Buoni consigli per difendersi dal ransomware
La maggior parte delle persone probabilmente sa cos’è il ransomware (in caso contrario qui trovate un approfondimento), ma come funziona esattamente? Che cosa lo rende così distruttivo? E le aziende come possono arginarlo?
Mentre il governo degli Stati Uniti ha recentemente dichiarato che giocherà un ruolo maggiore nel contrastare il ransomware e altri attacchi informatici, ha altresì sottolineato l’importanza della collaborazione con il settore privato per combattere questo problema pervasivo. Allo stesso tempo, il settore privato ha sollecitato un’azione più forte da parte del governo.
Il ransomware è ora un problema di tutti, è un problema che riguarda i governi, le aziende e persino i singoli individui. La pandemia ha aumentato ulteriormente le opportunità di “dolo” per gli aggressori informatici dal momento che i dipendenti accedono alle risorse aziendali da una miriade di dispositivi/reti non sempre gestiti dal team IT aziendale. E una volta che i criminali informatici hanno trovato il modo di accedere e hanno criptato i dati e i file chiederanno somme sostanziali di denaro per ripristinarli.
Perché il ransomware è così pericoloso, specialmente ora?
I dati sono la linfa vitale di ogni organizzazione: storicamente i ramsomware prendevano di mira i singoli sistemi e chiedevano poche centinaia di dollari per far recuperare i dati su una particolare macchina.
Ora, attraverso la “caccia grossa“, i criminali informatici inseguono obiettivi più grandi e cercano di raggiungere i sistemi più critici. Una volta ottenuto l’accesso, distribuiscono il ransomware in più punti della rete in modo che la vittima sia maggiormente disposta a pagare un riscatto più alto (si parla anche dell’ordine di milioni).
Vengono utilizzate anche altre tattiche, più aggressive, per aumentare le possibilità di guadagno. Per esempio, compromettendo i sistemi di backup in modo che gli amministratori non possano usarli per recuperare i dati. Alcuni cyber criminali impiegano anche la “doppia estorsione”, minacciano di rilasciare informazioni sensibili al pubblico mentre interferiscono con le operazioni quotidiane della vittima.
E poi c’è anche il modello ransomware-as-a-service: attraverso questi servizi, i criminali che non hanno alte competenze o le risorse per creare il proprio ransomware possono semplicemente acquistare kit da altri cyber criminali. Questo consente, a chiunque cerchi di effettuare un attacco informatico, l’opportunità di ottenere facilmente il codice dannoso adatto a sfruttare le vulnerabilità non patchate.
Perché non pagare il riscatto?
Anche se oggi i pagamenti dei riscatti sono spesso nell’ordine dei milioni di dollari, pagare per ripristinare i dati è a volte decisamente meno costoso degli impatti operativi di un intero business che rallenta o si ferma (specialmente quando si tratta di infrastrutture critiche).
Gli esperti di sicurezza e i governi scoraggiano le aziende dal pagare un riscatto, perché così facendo si continua ad alimentare il ciclo dei tentativi di attacco. Se un attaccante riceve il pagamento di un riscatto da un obiettivo, questo lo renderà più motivato a prendere di nuovo di mira l’organizzazione, sapendo che probabilmente pagherà. E naturalmente, solo perché un’organizzazione decide di pagare un riscatto, non sempre significa che i suoi dati saranno ripristinati o che le sue informazioni sensibili non saranno rilasciate a terzi.
Come entrano esattamente gli aggressori?
Ci sono vari modi in cui i criminali informatici possono infiltrarsi in un ambiente. Spesso, il phishing e il “Social Engineering” vengono utilizzati per rubare le credenziali e/o indurre i dipendenti a cliccare su un link o un allegato dannoso. È possibile entrare anche attraverso siti web infetti visitati dagli utenti, o semplicemente sfruttando le vulnerabilità note del software nel perimetro di rete di un’organizzazione. In alcuni casi, gli aggressori possono prima introdursi nel partner commerciale di un’organizzazione, nel service provider o in altre terze parti per poi infettare l’obiettivo desiderato.
Gli utenti di oggi sono abituati a scorrere e navigare rapidamente tra le e-mail, i social media e gli articoli di notizie. I criminali informatici approfittano sovente di questi comportamenti per avviare attacchi prima ancora che gli utenti si rendano conto su cosa hanno cliccato. Tuttavia, come detto in precedenza, l’intrusione iniziale è solo una parte del processo.
Per massimizzare il loro potenziale di guadagno, i cyber criminali in genere aspettano fino a quando non hanno ottenuto il controllo di una vasta porzione di una rete prima di distribuire il ransomware.
Anche se il primo obiettivo di ogni difensore dovrebbe essere quello di tenere gli aggressori fuori dalla propria rete, è altresì importante assicurarsi che siano in atto politiche corrette per limitare ciò che gli utenti possono fare se dovessero ottenere il controllo di una rete o di un account utente.
Cosa possiamo fare per fermare il ransomware?
Poiché il ransomware è diventato così sfaccettato, anche le nostre protezioni devono esserlo. Nessuna singola tecnologia o best practice da sola può prevenirlo. Dobbiamo pensare alla difesa dal ransomware come a un processo continuo e a più livelli. Le migliori tecnologie sono aggiornate per catturare le ultime minacce e sono ben integrate in modo che una soluzione possa iniziare da dove l’altra si ferma.
Anche l’educazione dell’utente finale dovrebbe giocare un ruolo chiave nella lotta al ransomware, in modo che i dipendenti sappiano cosa c’è in gioco quando navigano e cliccano senza pensare.
Qualche consiglio per difendersi dal ransomware
Se non siete sicuri da dove iniziare con la difesa dal ransomware, iniziate con l’igiene informatica di base. (Anche se alcune di queste indicazioni possono sembrare semplicistiche, sono spesso trascurate a causa di limitazioni di risorse, focus su progetti di livello superiore, e così via. Gli aggressori ne sono consapevoli e spesso sfruttano proprio queste vulnerabilità e debolezze comuni).
1. Mantenere i sistemi con le patch e aggiornati. Il patching automatico, quando possibile, può aiutare a garantire che nulla sfugga alle falle e può anche ridurre il carico sui team IT e di sicurezza. Delle 25 migliori pratiche che abbiamo analizzato nel nostro Security Outcomes Study 2021, si è scoperto che aggiornare proattivamente la tecnologia ha avuto il più forte effetto sul miglioramento delle difese generali.
2. Eseguire sempre il backup dei dati in modo da poterli recuperare in caso di emergenza. Memorizzare i backup offline in modo che non possano essere trovati da intrusi informatici. Sviluppare un piano di recupero dei dati che possa aiutarvi a raggiungere il ripristino su scala e a garantire la continuità del business.
3. Mantenere un inventario accurato e aggiornato delle vostre risorse. Le macchine più vecchie e dimenticate sono spesso una via d’accesso per gli aggressori.
4. Condurre valutazioni continue dei rischi per scoprire qualsiasi vulnerabilità nella vostra infrastruttura.
5. Crittografare i dati riservati e segmentare la rete in modo che i criminali informatici non possano raggiungere facilmente i sistemi critici.
6. Assicurarsi che i propri dipendenti abbiano familiarità con la cybersicurezza e il ransomware. Formarli sull’importanza delle password forti, su come individuare un’e-mail di phishing, su cosa fare se ricevono una comunicazione sospetta e così via.
7. Rimanere informati sugli ultimi rischi e sulle tattiche difensive, e disporre di un solido piano di risposta agli incidenti per gestire le minacce inaspettate. Organizzazioni come Cisco Talos offrono servizi di risposta agli incidenti per aiutarvi a prepararvi, rispondere e recuperare i dati dalle violazioni.
8. Prestare attenzione alla guida al ransomware da parte di enti governativi come CISA e NIST.
Cisco Ransomware Defense
Se avete bisogno di aiuto per la vostra strategia ransomware, Cisco Secure offre tutte le tecnologie di supporto. Sono integrate attraverso la piattaforma Cisco SecureX per la massima efficacia e sono supportate dall’intelligence di Cisco Talos.
Se avete piacere ad approfondire la tematica, leggete l’intervista che Cisco Talos è riuscita a realizzare con un cyber criminale di attacchi ramsomware per avere una visione del lato umano delle minacce.
Per i dettagli tecnici su tutti gli ultimi attacchi, vi invito a seguire costantemente il blog di Cisco Talos.
Tags:
