Ransomware 2.0, sono sempre più pericolosi ma ci si può difendere

I ransomware stanno colpendo a tappeto e sembra non ci sia una tregua. Come difendersi? Quali strumenti per tutelarsi? Come convincere le aziende scettiche?

ransomware

Ormai è un fatto consolidato che la cybersecurity sia predominio della cybercriminalità e il ransomware sia l’arma più spesso usata per ottenere denaro in modo illecito. E il danno subito dalle aziende può essere particolarmente ingente. Nel suo rapporto “Cost of a data breach 2021”, IBM ha stimato che un attacco ransomware arrivi a costare a un’impresa in media 4,62 milioni di dollari milioni, una cifra che supera quella inerente alla media dei data breach (4,24 milioni di dollari). Questi costi includono l’escalation, la notifica, la perdita di affari e il ripristino, ma non il costo del riscatto. Quest’ultimo può incidere pesantemente sul danno subito. Per esempio, nel recente attacco ransomware ai sistemi informativi delle Ferrovie dello Stato si è saputo che la richiesta di riscatto è stata di 5 milioni di euro, che sarebbero diventati 10 se non fosse stato pagato entro tre giorni.

Il ransomware è diventato una fonte importante di denaro per i criminali informatici, che lo usano in modo sempre più sofisticato, ma i modi per difendersi ci sono e sono sempre più efficiente ed efficaci. Vediamo come il canale può trarne vantaggio.

Attacchi in crescita e sempre più mirati

ransomwareSecondo quanto stimato dal Rapporto Clusit sulla sicurezza ICT in Italia di marzo 2022, lo scorso anno gli attacchi a livello globale sono aumentati del 10%, diventando sempre più mirati e sempre più gravi. Prova ne è che l’impatto “elevato” è cresciuto dal 50% del 2020 fino al 79% del 2021, con una severità critica del 32% e altra del 47%. Il motivo principale degli attacchi è il cybercrime: 86% dei casi nel 2021, contro l’81% del 2020.

Da sottolineare che per la prima volta dopo diversi anni il Rapporto Clusit riporta che l’obiettivo più colpito non è più quello dei “Multiple targets”, ovvero i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi. Nella graduatoria stila da Clusit al primo posto c’è l’obiettivo governativo/militare (15% degli attacchi totali, ma in crescita del 36,4% rispetto al 2020), segue il settore informatico (14% dei casi, +3,3% rispetto al 2020), gli obiettivi multipli (13%, ma in discesa dell’8%), la sanità (13%, in crescita del 24,8%) e l’istruzione (al 9% del totale, invariata rispetto al 2020).

La prima minaccia è sempre il malware

Il malware è la minaccia più usata per gli attacchi (41% del totale, in crescita del 9,7% sul 2020), seguito dalle tecniche sconosciute (21%, +16% rispetto al 2020), dalle vulne­rabilità (16%, ma in crescita del 60%) e Phishing / Social Engineering (10%, in calo del 32,1%).

Secondo quanto riporta Trend Micro nel suo Annual Report 2021, l’Italia si colloca al primo posto a livello europeo per attacchi malware e al settimo posto a livello mondiale.

All’interno della categoria dei malware, il ransomware è di gran lunga il tipo di attacco più usato (67% secondo il Rapporto Clusit 2021). Trend Micro colloca l’Italia al quarto posto in Europa per numero di attacchi ransomware, dopo Germania, Francia e Regno Unito.

Come avvengono gli attacchi ransomware

Il ransomware appartiene alla categoria dei malware, quindi è un tipo di minaccia che perché si trasformi in attacco deve essere “attivata”. In questo un ruolo fondamentale lo ha l’uomo: è infatti solitamente una persona che attiva un ransomware. Ovviamente, questo avviene in modo inconsapevole, cliccando su un link, aprendo una mail o compiendo qualche altra azione che funge da “trigger” per sferrare l’attacco vero e proprio.

In pratica, la prima parte dell’attacco consiste nell’insediare la minaccia all’interno del sistema informativo della struttura scelta come vittima. In tal senso, il metodo di cui più spesso si avvalgono i cybercriminali è quello di sfruttare delle vulnerabilità. Purtroppo, ancora troppo spesso nelle aziende le patch sono applicate con grande ritardo o non sono addirittura applicate. La riprova arriva dal fatto che WannaCry, il malware che tanti danni ha fatto nel 2017 perché in molto non avevano sanato una vulnerabilità per la quale da tempo esisteva la relativa patch, ancora oggi è ai primi posti tra i malware più diffusi. Così, se da una parte si assiste ad attacchi ransomware che fanno uso di nuove vulnerabilità zero-day, la maggior parte continua ad approfittare di vulnerabilità note su sistemi senza patch.

Una volta che il ransomware è entrato nel sistema può diffondersi indisturbato e “nascondersi” fino a quando non viene eseguito un comando che lo attiva. Questo periodo di tempo, chiamato dwell time, può durare settimane o anche mesi.

Il ransomware as a service

ransomwareLa tecnologia evolve e con essa anche le modalità di attacco. E questo vale anche per i ransomware. Sono finiti i giorni in cui ogni aggressore doveva scrivere il proprio codice ransomware ed eseguire una serie unica di attività per raggiungere il proprio obiettivo. Oggi anche il ransomware può essere ottenuto come servizio, come malware a pagamento. Quella del ransomware as a service è ormai una realtà consolidata. Un cybercriminale vuole lanciare un attacco, ma non sa come creare un ransomware? Nessun problema, può facilmente trovare una piattaforma che gli può fornire il codice ransomware necessario e l’infrastruttura operativa per lanciare e gestire l’attacco ransomware.

Per esempio, l’attacco sferrato alla Ferrovie dello Stato è stato eseguito da un gruppo chiamato Hive, che si occupa proprio di “fornire” il ransomware as a service.

Il doppio riscatto dei ransomware 2.0

Quando si parla di ransomware si tende a pensare a un attacco che mira a ottenere del denaro tramite il pagamento di un riscatto. Questo però si riferisce a una realtà ormai obsoleta, di qualche anno fa. In effetti, i primi ransomware sono comparsi una decina di anni fa: all’epoca veniva richiesto il pagamento del riscatto attraverso un numero SMS a tariffa maggiorata. Con l’arrivo delle criptovalute sono cambiate le cose e si è iniziato a usare il bitcoin come forma di pagamento. E questa tendenza è continuata fino ad oggi. Nel senso che il riscatto pagato tramite bitcoin per riavere accesso ai dati è ancora uno degli obiettivi dei cybercriminali, ma non è più l’unico.

I ransomware 2.0 durante il dwell time identificano i dati di valore e li esfiltrano dalla rete della struttura vittima dell’attacco. Solo in un secondo momento li criptano, avendo preventivamente distrutto tutti i backup raggiungibili tramite la rete stessa. Questo offre ai cybercriminali l’opportunità di effettuare un secondo tipo di estorsione: se una vittima non paga un ulteriore riscatto, chi ha effettuato l’attacco può minacciare di rendere pubblici i dati privati. E per le imprese che detengono dati inerenti alla proprietà intellettuale, informazioni proprietarie, dati privati di dipendenti e clienti, questo è un grave problema che potrebbe comportare sanzioni normative e cause legali. Per non parlare poi dei danni alla reputazione che hanno sempre un valore inestimabile.

Una superficie di attacco sempre più ampia

Si diceva che per sferrare un attacco ransomware sono principalmente sfruttare le vulnerabilità presenti nell’infrastruttura aziendale. Oltre a una gestione non sempre ottimale degli aggiornamenti di software e firmware, a contribuire all’ampliamento della superficie di attacco che hanno a disposizione oggi i cybercriminali per lanciare una minaccia contro un’azienda contribuisce anche la sempre più diffusa modalità di lavoro remoto.

Durante la pandemia per far fonte all’emergenza e continuare a lavorare rispettando le restrizioni imposte il ricorso allo smart working è stato un passaggio obbligato. La grande maggioranza delle aziende non era però preparata e quindi ha dovuto chiedere ai dipendenti di avvalersi di computer e dispositivi mobili di proprietà, in cui la sicurezza non sempre aveva un livello adeguato e molto spesso era addirittura inesistente. Perciò quando uno di questi prodotti si collegava alla rete aziendale lasciava letteralmente aperta una porta per chi avesse voluto accedere in modo fraudolento. I cybercriminali ne hanno ovviamente approfittato.

Ora le cose sono un po’ cambiate e le aziende hanno ripreso regolarmente le attività, tuttavia lo smart working rimane, ma gestito in modo strutturato. Questo però comporta comunque un’estensione della superficie di attacco che quindi arriva fino al più remoto dei collaboratori, nel momento in cui questo si collega alla rete aziendale. Per cautelarsi, è necessario perciò che un’azienda attivi una protezione che consideri tutti i possibili endpoint e valuti quale livello di pericolosità possono rappresentare.

La sicurezza è cambiata

ransomwareNon c’è dubbio che la pandemia abbia influito sui processi di digitalizzazione delle aziende. E in molti casi ha accelerato dei trend in atto. Questo ha avuto un importante riflesso sul modo in cui viene gestita la sicurezza IT. Il repentino ampliamento della superficie di attacco ha imposto di far diventare ancor più strategico di quanto non fosse in precedenza il controllo degli endpoint.

A riguardo va precisato che i nuovi ransomware 2.0, seppure molto importanti e anche molto “in vista” per via dell’entità dei ricatti chiesti, sono solo circa un terzo di tutte le minacce lanciate dai cybercriminali e per le quali i sistemi di difesa da attivare sono molto simili. In primo luogo, bisogna, ovviamente, cercare di evitare che l’attacco superi la protezione attivata. Però se ciò dovesse accadere, si dovrebbe poter essere in grado di individuare qualche indizio che possa indicare la presenza di una minaccia.

Sono proprio queste le direzioni che hanno intrapreso i vendor per indirizzare i propri prodotti per la sicurezza IT, ovvero da una parte tendono a proteggere in modo sempre più raffinato e preciso gli endpoint e dall’altra vanno a indagare all’interno della rete, spesso avvalendosi dell’intelligenza artificiale, per verificare in automatico che tutte le procedure in atto siano lecite e non presentino delle atipicità. Qualora siano individuate delle anomalie è bene intervenire perché con tutta probabilità è in atto un attacco di cui non si era a conoscenza. IBM stima che un’azienda impieghi in media 287 giorni per scoprire di essere vittima di un data breach e contenere l’attacco (questo tempo dipende da vari fattori come il tipo di violazione dei dati, i vettori di attacco, l’uso o meno dell’intelligenza artificiale e dell’automazione).

L’opportunità della formazione

Un’opportunità che può avere il canale e che non va assolutamente sottovalutata è quella di tenere dei corsi per istruire i dipendenti dell’azienda a saper valutare adeguatamente il pericolo dovuto alla sicurezza IT e i danni che possono seguire a un attacco e quindi a comportarsi di conseguenza.

Come detto, per attivare un malware, ma vale anche per il phishing o altre minacce, è l’azione di una persona che fa avere successo all’attacco. Purtroppo, però troppo spesso le persone che hanno cliccato dove non avrebbero dovuto pensano di aver fatto un danno di poco conto perché in fin dei conti a subirlo è l’azienda. Dovrebbero essere invece consapevoli che un fermo dell’azienda non solo comporti un mancato guadagno ma sia addirittura un costo. Gartner stima che tale costo vada dai 420 dollari a 9.000 dollari al minuto, a seconda delle dimensioni dell’azienda. Questo si riflette direttamente sui dipendenti, anche su chi ha attivato involontariamente l’attacco.

Per i partner di canale che si occupano di sicurezza la formazione è sicuramente un’arma in più da poter usare.

Un nuovo ruolo per i partner

L’evoluzione della gestione della sicurezza, a cui si aggiungono le opportunità fornire dal cloud, ha aperto nuove opportunità per i partner di canale che si occupano di sicurezza, quella di diventare Managed Security Service Provider. A onor del vero, non si tratta di una novità perché è una tendenza in atto da tempo, ma ora le opportunità sono maggiori perché maggiori sono le necessità.

Ormai è passato il periodo in cui le aziende, soprattutto le PMI, si gestivano in casa la sicurezza perché bastava installare qualche software e aggiornarlo ogni tanto. Oggi è necessaria una protezione più evoluta, che sia sempre aggiornata e che, se possibile, sappia agire proattivamente nei confronti delle minacce. Servono, in sostanza, strumenti adatti e persone preparate che si dedichino solo a questa attività. Sono molte le aziende che non possono (o non vogliono) permetterselo e preferiscono rivolgersi a un servizio esterno, che gli assicuri un’adeguata protezione permettendogli nel contempo di non ridurre il personale dedicato al core business.

Le aziende di più grandi dimensioni spesso hanno del personale dedicato alla sicurezza, ma lo stesso si possono rivolgere a un MSSP per attività che pur fondamentali, non svolgono interamente, come per esempio un vulnerability assessment o un penetration test.

I vendor sono più che mai attrezzati per agevolare chi intende diventare un MSSP o, se lo è già, vuole migliorare le sue competenze. Hanno ormai tutti a listino soluzioni specifiche per gestire la sicurezza da remoto tramite cloud (anche per più clienti contemporaneamente) e tengono costantemente corsi, che possono anche permettere di ottenere certificazioni che attestino le conoscenze acquisite.

Ora quella dell’MSSP è ancora un’opzione, però la tendenza ad andare sempre più verso una sicurezza as a service è evidente. D’altra parte, siglare un contratto con un cliente per la fornitura di un servizio permette un ricavo ben diverso dalla semplice vendita un prodotto e può essere l’inizio di un rapporto che si protrae nel tempo.