La corsa all'oro del ransomware

Gli alti guadagni hanno portato a un impressionante aumento degli attacchi ransomware. Serve una strategia di difesa mirata.

Autore: Redazione SecurityOpenLab

Secondo il gruppo di sicurezza informatica Emsisoft, nel 2020 il ransomware ha causato centinaia di miliardi di dollari di danni economici a livello globale. Le sfide dettate dal COVID-19 e dal lavoro remoto su ampia scala sono state esacerbate da un aumento degli attacchi e dalla crescita della richiesta media di riscatto che oggi ha raggiunto un incremento di oltre l'80%, con una stima di 18 miliardi di dollari pagati in riscatti e con un pagamento medio di 150.000 dollari.

Alla luce del fatto che a lungo termine molte aziende sono ancora alle prese con problemi di questo tipo, il ransomware è da considerarsi una moderna corsa all'oro per i criminali informatici.

Le imprese devono necessariamente confrontarsi con il fatto che gli attacchi ransomware stiano aumentando a dismisura ed essere presi di mira può essere inevitabile. Per questo motivo, è necessario che i team dispongano di una strategia di data protection affidabile e solida, in modo che, qualora dovesse accadere il peggio, possano riprendersi da un attacco. In questi frangenti essere in grado di ripristinare tutto grazie ai backup è una parte fondamentale della recovery strategy, ma al contempo anche i cyber criminali si stanno adattando.

I criminali informatici prendono di mira i backup


I cyber criminali sono consapevoli del fatto che i backup rappresentano l’ultima linea di difesa e che non verrà pagato alcun riscatto qualora si riesca a recuperare i dati. In media un hacker trascorre più di 200 giorni all’interno di una rete prima di criptare qualcosa, e pianifica attentamente la strategia, cercando di ottenere l'accesso a quanti più sistemi possibili, compresi i backup, prima di fare la propria mossa.

L'attacco iniziale serve per accedere alla rete senza essere scoperti. Una volta dentro, i criminali informatici trascorrono una buona quantità di tempo cercando di accedere a credenziali sensibili. Questa è la chiave dell’attacco, esistono anche strumenti progettati appositamente per violare i servizi di directory ed ottenere le credenziali. A quel punto possono fare praticamente tutto.

Tre soluzioni per proteggersi

Umberto Galtarossa, Partner Technical Manager di Pure StorageUmberto Galtarossa, Partner Technical Manager di Pure Storage, indica una strategia su tre fronti per non farsi trovare impreparati, ridurre al minimo l'impatto e riprendersi velocemente da un attacco.

Il primo punto è puntare alle best practice di base, come l'aggiornamento del software e dei sistemi operativi con le ultime patch. Altro importante pilastro è la formazione del personale affinché sia cauto nell’apertura di link o allegati contenuti nelle email, specialmente per quelle non richieste. Terzo anello della catena difensiva è il backup dei dati su base regolare, e la conservazione degli stessi su dispositivi separati dai dati di produzione (air gap).

Il secondo punto riguarda le azioni da intraprendere durante un attacco. La giusta consapevolezza di ciò che si può ritenere "normale" nel funzionamento dell'infrastruttura è essenziale. In caso contrario, potrebbero volerci settimane per notare qualcosa di "anomalo" e per segnalare che i dati o i sistemi potrebbero essere stati compromessi.

Terzo punto di attenzione è relativo alla possibilità di consentire un fast recovery a seguito di un attacco. Le organizzazioni necessitano di copie di backup sicure e non modificabili con dati protetti e che non possono essere cancellati, modificati o criptati. Questo, insieme alla capacità di ripristinare rapidamente i dati, è fondamentale. I responsabili IT dovrebbero considerare i Service Level Agreement (SLA) per il data restore e il backup quando scelgono i loro fornitori.

Air gap e Rapid Restore


Sopra si è accennato ad air gap e rapid restore, argomenti che vale la pena approfondire. Il primo è un sistema di sicurezza in grado di tenere separate le reti di produzione da quelle di backup, con l’obiettivo di isolare i dati critici dalle reti locali e dalle aree di produzione che sono più vulnerabili agli attacchi.

Questa tecnologia tuttavia comporta anche svantaggi. Non sono immuni al 100% dagli attacchi, possono essere costosi da implementare, nonché di difficile gestione e manutenzione. Inoltre, non sono super scalabili e possono essere più lenti nel recovery di grandi volumi di dati e non risolvono le minacce interne o le credenziali compromesse degli amministratori di storage o backup.

Per questi motivi molte aziende stanno optando per soluzioni di rapid restore, che consentano di tornare tempestivamente all’operatività, indipendentemente dalla piattaforma o dalla tecnologia sottostante.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.