Ransomware: indispensabile sapere chi ha accesso ai dati, dove questi risiedono e cosa contengono?
Siamo realmente pronti ad affrontare il Ransomware?
Le considerazioni di Steve Stone, Head of Rubrik Zero Labs, Rubrik
Il volume e la portata degli attacchi informatici continuano ad aumentare e mettono a dura prova la capacità di un’organizzazione di comprendere le minacce. Le tecnologie di intelligenza artificiale (AI) entrano in questo scenario come l’ultima novità tecnica. Questa complessità, unita all’esplosione dei dati aziendali e alla continua espansione all’interno e verso il cloud, apre le porte a una combinazione di attacchi in rapida espansione da parte di criminali informatici che promettono che il pagamento di un riscatto porrà fine ai problemi, ma grazie al loro ampio ecosistema criminale, alle lacune tecniche nell’annullare le loro intrusioni e alla generale mancanza di fiducia è difficile crederci.
Dobbiamo continuare a valutare le nostre difese infrastrutturali, ma dobbiamo anche chiederci se i nostri dati sono al sicuro, in particolare dalle nuove modalità di attacco ransomware. Prima di rispondere, considerate le seguenti statistiche tratte dall’ultima ricerca dei Rubrik Zero Labs:
- Nove organizzazioni esterne (non-Rubrik) su 10 hanno dichiarato che attori malintenzionati hanno tentato di interferire con i loro backup di dati durante un cyberattacco, con il 73% che ha avuto un successo almeno parziale.
- Quasi tre quarti (72%) di queste stesse organizzazioni hanno dichiarato di aver pagato un riscatto per i dati criptati.
- Ma solo il 16% delle organizzazioni che hanno pagato ha recuperato tutti i dati.
Un’ulteriore ricerca di Unit 42, l’Incident Response team di Palo Alto Networks ha evidenziato:
- Il 70% degli attacchi ransomware include anche il furto di dati, non solo la crittografia, nel 2023 (rispetto al 40% circa della metà del 2021).
- I gruppi di ransomware hanno minacciato di divulgare i dati rubati alle vittime nel 53% degli attacchi ransomware tra la metà del 2021 e la fine del 2022.
- Il 10% degli attacchi ransomware non si è preoccupato della crittografia, ma è passato direttamente al furto dei dati e alla minaccia di esporli sul dark web.
Pensi di essere pronto? Esegui snapshot immutabili dei propri dati – immutabili nel senso che i dati non possono essere modificati, cancellati o alterati in alcun modo. Hai rafforzato la tua infrastruttura, implementato un sistema SIEM (security and event management) e installato altri strumenti tecnologici per proteggervi dal ransomware. Se i malintenzionati criptano i dati di produzione e cercano di tenerli in ostaggio, allora avrai una risposta perfetta e resiliente.
Ma anche i criminali informatici migliorano e hanno fatto i loro investimenti in un perpetuo gioco del gatto e del topo.
Un vettore di attacco in crescita
Un tipo di cyberattacco particolarmente pericoloso – il ransomware a “doppia estorsione” – sta crescendo in termini di impatto e diffusione. Tradizionalmente, il ransomware è un tipo di software dannoso che cripta i dati della vittima. Gli aggressori chiedono poi un riscatto in cambio della chiave di decrittazione dei dati. E presumibilmente, una volta che l’azienda attaccata paga il “riscatto”, la chiave viene consegnata e l’episodio di attacco è (o dovrebbe essere!) risolto. Questo accadeva una volta…
Ora stiamo assistendo a un secondo livello di estorsione. Il “doppio” si riferisce al fatto che gli aggressori non si limitano a chiedere il pagamento in cambio della chiave di decrittazione, ma minacciano anche di pubblicare i dati rubati se le aziende non consegnano il denaro. In pratica, raddoppiano il dolore per costringere l’utente a pagare.
Nei casi più comuni di ransomware a doppia estorsione, gli aggressori ottengono innanzitutto un accesso non autorizzato al sistema della vittima, di solito attraverso tecniche di social engineering come le e-mail di phishing o sfruttando le vulnerabilità del software. Una volta ottenuto l’accesso, oltre al riscatto richiesto per la chiave di decrittazione, gli aggressori minacciano di rendere pubblici i dati rubati, che possono includere informazioni sensibili e riservate, come dati finanziari, segreti commerciali o informazioni personali di dipendenti e clienti.
Gli attacchi ransomware a doppia estorsione sono sempre più comuni e possono essere molto costosi.
Meglio essere “cyber resilient” che “cyber ready”
Combattere un ransomware a doppia estorsione è esponenzialmente più impegnativo che difendersi semplicemente da un evento di crittografia.
Se ci si concentra sulla riduzione al minimo dell’impatto della crittografia, si può dare la priorità a migliorare l’infrastruttura. Ciò consentirebbe a un’organizzazione di disporre di salvaguardie proattive che aiutano a prevenire gli attacchi in primo luogo. Questa è sicuramente una parte essenziale della pianificazione strategica per i cyberattacchi e della garanzia di avere le giuste misure di preparazione, ma essere in grado di ripristinare i dati non aiuta a prevenire il loro furto.
Per ottenere una vera resilienza informatica, dovresti concentrarti su altri tre modi per mantenere i vostri dati al sicuro.
- Innanzitutto, identifica i dati più sensibili. Si tratta di proprietà intellettuale? Dati di pagamento dei clienti? Dati dei pazienti? Dati sensibili dei dipendenti, come i numeri di previdenza sociale e i numeri di conto corrente per il deposito diretto delle buste paga?
- Scopri poi chi ha accesso a questi dati. Si tratta di persone e team appropriati? È presente l’autenticazione a più fattori? È qui che entra in gioco la zero trust, ovvero un’architettura di sistema che presuppone che tutti gli utenti, i dispositivi e le applicazioni non siano affidabili e possano essere compromessi.
- Infine, devi esser certo di avere la possibilità di visualizzare i dati che si muovono nel tuo ambiente. In genere, gli aggressori si spostano in un luogo, poi in un altro, poi in un altro ancora. Si concentrano su un’area e ne esfiltra i dati prima di spostarsi. Ecco perché è fondamentale avere trasparenza sui movimenti dei dati e su qualsiasi altra attività irregolare. Se sei in grado di individuare tempestivamente le irregolarità, puoi potenzialmente bloccare i criminali informatici prima che causino danni ai dati o all’organizzazione. Questa fase è sempre stata importante, ma nei moderni ambienti ibridi la capacità di vedere i movimenti dei dati tra SaaS, Cloud e on-premise è fondamentale.
Essere preparati
È indispensabile disporre di una soluzione di sicurezza dei dati che aiuti a identificare i dati sensibili, dove si trovano e, cosa forse più importante, chi vi ha avuto accesso. Questo diventa ancora più difficile quando si dispone di un mix di ambienti on-premise, multi-cloud e SaaS, ognuno dei quali contiene grandi volumi di dati unici.
Uno strumento di indagine sofisticato che identifichi chiaramente e rapidamente chi ha accesso ai dati, dove questi risiedono e cosa contengono, fornisce una protezione più olistica contro il ransomware a doppia estorsione e altri tipi di attacchi. Con questa conoscenza completa dei vostri dati, avete il potere di limitare i danni che attori malintenzionati esterni possono arrecare alla vostra azienda.