Ransomware: quello che si ignora su assicurazioni e catene di attacco e quello che bisognerebbe sapere sui rimedi.
Autore: di Edwin Weijdema
Secondo il Veeam Data Protection Trends Report 2023, lo scorso anno l'85% delle organizzazioni è stato colpito da almeno un attacco ransomware. Con quasi tutte le organizzazioni che subiscono questi attacchi, è chiaro che il problema non è solo diffuso, ma quasi inevitabile al giorno d'oggi. Anche se questo può sembrare scoraggiante, è riconoscendo il problema che possiamo gestire questa minaccia sempre presente. Vediamo quindi quali sono le soluzioni che le organizzazioni possono utilizzare per convivere con il ransomware.
È chiaro che gli attacchi ransomware sono una minaccia molto reale e presente: lo vediamo ogni giorno, sia che guardiamo i telegiornali nazionali sia che siamo seduti in sala riunioni. Considerando l'ubiquità di questi attacchi, le organizzazioni devono essere consapevoli che un attacco ransomware non è più un caso di "se" sarete il bersaglio di un attacco, ma di "quanto spesso". Mentre un gran numero di organizzazioni ha subito almeno un attacco lo scorso anno, il Veeam Data Protection Trends Report ha anche mostrato che poco meno della metà (48%) ha subito due o tre attacchi. Questa può sembrare una prospettiva schiacciante per un'organizzazione di qualsiasi dimensione, e la naturale conseguenza è che molti si rivolgono all'assicurazione informatica in cerca di un po' di tranquillità.
L'assicurazione informatica può pagare i danni causati da un attacco ransomware, ma è importante ricordare che non può mai prevenire o annullare questi danni o l'effetto a catena che crea, come la perdita di clienti e di fiducia. L'educazione e la trasparenza, tuttavia, possono aiutare a prevenire i danni causati dal ransomware, ma a volte sono limitate dalle polizze di assicurazione informatica.
Con l'aumento delle minacce di ransomware, sono aumentate anche le clausole dei fornitori di assicurazioni informatiche. Il recente Veeam Ransomware Trends Report ha inoltre rilevato che oltre il 20% delle organizzazioni ha dichiarato che gli attacchi ransomware non sono coperti dal proprio fornitore di assicurazione informatica e, anche quando sono coperti, alcuni fornitori stabiliscono che le aziende non possono parlare pubblicamente della violazione. La spiacevole conseguenza è che la realtà degli attacchi ransomware, così comune, rimane nascosta come un segreto. Ci auguriamo che questa situazione cambi nei prossimi anni, perché è attraverso l'educazione degli altri, condividendo i nostri insegnamenti ed errori, che possiamo diventare più forti nella nostra difesa contro gli attacchi ransomware.
Questo perché parlare di attacchi ransomware aiuta a dissipare il mistero che li circonda. Nonostante la frequenza delle conversazioni sui ransomware nei media, molte persone non sanno come si svolgono: può sembrare che sia sufficiente premere un interruttore o un trucco magico, ma la realtà è molto più complicata e lunga di così. Tenendo presente che quasi tutte le organizzazioni saranno colpite da un attacco ransomware (molte probabilmente lo sono già state), la conoscenza dell'intero processo è essenziale per la preparazione e il successo del recupero.
Le conversazioni sul ransomware raramente riconoscono che un attacco ransomware è il culmine di una serie di eventi orchestrati da malintenzionati. Il ransomware non compare all'improvviso, ma segue giorni, settimane, mesi o addirittura anni di preparazione. Vediamo cosa succede dietro le quinte.
I cattivi attori iniziano con una fase di osservazione. Durante questa fase, si limitano a osservare l'obiettivo per raccogliere informazioni su persone, processi e tecnologie per identificare le opportunità. Così come un ladro familiarizza con le entrate e le uscite di un edificio e con chi vi abita, anche i criminali informatici vogliono sapere con chi hanno a che fare.
Dopodiché, è il momento di entrare nell'edificio. Per i criminali informatici, questo si ottiene inviando link di phishing o simili, per consentire l'ingresso e la creazione di una base operativa all'interno dell'infrastruttura dell'obiettivo. A questo punto, rimangono nascosti, ma questo consente loro di arrecare danni significativi. In questa fase gli aggressori esfiltravano i dati e potevano anche distruggere i backup in modo del tutto inosservato, fino a quando non rendevano nota la loro presenza al momento di lanciare la fase finale, l'attacco e la richiesta di ransomware.
La scoperta di questo processo completo è naturalmente sconvolgente: i team di sicurezza non devono solo affrontare le minacce visibili, ma anche alcuni nemici sconosciuti e invisibili che potrebbero nascondersi sullo sfondo in qualsiasi momento. Tuttavia, il detto "sapere è potere" si dimostra ancora una volta vero. Le organizzazioni possono utilizzare queste informazioni per sviluppare la strategia di backup e di recupero dei ransomware più solida possibile.
Sebbene gli attacchi ransomware siano inevitabili, la perdita di dati non deve essere necessariamente tale. Infatti, se si prendono le giuste precauzioni, è possibile ottenere una resilienza del 100%. Potrebbe sembrare troppo bello per essere vero, ma con alcuni elementi chiave, qualsiasi azienda può sviluppare una strategia di protezione dei dati a prova di bomba.
Questo aspetto si articola in tre parti. In primo luogo, i team di sicurezza devono assicurarsi di avere una copia immutabile dei propri dati, in modo che gli hacker non possano alterarli o criptarli in alcun modo. Poi, devono criptare i dati in modo che, in caso di furto o violazione, gli hacker non possano accedervi o utilizzarli.
La fase più importante per sigillare la fortezza è quella che chiamiamo la regola del backup 3-2-1-1-0. Ciò significa mantenere un minimo di 3 copie dei dati, in modo che anche se due dispositivi sono compromessi o si guastano in qualche modo, si ha comunque una copia aggiuntiva, ed è molto più improbabile che tre dispositivi si guastino. Le organizzazioni dovrebbero inoltre archiviare questi backup su due tipi diversi di supporti, ad esempio una copia su un disco rigido interno e un'altra nel cloud. Una di queste copie dovrebbe essere sempre conservata in un luogo sicuro fuori sede e una dovrebbe essere tenuta offline (air-gapped) senza alcun collegamento con l'infrastruttura IT principale. La fase 0 è forse la più importante di tutte: i backup non devono presentare errori. Questo può essere garantito da test regolari e da un costante monitoraggio e ripristino.
Seguendo questi accorgimenti, le organizzazioni potranno stare tranquille quando un attacco ransomware inevitabilmente colpirà, perché saranno sicure di aver chiuso le porte agli hacker.
Edwin Weijdema è Field CTO EMEA and Lead Cybersecurity Technologist di Veeam