Una delle minacce più insidiose che si aggirano in campo informatico, soprattutto quando si parla di aziende, è il ransomware. Questo perché rischia di bloccare l’accesso a informazioni fondamentali per portare avanti il proprio business. Molti sono i casi in cui un fermo dei sistemi anche per poche ore non è assolutamente accettabile. Se si pensa ad esempio ad una struttura sanitaria come un ospedale, sarebbe una vera catastrofe non riuscire ad accedere ai dati personali di un paziente, in quanto anche il suddetto potrebbe cadere vittima di questi attacchi.
La situazione spiega anche il motivo per cui i cybercriminali fanno affidamento a questa tipologia di attacchi: di fatto, sanno che le vittime, soprattutto se parliamo di bersagli di alto profilo, sono disposte davvero a fare di tutti pur di riuscire a decifrare i dati “bloccati” dall’attacco hacker. Non è assolutamente la scelta da fare quella di cedere alla minaccia, anche perché da una parte si va a finanziare l’attività criminale, e dall’altra non si ha la sicurezza gli i malfattori cessino nella loro attività clandestina. Ancor peggio, potrebbe capitare che i suddetti, dopo aver avuto ulteriori informazioni, continuano ad alzare pericolosamente la posta, chiedendo ancor più denaro per non pubblicare i dati online.
Chris Goettl, Director of Product Management for Security Products di Ivanti, azienda specializzata in soluzioni di cybersecurity, ha provato a fare il punto della situazione, analizzando le 3 fasi differenti che determinano un attacco ransomware e indica le azioni da fare per tutti i sistemi aziendali colpiti,
Ransomware: la prima fase è la contaminazione
Per riuscire a cifrare i dati di un organizzazione, il malfattore deve cercare il modo di eludere la difesa delle aziende, e come tutti sanno, il phishing è sicuramente la via migliore e più battuta, in particolar modo nell’ultimo anno. Tuttavia, non sembra essere l’unica strategia, anche perché a volte, per riuscire ad entrare nelle reti aziendali, i criminali usano vulnerabilità non patchate degli amministratori, oppure ottengono l’accesso tramite sistemi di credential stuffing, utilizzando combinazioni di login e password prese da qualche database e diffuse sul dark web.
“Al fine di prevenire le contaminazioni, la cosa migliore che un’organizzazione può fare è garantire il rispetto delle policy di base in materia di sicurezza informatica. È a questo punto che entrano in gioco la gestione continua delle vulnerabilità e l’aggiornamento puntuale delle patch, per impedire agli aggressori di accedere alla rete attraverso una vulnerabilità nota” – spiega Goettl. “La formazione costante ai temi di sicurezza informatica è la chiave per garantire che i dipendenti neghino l’accesso all’hacker, servendosi di un’e-mail sospetta o un link per il download. Sul fronte dell’IT e della sicurezza, i team devono monitorare attentamente le varie applicazioni, mantenere la gestione dei privilegi di accesso e implementare l’autenticazione a due fattori per impedire l’intrusione di criminali informatici“.
Ransomware, fase 2: l’estrazione dei dati
Nel caso in cui l’attaccante riesce ad eludere le difese esterne, il passo successivo è quello di ricercare informazioni sensibili, per le quali l’azienda potrebbe anche pagare. L’operazione non è facile come sembra, anche perché c’è il rischio elevato di essere scoperti. Proprio per questo motivo, i malintenzionati sfruttano i loro dispositivi o app che considerano sicure dal sistema per andare avanti senza disturbo.
Qui, i sistemi EDR (Endpoint Detection and Response) e l’approccio zero trust entrano in gioco. I primi dovrebbero essere installati su tutti gli endpoint, così da poter individuare velocemente azioni sospette. Questi da soli, però, potrebbero non funzionare a dovere, e per questo motivo Ivanti suggerisce di affiancare a queste contromisure un approccio di tipo zero trust (nessuna fiducia, letteralmente), dove non esiste alcun dispositivo o utenza considerati affidabile, nemmeno quella degli amministratori. In questo modo risulterà sospetta qualsiasi azione, anche quella fatta da un admin. Con zero trust “nessun utente o dispositivo è considerato affidabile e deve essere costantemente autorizzato prima di poter accedere ad una rete, impedendo così ai cyber-criminali di sfruttare gli account privilegiati. L’EDR ha il compito di individuare gli attori della minaccia, ma può essere contrastato da un astuto avversario che ha compromesso precedentemente le credenziali ed è in grado di muoversi come un utente di cui ci si fida e con strumenti che ci si aspetta”, continua Goettl. “Mentre gli hacker si spostano continuamente, Zero Trust Access Control costringe l’hacker a dover intraprendere dei passaggi che consentono ai difensori di individuare meglio le attività dannose. Insieme, ZTA ed EDR rappresentano una combinazione sicura, poiché il primo approccio aumenta la possibilità al secondo di rilevare le attività dannose“.
Ecco l’ultima fase: la cifratura
Nel caso in cui il malfattore è arrivato al punto di superare anche gli EDR, si dovranno bloccare i sistemi. Questo impedirà ai dipendenti di lavorare, ma anche agli intrusi di fare ulteriori danni limitandoli. Inoltre, sarà sempre necessario agire con velocità ed eseguire dei backup, in modo tale da non ripristinare dopo tutto da zero.
“Sono disponibili nuove soluzioni che consentono di osservare gli schemi di attacco, come fa l’EDR, rispetto all’analisi dei dati stessi. Non serve individuare uno schema se i file vengono monitorati con puntualità e, in questo caso, una barriera per le attività di encription può essere l’unico elemento che consente alle aziende di comprendere se sono sotto attacco“, continua Goettl. “È ancora presto, ma ci sono alcune soluzioni in arrivo sul mercato che si concentrano su questo approccio da “ultima linea di difesa”, per isolare i dati molto più velocemente e ridurre la quantità di ripristino dati necessaria per tornare operativi“. Goettl conclude infine mettendo in evidenza che “adottando un approccio di difesa specifico, che include la gestione completa delle patch, la formazione dei dipendenti, la gestione dei privilegi di accesso e la gestione continua delle vulnerabilità, un attacco non dovrebbe essere in grado di oltrepassare le difese esterne di un’azienda“.