La sicurezza informatica è aumentata rapidamente nell’agenda aziendale negli ultimi 18 mesi, con metodi di attacco particolari che ottengono più tempo di trasmissione di altri. Il ransomware è il più notevole e si sta evolvendo rapidamente per sfruttare il nuovo panorama di lavoro smart.
I criminali informatici non lanciano più fango contro il muro e vedono cosa si attacca, ma creano attacchi personalizzati e su misura che possono causare il massimo danno. La gestione di campagne ad alto impatto consente loro di addebitare di più alle vittime per il privilegio di non rilasciare pubblicamente dati preziosi di un’azienda, il che ha portato a un aumento del riscatto medio pagato dalle vittime.
Tutti sanno che pagare un riscatto non è mai la linea di condotta consigliata quando si viene colpiti da un attacco, con organizzazioni come l’NCSC nel Regno Unito e l’FBI negli Stati Uniti che scoraggiano attivamente le aziende dal farlo. Inoltre, non vi è alcuna garanzia che i dati verranno rilasciati, cedendo alla pressione e fornendo il pagamento può rendere l’azienda più vulnerabile ad attacchi futuri.
L’Office of Foreign Assets Control (OFAC) degli Stati Uniti ha recentemente preso questo consiglio un ulteriore passo avanti, pubblicando un avviso che istruisce le vittime di ransomware a impegnarsi con le forze dell’ordine e garantire che rispettino le sanzioni economiche e la guida federale.
Con molti attacchi informatici ideati da bande che fanno affidamento sul sostegno dello stato-nazione, il pagamento di un riscatto potrebbe equivalere a una violazione delle linee guida dell’OFAC, il che significa che le aziende dovrebbero affrontare ramificazioni legali e possibili multe.
Il ransomware sta vincendo?
Con l’evoluzione del ransomware e la rinnovata attenzione a questo metodo di attacco da parte delle agenzie governative, molte persone si chiedono se il ransomware stia vincendo. Con l’aumento dei recenti attacchi, potrebbero essere perdonati per aver creduto che sia così.
Con l’impatto dei tempi di inattività nel lavoro, nell’apprendimento e negli ambienti sanitari di oggi più dannosi che mai, è fondamentale che le organizzazioni comprendano e sappiano come difendersi da quello che ora è spesso un sofisticato attacco in tre fasi.
Fase 1: infiltrazione: quando cercano di condurre un attacco ransomware, i criminali informatici dovranno prima accedere alla rete di un’organizzazione. Spesso, gli hacker si infiltrano in un ambiente utilizzando tecniche di ingegneria sociale, come il phishing, che stanno diventando un problema più grande ora che i dipendenti lavorano da remoto.
Tuttavia, può essere ottenuto anche sfruttando le vulnerabilità nel software di un’azienda, il credential stuffing o le debolezze nei servizi di desktop remoto. Questa fase è fondamentale, poiché è dopo l’infiltrazione che i criminali informatici inizieranno a individuare dati sensibili e sistemi vitali da sfruttare e chiedere un riscatto.
Per prevenire l’infiltrazione, la scommessa migliore che un’organizzazione ha è garantire che le pratiche di cyber igiene di base siano rispettate. È qui che entrano in gioco la gestione continua delle vulnerabilità e la gestione tempestiva delle patch per impedire agli aggressori di accedere alla rete tramite una vulnerabilità nota.
Anche la formazione costante sulla sicurezza informatica è fondamentale per garantire che i dipendenti non consentano involontariamente l’accesso tramite un’e-mail sospetta o un collegamento per il download. Tornando all’IT e alla sicurezza, i team devono monitorare da vicino il controllo delle applicazioni, sostenere la gestione dell’accesso ai privilegi e implementare l’autenticazione a due fattori per impedire ulteriormente l’accesso ai criminali informatici.
Fase 2: esfiltrazione: se un malintenzionato riesce a violare le barricate esterne di un’organizzazione, il passo successivo sarà raccogliere ed estrarre i dati preziosi scoperti durante la missione di ricognizione. Per evitare gli strumenti di monitoraggio, questo viene spesso fatto sfruttando account e strumenti utente affidabili.
Basandosi sulle proprie difese, le aziende dovrebbero cercare di implementare una soluzione di rilevamento e risposta degli endpoint. Se eseguito in modo efficace, l’EDR consentirebbe ai professionisti della sicurezza informatica di monitorare continuamente le vulnerabilità e le minacce attive su tutti gli endpoint nell’ambiente.
L’adozione di un approccio Zero Trust è un’altra strategia in rapida crescita, in base alla quale nessun utente o dispositivo è implicitamente attendibile e deve essere autorizzato prima di connettersi alla rete ogni volta, il che impedisce ulteriormente ai criminali informatici di sfruttare gli account privilegiati. EDR deve individuare gli attori delle minacce, ma può essere contrastato da un astuto avversario che ha credenziali compromesse e può muoversi come qualcuno di cui ti fidi e gli strumenti che ti aspetti.
Man mano che passano a ogni sistema aggiuntivo, Zero Trust Access Control obbliga l’attore della minaccia a intraprendere ulteriori passaggi che consentono ai difensori di individuare meglio le attività dannose. Insieme, ZTA ed EDR diventano una solida combinazione poiché ZTA crea maggiori opportunità per EDR di rilevare attività dannose.
Fase 3: crittografia – Infine, c’è la fase in cui l’attacco diventa spesso evidente per l’organizzazione e l’USP del ransomware – crittografia. Una volta che la crittografia è iniziata su larga scala, può essere molto difficile fermare l’attacco. L’arresto della rete e del sistema è l’unica cosa per questo, motivo per cui i backup sono fondamentali.
Il backup e il ripristino dei dati sono fondamentali per mitigare l’impatto di un attacco ransomware, poiché il pagamento non dovrebbe essere preso in considerazione. Se le aziende sono in grado di rilevare la crittografia, isolarla rapidamente e richiamare i dati di backup, dovrebbero essere in grado di ridurre al minimo gli impatti dell’attacco.
Esiste un insieme emergente di soluzioni che si spostano dall’osservazione dei modelli di attacco, come fa l’EDR, e passano invece alla semplice osservazione dei dati. Non è necessario individuare un pattern se i file vengono monitorati. In questo caso, tutto ciò di cui le aziende hanno bisogno per sapere di essere sotto attacco è una soglia di attività di crittografia.
È ancora presto, ma ci sono una o due soluzioni in arrivo sul mercato che si concentrano su questa mentalità di “ultima linea di difesa” per isolare i dati molto più rapidamente e ridurre la quantità di ripristino che sarà necessaria per tornare operativi.
Sebbene possa sembrare che il ransomware stia vincendo, c’è molto che può essere fatto per fermare questa tendenza. Con un approccio di difesa in profondità che include una gestione approfondita delle patch, la formazione dei dipendenti, la gestione dell’accesso ai privilegi e la gestione continua delle vulnerabilità, un attacco non dovrebbe essere in grado di violare i muri di un’azienda. Tuttavia, sappiamo tutti che è ancora una possibilità, motivo per cui è fondamentale per le aziende espandere la propria anteprima e assicurarsi di contrastare gli autori delle minacce in tutte le fasi del ransomware di prossima generazione.
La conclusione è che, se le aziende adottano strategie di sicurezza più efficaci, saranno in grado di contrastare questa minaccia in evoluzione.