Che cosa sono i ransomware e come agiscono? Questa è una domanda che non passa mai di moda e per la quale servono risposte sempre diverse, dato che il fenomeno degli attacchi con richiesta di “riscatto” è in continua evoluzione. Per farsi un’idea delle dimensioni del problema si pensi che la società di ricerca Cybersecurity Ventures stima che quest’anno le aziende subiranno danni da ransomware per un valore di 20 miliardi di dollari. Possiamo distinguere a grandi linee due tipi di ransomware, dietro ai quali stanno due diversi “modelli di business”, per così dire. Alle campagne di tipo “"spray and pray" si affianca il fenomeno degli attacchi mirati verso specifici obiettivi, come aziende (si pensi al caso di Colonial Pipeline), organizzazioni sanitarie o enti governativi. Ce ne parla Massimo Carlotti, presales team leader di CyberArk.
Massimo Carlotti, presales team leader di CyberArk
Le infrastrutture critiche su cui facciamo affidamento per fornire acqua, elettricità, carburante e altri servizi essenziali sono sotto assedio. Sempre più spesso, il ransomware sta diventando il metodo di attacco preferito dai criminali informatici, consapevoli del fatto che anche brevi periodi di inattività possono causare interruzioni di servizio e danni di vasta portata. Questo mette una pressione estrema sulle organizzazioni colpite, che spesso si sentono costrette a pagare per decifrare i dati e ripristinare le operazioni rapidamente.
Le grandi aziende sono sicuramente gli obiettivi preferiti dagli hacker, ma il ransomware non conosce confini e nessun individuo o settore è al sicuro, soprattutto nell'era del cloud, del mobile e della forza lavoro altamente distribuita. Ma perché il ransomware è così pervasivo, e come fanno questi attacchi a continuare ad avere così tanto successo? Per rispondere a queste domande, è importante capire come funzionano gli attacchi ransomware opportunistici e mirati.
Che cos’è il ransomware opportunistico
Gli attaccanti sanno che il ransomware è uno degli strumenti più facili e veloci per ottenere profitto. Poiché i kit ransomware fai-da-te sono molto semplici da trovare sul dark Web, in molti provano a sfruttarli. Distribuendo il ransomware con le comuni tattiche "spray and pray" - come il phishing, l'ingegneria sociale e i kit di exploit - gli attaccanti possono prendere di mira molte organizzazioni e compromettere numerosi desktop, laptop e server in un colpo solo. Una volta distribuito, il ransomware impedisce agli utenti di interagire con i loro file, applicazioni o sistemi fino a quando non viene pagato un riscatto, di solito sotto forma di valuta non tracciabile come Bitcoin. L’attacco WannaCry del 2017 è forse il miglior esempio di attacco ransomware opportunistico. Con la capacità di autoreplicarsi è diventato virale, infettando più di 200mila sistemi in 150 Paesi. L'attacco ha avuto un impatto sulle organizzazioni di molti settori, portando le attività di business a una brusca frenata.
Il ransomware è diventato il mezzo di estorsione preferito per due motivi principali. In primo luogo, molte aziende non riescono ad applicare una corretta igiene di sicurezza quando si tratta di backup e recovery. I backup spesso sono pochi e isolati, il che significa che una volta che i dati su endpoint e server sono crittografati, le organizzazioni sono costrette a scegliere tra perdere per sempre informazioni importanti o sborsare Bitcoin per (si spera) riottenerle. In secondo luogo, molte si affidano ciecamente alle tradizionali soluzioni antivirus, che spesso non sono efficaci nel bloccare il ransomware, basandosi su malware conosciuti e bloccando le future esecuzioni di quell’esemplare. Poiché i file ransomware si modificano leggermente con ogni nuova versione, creata di minuto in minuto, queste soluzioni hanno poche possibilità di prevenire un'infezione.
Che cos'è il ransomware mirato
Negli ultimi anni i cybercriminali più abili si sono spostati verso approcci ransomware mirati, alla ricerca di pagamenti più consistenti. In quella che a volte viene definita "caccia grossa", prendono di mira organizzazioni molto specifiche in base alla loro capacità (o necessità) di pagare grandi riscatti, utilizzando tattiche, tecniche e procedure (TTP) personalizzate. In questo caso gli attaccanti sono molto creativi, spesso si impegnano per identificare e sfruttare le vulnerabilità tecnologiche dell’azienda, individuando al contempo i dati più preziosi da crittografare e trattenere per il riscatto.
Sono anche estremamente pazienti, agiscono per ottenere i privilegi per aggirare i sistemi di sicurezza ed eludere il rilevamento per mesi, prima di distribuire il payload del ransomware. Durante questo periodo, spesso prendono di mira i backup dei dati (se esistono) in modo che l'azienda non possa ripristinare i file dopo che sono stati crittografati. Secondo il Ransomware Threat Report 2021 di Unit 42, la più richiesta più elevata di ransomware dal 2015 al 2019 è stata di 15 milioni di dollari. Nel 2020, la cifra è raddoppiata a 30 milioni di dollari.
Forse l’elemento più preoccupante degli attacchi ransomware mirati è che un'organizzazione colpita potrà esserne di nuovo vittima. Per mantenere la persistenza sulle reti di destinazione, gli attaccanti spesso costruiscono backdoor che permettono di rientrarvi a loro piacimento. La maggior parte delle aziende non può sopportare l'impatto di un attacco ransomware, figuriamoci due. Opportunistico o mirato, il vettore iniziale dell'attacco rimane lo stesso
Da dove parte un attacco ransomware
Opportunistici o mirati, gli attacchi ransomware normalmente iniziano dall'endpoint. Desktop, laptop e server non adeguatamente protetti sono pervasivi - e ognuno di essi fornisce un potenziale punto d'ingresso per rubare e crittografare i dati. Esaminando numerosi attacchi ransomware, un elemento è chiaro: fare affidamento su una singola soluzione di sicurezza dell'endpoint non è sufficiente a fermare ogni minaccia. In effetti, le organizzazioni più previdenti adottano una mentalità "assume-breach" per ridurre le possibilità che il ransomware codifichi i file, nel caso entrasse nei loro ambienti. È necessario un approccio di difesa in profondità, stratificando una varietà di controlli di sicurezza per eliminare le lacune, ridurre l'esposizione e rafforzare la postura di sicurezza complessiva.
La gestione degli accessi privilegiati è una componente critica, ma spesso trascurata, di un'efficace strategia di sicurezza degli endpoint. Se un malintenzionato o un insider ottiene l'accesso a credenziali privilegiate, apparirà come un utente fidato, rendendo molto difficile rilevare le attività pericolose. Implementando modelli di restrizione che si fidano solo di determinate applicazioni, eseguite da account specifici in circostanze definite e controllate, le aziende possono rilevare il ransomware rapidamente e con certezza. Adottando questo approccio completo alla sicurezza degli endpoint, le aziende potranno difendersi su ogni fronte e bloccare gli attacchi prima che causino danni, sia nel caso in cui questi vengano distribuiti in modo diffuso e generico sia che vengano gestiti come attacchi mirati verso di loro.