Nel 2020 l’81% delle aziende ha subìto almeno un attacco informatico: è quanto emerge da uno studio di Vmware, “Global Security Insights”, condotto a fine 2020 su 3.542 responsabili informatici (Cio, Ciso e Cto) di imprese dislocate in 14 Paesi. Il fenomeno più macroscopico è stato l’incredibile aumento del 900% del numero di ransowmare, osservato nel primo semestre: un chiaro segno di come i criminali informatici abbiamo sfruttato i momenti più drammatici della pandemia e l’ascesa dello smart working. “Durante la pandemia, i cybercriminali hanno capitalizzato sulle proprie attività, sfruttando le vulnerabilità causate dal rapido incremento della forza lavoro distribuita e dall'uso di dispositivi personali e reti da parte dei lavoratori da remoto”, ha commentato Rodolfo Rotondo, principal business solution strategist per la regione Emea di Vmware. “Gli aggressori hanno oggi un'opportunità senza precedenti di indirizzare i propri attacchi di social engineering, come il phishing ad esempio, verso una moltitudine di lavoratori ignari”.
Un settore particolarmente preso di mira è stato quello sanitario, come dimostrano i casi di Ryuk (una ransomware che ha colpito centinaia di ospedali negli Stati Uniti) e il più recente attacco ai sistemi informatici del servizio sanitario nazionale irlandese. “Come riportato dai CISO operanti in questo settore che abbiamo intervistato, una violazione su cinque è stata causata proprio da ransomware”, ha sottolineato Rotondo. “Nello stesso modo in cui DarkSide ha attaccato un’infrastruttura critica nazionale, i gruppi ransomware hanno cercato di speculare sulle organizzazioni sanitarie, spesso più propense a pagare un riscatto a causa della criticità delle loro attività”.
Analizzando non la tipologia di bersaglio ma la modalità di attacco, un fenomeno emergente è quello dei ransomware che utilizzano tattiche sofisticate, come la cosiddetta “doppia estorsione”: non bloccano immediatamente i sistemi bensì tentano di rimanere nell’ombra per il tempo necessario a diffondersi e stabilire una presenza nella rete target. “La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione”, ha spiegato Rotondo. “Queste tecniche, sicuramente più sofisticate, concedono ai criminali informatici una maggiore presa e controllo sulle vittime. Oltre alla necessità di decriptare i propri sistemi, per le organizzazioni si pone anche il rischio che risorse critiche come i dati dei clienti o i segreti commerciali vengano diffusi illecitamente per la vendita sul dark web e che la violazione venga resa pubblica”.
Rodolfo Rotondo, principal business solution strategist per la regione Emea di Vmware
Dunque spesso la richiesta di riscatto viene soddisfatta, e oltre al danno c’è la beffa: è sempre possibile che l’aggressore si ripresenti in futuro con un nuovo attacco, anche perché sa che quell’azienda è disposta a pagare. “La comunità dei criminali informatici”, ha commentato il manager di Vmware, “sta sfruttando questo approccio decisamente redditizio, e circa il 40% dei professionisti della sicurezza afferma che il ransomware a doppia estorsione è la nuova tecnica di attacco ransomware del 2020”.
Come dovremmo proteggerci da questo tipo di minaccia? Vmware suggerisce una strategia fatta di cinque elementi: fornire controlli degli endpoint e della rete come servizio distribuito, per limitare i rischi dello smart working; condurre regolarmente attività di ricerca delle minacce; cercare di ottenere una buona visibilità sugli endpoint e sui carichi di lavoro; eseguire continui monitoraggi dei sistemi e comprendere tutte le possibili “vie di rientro”, per evitare un ritorno dei medesimi aggressori; scegliere un partner di sicurezza affidabile, che offra anche azioni di risposta agli incidenti, remediation e analisi a posteriori.