Le vacanze sono ormai alle porte, ma difficilmente IT manager e security manager potranno rilassarsi. Nelle previsioni per il breve periodo, infatti, Trend Micro ha definito questa estate come
l'estate del crimine informatico. Non è difficile comprenderne i motivi. I cyber attacchi sono cresciuti in maniera esponenziale dopo l'esplosione della pandemia. In particolare, è
l'alta profittabilità dei ransomware a incentivare una sequenza di attacchi che sembra non conoscere fine.
I principali gruppi ransomware continuano a colpire le aziende a livello globale, causando spesso
danni significativi, dal punto di vista finanziario, della reputazione e della produttività. Sempre più spesso i cyber criminali si muovono nelle reti aziendali in maniera silente e vi permangono a lungo per sottrarre dati e informazioni sensibili.
Gastone Nencini, Country Manger di Trend Micro Italia, coglie l'occasione per ricapitolare alcune delle tattiche moderne di attacco sviluppate dai maggiori gruppi ransomware, così da capire come reagire. Spesso,
il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono state corrette. Uno degli ultimi attacchi a livello globale ha infatti utilizzato vulnerabilità già conosciute del software
Kaseya, oltre a vulnerabilità
zero-day.
Sebbene questo sia sempre più raro, gli attacchi che utilizzano
nuovi bug possono ancora essere fermati. Indipendentemente da come gli aggressori penetrano l’infrastruttura aziendale, esistono diverse metodologie con cui gli attacchi possono essere individuati e fermati, prima che arrivino al punto di crittografare i dati e chiedere un riscatto.
Possibili conseguenze degli attacchi ransomware
- Il ransomware crittografa i file e poi rilascia una richiesta di riscatto con pagamento in bitcoin
- Doppia estorsione: ransomware + esfiltrazione di dati. Se l’utente colpito non paga il riscatto rischia di vedere i propri dati resi pubblici. Maze è stato il primo caso documentato ma altri gruppi cybercriminali hanno seguito l'esempio, come visto di recente nell'attacco a Colonial Pipeline
- Triplice estorsione. Doppia Estorsione + minaccia di un attacco DDoS. Avaddon è stato il primo caso documentato
- Estorsione quadrupla. Ransomware + (Possibile Esfiltrazione di dati o DDoS) + invio diretto di e-mail alla base clienti della vittima. Cl0p è stato il primo caso documentato
Fermare gli attacchi
Gli attacchi multi-estorsione possono essere fermati, ma è importante avere una profonda conoscenza della problematica per poter individuare i segnali iniziali. Esistono alcune azioni che dovrebbero essere attivate rapidamente per mitigare il rischio portato dagli attacchi:
- Abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate. Ciò impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento, come l'attacco Kaseya
- Mantenere un solido piano di gestione delle patch. Questo protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili. Le patch virtuali possono coprire il periodo fino a quando la patch ufficiale non è disponibile o applicata
- Utilizzare l'autenticazione a più fattori o a 2 fattori per gli account amministrativi critici, in particolare nei sistemi pubblici. Questo rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l'accesso al sistema
- Praticare la regola di backup 3-2-1. Se si verifica un attacco ransomware di successo, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia air gap posizionata fuori sede. Ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file
Queste non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che
prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi. Avere tutta la potenza di una soluzione di sicurezza attivata e ottimizzata per il proprio ambiente elimina le crepe e le lacune e ferma tempestivamente l’attacco.