malintenzionati di penetrare con successo nella rete, in modo che il team di sicurezza possa identificare e colmare quelle lacune.
- Monitorare la rete e gli endpoint: effettuando un monitoraggio continuo della rete, è possibile registrare il traffico in entrata e in uscita, scansionare i file alla ricerca di prove di eventuali attacchi (quali modifiche non riuscite), stabilire una linea di base per l’attività accettabile degli utenti e indagare su tutto ciò che sembra fuori dall’ordinario. Anche l’implementazione di strumenti antivirus e anti-ransomware è utile, in quanto è possibile utilizzare queste tecnologie per creare una whitelist di siti consentiti. Infine, l’aggiunta di rilevamenti di tipo behaviour-based alla sicurezza è essenziale, soprattutto perché le superfici di attacco delle organizzazioni si espandono e i malintenzionati continuano ad alzare la posta in gioco con attacchi nuovi e più complessi.
- Guardare al di fuori della propria organizzazione: prendere in considerazione una visione esterna del rischio per l’organizzazione. Come estensione dell’architettura di sicurezza, un servizio di Digital Risk Protection (DRP) può aiutare un’organizzazione a vedere e mitigare tre ulteriori aree di rischio: i rischi legati alle risorse digitali, i rischi legati al brand e le minacce nascoste e imminenti.
- Se necessario, rafforzare il team con un SOC-as-a-service: l’attuale intensità del panorama delle minacce, sia in termini di velocità che di sofisticazione, significa che tutti noi dobbiamo lavorare di più per rimanere al top. Ma questo ci porta solo fino a un certo punto. Lavorare in modo più intelligente significa esternalizzare compiti specifici, come la gestione degli incidenti e la ricerca delle minacce. Ecco perché è utile affidarsi a un fornitore di Managed Detection and Response (MDR) o a un’offerta SOC-as-a-service. Una simile integrazione del team può aiutare a eliminare il rumore e a liberare gli analisti per concentrarsi sui compiti più importanti.
Sebbene il volume dei ransomware non stia rallentando, sono disponibili numerose tecnologie e processi per aiutare i team di sicurezza a mitigare i rischi associati a questo attacco. Grazie ai programmi di educazione informatica e al rafforzamento delle iniziative ZTNA, è possibile tenere a bada gli aggressori più astuti.