Come evolvono le tecniche di attacco e quali sono gli elementi di cui tenere conto per allestire una resilienza cyber adeguata.
In un mondo in cui attacchi e cybercriminali vivono una costante evoluzione, le aziende devono essere ancora più attente. Dagli ormai noti attacchi DDoS (Distributed Denial-of-Service), che inondano la rete dell’host fino a farla collassare, ai gruppi specializzati in ransomware che cercano guadagni rapidi, ogni azienda che possieda dati sensibili diventa un bersaglio.
Come se le minacce degli ultimi anni non fossero già abbastanza preoccupanti, sta emergendo un trend degno di nota che ha implicazioni dirette per aziende di ogni tipo e dimensione. Ransomware e tecniche di violazione dei dati stanno evolvendo nel segno della modernizzazione; tradizionalmente strumento di malware preferito dai criminali informatici per estorcere denaro alle aziende, il ransomware si basa su tecniche di crittografia dei dati per tenerle in ostaggio. La crittografia essenzialmente sigilla (o blocca) i dati in modo che l’azienda debba pagare un riscatto al malintenzionato per decifrarli e tornare alle attività normali.
Ora sta iniziando a verificarsi una nuova forma di violazione dei dati, senza crittografia. Questi attacchi di “estorsione” o “solo esfiltrazione” non crittografano i dati che stanno rubando, ma sono comunque in grado di chiedere con successo un riscatto alle aziende, esfiltrare set di dati mirati e replicarli nella rete del criminale.
Darren Thomson, Field CTO EMEAI di Commvault
Secondo IBM, lo scorso anno il costo medio di una violazione ransomware è stato di 4,45 milioni di dollari, con un aumento del 15% negli ultimi tre anni. Per le aziende, oltre al danno alla reputazione, c'è anche un grosso onere finanziario. Tuttavia, per comprendere il passaggio agli attacchi ransomware senza crittografia, è necessario capire esattamente con che tipo di attori delle minacce si ha a che fare.
Gli attacchi ransomware non sono mai perpetrati da un solo malintenzionato. Generalmente formano gruppi che operano come le aziende che vanno a colpire; sono orientati al profitto, puntano all’efficienza e si preoccupano del ritorno sugli investimenti. Alcuni assumono subappaltatori per determinati compiti, hanno squadre di ricognizione per cercare set di dati e hanno persino le loro agenzie di PR e pubblicità. Tutto questo, naturalmente, ha un costo.
Se a questo si aggiungono le spese per la crittografia dei dati rubati da un’azienda, la creazione e implementazione di un moderno ransomware possono essere dispendiose, tanto che il passaggio a un modello senza crittografia offre agli hacker alcuni importanti vantaggi economici.
La crittografia dei dati richiede tempo, soprattutto se l’azienda colpita ha un enorme volume di informazioni. Scegliendo di non crittografarle in blocco, gli hacker possono selezionare accuratamente i set di dati più preziosi e rubare quelli più sensibili in modo rapido e su larga scala, senza dover ricorrere a strumenti di crittografia.
Inoltre, se la crittografia in sé non è necessariamente costosa, l’intero processo di implementazione e gestione del software basato su crittografia può essere impegnativo dal punto di vista tecnico e delle risorse. In effetti, la storia ci insegna che molti esemplari di ransomware presentavano difetti significativi nelle loro implementazioni di crittografia (e decrittografia).
La crittografia è una questione tecnica. Sebbene gli algoritmi siano facilmente reperibili, la sua implementazione in un attacco ransomware richiede un certo livello di competenza. L’atto di crittografare i dati senza comprometterli è estremamente complesso e non tutti i gruppi ransomware dispongono dei mezzi per portare a termine gli attacchi. La combinazione di questi fattori spiega probabilmente perché gli attacchi senza crittografia siano aumentati del 40% nell’ultimo anno, poiché gli hacker utilizzano queste tecniche insieme a quelle basate su encryption e agli attacchi DoS per massimizzare i profitti.
Quindi, come possono le aziende affrontare e combattere questa triplice minaccia?
La crescita esponenziale dei dati, distribuita su più ambiti differenti - cloud, regioni e app – crea una complessità ibrida nella quale il ransomware prospera. Poiché gli attacchi avvengono in pochi minuti anziché in mesi, le aziende devono considerare una combinazione di fattori per bloccare le tecnologie e le tattiche più sofisticate volte a infiltrarsi silenziosamente nelle reti e supply chain.
Gli elementi da considerare sono diversi, da attività di formazione e preparazione, alla maggiore collaborazione tra i team fino all’adozione di strumenti di cyber deception e analisi. Questi ultimi strumenti sono forse i più importanti quando si parla di protezione moderna e si concentrano, in modo cruciale, sullo sviluppo della cyber resilienza in azienda.
Oggi le imprese hanno bisogno sia di capacità di rilevamento proattivo delle minacce che individuino e prevengano gli attacchi ransomware o DoS prima che i dati siano compromessi, che di una sofisticata tecnologia di ripristino che consenta di recuperare i dati in modo semplice e sicuro con perdita di informazioni e tempi di inattività minimi.
Senza questi elementi chiave della resilienza informatica, le aziende si espongono alla triplice minaccia del ransomware con e senza crittografia e del crimine informatico DoS. Con l’aumento degli attacchi basati su estorsione e l’adozione di un ecosistema di cybercrime complesso e avanzato, le aziende non possono più permettersi di stare a guardare. È il momento di prendere il controllo dei propri dati.
Darren Thomson è Field CTO EMEAI di Commvault