Che i ransomware siano oggi la vera minaccia non è più una novità, eppure il verificarsi di attacchi informatici con conseguente richiesta di riscatto a danno di aziende ed enti pubblici continua a fare notizia. Anche se non sempre si conosce se e quale sia stata la cifra estorta, nel 2020 sono finite nel mirino degli hacker imprese italiane del calibro di Campari, Geox e Luxottica.
Ma siamo sicuri che le vittime, anche le più illustri, conoscessero i pericoli e avessero adottato le necessarie misure per proteggersi?
Non sembra che in materia di ransomware ci sia poca consapevolezza, anzi. In base alle ultime ricerche disponibili, il 46% dei Chief Information Security Officer (CISO) lo teme più di qualsiasi altra minaccia e lo pone al vertice delle questioni in tema di cybersecurity. Eppure, gli attacchi con riscatto continuano ad avere successo e a causare danni finanziari e operativi.
Parte del problema è legata all’evoluzione e diversificazione degli attacchi ransomware registrati negli ultimi anni. Gli attaccanti sono passati da tattiche semplici e interamente automatiche, piuttosto facili da intercettare, a strategie più mirate e sofisticate. Allo stesso tempo, molti team di security hanno continuato a usare le stesse tattiche per prevenire gli attacchi, seguendo un approccio ormai superato.
Per tutte le organizzazioni Italiane è tempo di evolvere. È ora di superare un approccio preventivo che cerca di fermare gli attaccanti che hanno fatto breccia nel perimetro aziendale, per concentrarsi piuttosto sulla necessità di armarsi degli strumenti adatti a individuare e stroncare l’attacco sul nascere. Una cosa è certa: nel variegato panorama attuale del mondo IT, l’intelligenza artificiale (AI) giocherà un ruolo decisivo nella battaglia contro i ransomware. I recenti report di Vectra mostrano che la maggior parte delle imprese ha bisogno di analizzare i comportamenti e separare quelli sospetti da quelli malevoli utilizzando strumenti di cybersecurity potenziati dall’AI.
Una minaccia diversificata
Le prime forme di ransomware operavano con il pilota automatico e seguivano un business model semplice: infettare quanti più computer possibili, perché almeno una porzione delle vittime avrebbe sicuramente pagato per recuperare i propri dati. Il cosiddetto ‘commodity’ ransomware si è presto evoluto per cercare e crittografare intere unità di rete: in questo modo è più probabile bloccare file indispensabili per il soggetto colpito. L’evoluzione iniziale ha visto gli attaccanti cominciare a mettere nel mirino le organizzazioni piuttosto che i singoli individui, contando sul fatto che le prime si mostrino più propense a pagare alti riscatti per recuperare i dati critici.
Il commodity ransomware si è poi combinato con il worm, con la conseguenza che oggi è in grado di atterrare su un singolo sistema e infettare rapidamente i sistemi vicini. Ciò ha rappresentato un salto in avanti importante per gli attaccanti: basta che una sola vittima cada nel tranello delle mail di phishing perché la minaccia possa diffondersi rapidamente su migliaia di altre macchine. Sebbene sia in azione già da molti anni, il commodity ransomware rimane una minaccia concreta. Tutti ricordiamo i danni prodotti da WannaCry nel 2017, quando ha bloccato centinaia di migliaia di computer, e soltanto pochi mesi fa, ad agosto, il ransomware Lockbit 2.0 ha messo in ginocchio le prenotazioni dei vaccini anti Covid e gli altri servizi al cittadino erogati dalla Regione Lazio.
I cyber criminali hanno continuato a migliorare il loro gioco e a diversificarsi, sostituendo le tattiche automatizzate con metodi più sofisticati e mirati. Questi attacchi spesso richiedono settimane di pianificazione: dopo aver guadagnato un punto d’appoggio iniziale, gli aggressori adattano manualmente i loro movimenti alle specifiche dell’ambiente in cui hanno fatto irruzione.
Oltre alla diversificazione dell’attacco stesso, il modello di business del ransomware si è anche ramificato in un modello di franchising. L’affiliante fornisce gli strumenti, i manuali di gioco e altre infrastrutture di attacco necessarie, mentre gli affiliati utilizzano i servizi per effettuare gli attacchi, inviando poi una percentuale del riscatto all’affiliante. Il ransomware è diventato un’industria a tutti gli effetti; non sorprende che le sofisticate varianti gestite dall’uomo siano state identificate da Microsoft come “una delle tendenze più impattanti nei cyberattacchi di oggi”.
AI per rinforzare i ranghi
Le varianti ben note di ransomware di base possono generalmente essere bloccate all’ingresso, se i team di sicurezza hanno accesso a indicatori tempestivi di compromissione. Anche i tipi più recenti di commodity ransomware, che riescono a bypassare le misure preventive, sono in genere di portata abbastanza limitata e possono essere superati con un buon processo di backup e ripristino. Contenere le varianti di commodity ransomware che si muovono più velocemente può essere invece più difficile, anche se in questi casi la micro-segmentazione, l’approccio zero-trust, il privilegio minimo e altri controlli fondati su policy specifiche sono un armamentario sufficiente per contenere le epidemie.
Quando si tratta di attacchi ransomware più mirati e gestiti dall’uomo, il successo non dipende più da politiche prescrittive o da configurazioni di sicurezza rafforzate che si concentrano sulla prevenzione. Anche se utili a un certo scopo, un aggressore sufficientemente motivato finirà per superarle. In questo caso, l’attenzione deve spostarsi dal tentativo di prevenire l’inevitabile al rilevamento e all’arresto degli attacchi che hanno avuto successo il prima possibile – ed è qui che entra in gioco l’AI.
Le stime indicano che il tempo medio di permanenza di un attacco ransomware è di 43 giorni. L’AI ricopre un ruolo decisivo all’interno del team di sicurezza per aiutare a stanare la minaccia. Mentre un team di analisti potrebbe aver bisogno di giorni o addirittura settimane, l’AI può rilevare rapidamente – se non immediatamente – quando gli aggressori si stanno muovendo all’interno dei sistemi, prima che il ransomware si propaghi. Questo perché l’AI può contestualizzare e unificare la grande varietà di segnali e marcatori lasciati dagli aggressori mentre si muovono nei sistemi per raggiungere il loro obiettivo. L’AI può riunire tutte queste informazioni disparate in un unico quadro chiaro. Ciò significa che i team di sicurezza possono rispondere in modo efficiente alle minacce più critiche.
Conquistare il campo di battaglia del ransomware
Il ransomware continua a rappresentare una seria minaccia per le organizzazioni e non se ne andrà tanto presto. I team di sicurezza dovrebbero prendere nota dei numerosi incidenti ransomware di alto profilo verificatisi di recente e considerarli come un case study di ciò che può accadere se non si è pronti ad affrontare l’ampia varietà di minacce.
Se si finisce nel mirino di un attacco mirato e non automatizzato, non è realistico aspettarsi che gli analisti di sicurezza siano coperti su tutti i fronti. Poiché gli operatori di ransomware continuano a diversificarsi, le organizzazioni dovrebbero considerare di aggiungere al proprio arsenale mezzi alimentati dall’intelligenza artificiale per rilevare il ransomware, in modo da poter ridurre significativamente il tempo necessario per individuare la minaccia.