Il ransomware può paralizzare un’organizzazione. È in grado di influire sulla capacità di un’azienda di fornire servizi essenziali e può rapidamente mettere a repentaglio la fiducia che i clienti ripongono in essa, fino a incidere negativamente sui profitti.
Sia le organizzazioni pubbliche che quelle private sono vulnerabili, poiché gli aggressori continuano a migliorare le loro strategie di attacco con crescente competenza e accuratezza. La pandemia in corso ha acuito questa vulnerabilità poiché l’importante crescita dello smart working ha ampliato in modo rilevante la “superficie attaccabile”.
Nell’ultimo periodo, infatti, sono aumentati in modo considerevole le aggressioni di questo tipo, e la crescente attenzione che i governi stanno ponendo nei confronti di questa problematica ne è una chiara dimostrazione. Il Dipartimento del Tesoro degli Stati Uniti, ad esempio, ha rilasciato una serie di linee guida per impedire il pagamento dei riscatti, minacciando sanzioni civili e/o pecuniarie nel caso in cui un’azienda decidesse di agire diversamente.
Tale approccio è condiviso anche dal governo italiano che, con il DPCM del 30 luglio 2020 in materia di perimetro di sicurezza nazionale, si pone perfettamente in linea con le preoccupazioni del Dipartimento del Tesoro americano, e in tal senso ha istituito un Tavolo interministeriale che ha il compito di vigilare e al quale devono essere comunicati, entro 6 ore, eventuali attacchi. Pena pesanti sanzioni.
Questa situazione pone le aziende di fronte alla necessità di mettersi in sicurezza, modificando policy, stabilendo nuove strategie, aumentando il livello di formazione/istruzione dei propri dipendenti, rivedendo i propri sistemi di cybersecurity, e considerando l’eventualità di adottare nuove tecnologie per ridurre al minimo l’esposizione al rischio.
Varianti di Cryptomalware
Si può affermare che ormai gli attacchi di ransomware siano quasi sempre assimilabili a cryptomalware. Ossia, l’aggressore crittografa i dati della vittima, rendendoli così inaccessibili, e chiede un riscatto per rilasciarli. Ovviamente, in questo scenario, ci sarà sempre un perdente: potrà essere la vittima dell’attacco, che perde i propri dati e il proprio denaro, oppure il cybercriminale, nel caso in cui la vittima decidesse di non pagare il riscatto (in questo secondo caso, però, a perdere sono entrambi, perché i dati non vengono decrittografati e la vittima non potrà più accedervi).
Inoltre, non si ha mai la certezza che sottostando alle richieste di denaro avanzate dagli hacker si rientri in possesso dei propri dati: sono numerosissimi i casi in cui, o per processi di decrittografia mal funzionanti, o a causa del cyber criminale che decide di venir meno agli accordi, questo non avviene.
Il leakware, chiamato anche ransomware a doppia estorsione, è una tipologia di ransomware, secondo la quale il cyber criminale minaccia di rendere di pubblico dominio i dati di un’organizzazione a meno che non venga effettuato il pagamento di un riscatto. In questo scenario, la vittima dovrà decidere se pagare, proteggendo l’azienda da ingenti danni, ma probabilmente andando incontro a sanzioni governative, oppure non pagare, esponendo la propria azienda a gravi danni. Sarà quindi necessaria un’attenta valutazione in merito al valore monetario della richiesta di riscatto, della capacità di sostenere il pagamento e/o del valore dei dati. Questa tipologia di ransomware è al momento tra le preferite dai cyber criminali, in quanto sanno che il classico ransomware viene aggirato dalle aziende che, nella maggior parte dei casi, dispongono di ottimi sistemi di backup, che permettono loro di rientrare in possesso dei dati anche in caso di attacchi.
Cambiare le regole: il rischio di sanzioni
Gli aspetti che un’azienda deve tenere in considerazione per poter decidere se pagare o meno un riscatto sono molteplici: tra questi vi sono sicuramente la disponibilità di buoni sistemi di backup per ripristinare i dati bloccati, il potenziale danno reputazionale per il brand in caso di divulgazione dei dati, la probabilità che l’aggressore, se pagato, decida di ripetere l’attacco, eventuali sanzioni normative a cui potrebbero essere sottoposte da parte di organi di controllo e la capacità economica di sostenere il pagamento. Oltre ovviamente al costo dell’interruzione dell’attività rispetto al costo di altre azioni. Inoltre, l’azienda potrebbe già disporre di una procedura operativa standard per gestire gli incidenti legati ai ransomware, oppure no. Appare, quindi, chiaro come tutta questa serie di variabili da tenere in considerazione dia un forte vantaggio all’aggressore. Alla luce di tutto ciò, cosa può essere utile fare prima o durante un incidente di ransomware?
Come proteggersi da ransomware/leakware
Non adottando una posizione proattiva verso queste minacce, le aziende si ritrovano invischiate in un gioco cryptomalware a somma zero. Inoltre, se l’aggressore riesce a mettere a segno il proprio colpo, diventa fondamentale che l’organizzazione presa di mira riesca a mantenere un polso saldo sulla situazione. A tal proposito, ecco 5 semplici regole per tutelarsi:
- Creare un playbook sugli incidenti ransomware applicabile alla propria organizzazione, esercitarlo spesso e perfezionarlo secondo necessità.
- Insegnare ai dipendenti a capire come evitare di soccombere alle lusinghe e ai trucchi dei criminali informatici.
- Adottare procedure di backup solide e comprovate per ripristinare i dati in caso di incidente cryptomalware, inclusi i backup offline.
- Adottare un programma di prevenzione della perdita di dati in tutta l’azienda in modo da ottenere visibilità su dove si trovano i dati e su chi stia interagendo con essi. Come parte della strategia di protezione dei dati, sarebbe necessario considerare ulteriori passaggi come la segmentazione dei dati attraverso le reti.
- Tenere in grande considerazione il fatto che l’analisi comportamentale può aiutare a identificare azioni anomale all’interno dell’ambiente lavorativo che possono essere causate da aggressori che assumono il profilo di un utente privilegiato, che interagiscono con i file in massa o trasferiscono dati in massa.
Cos’altro si può fare?
All’inizio della pandemia, la maggior parte dei CISO si è concentrata sul mantenimento della resilienza e sulla riduzione al minimo delle interruzioni dell’attività durante la transizione verso una forza lavoro remota. Questo passaggio al lavoro da casa ha ulteriormente aggravato la situazione a causa dell’ampliamento del panorama di minacce e di una riduzione dei controlli normalmente presenti in un ambiente d’ufficio tradizionale. Il contesto economico, sanitario e psicologico di oggi ha purtroppo creato un’opportunità per gli aggressori di intensificare le loro attività e prendere di mira i lavoratori in smart working, più esposti alle aggressioni.
In questo scenario, una cosa è chiara: per quanto riguarda la sicurezza informatica, trarrebbero tutti vantaggio da una maggiore collaborazione tra pubblico e privato. Questo approccio sinergico sarebbe estremamente utile per trovare la migliore soluzione finalizzata a proteggere le aziende da potenziali aggressori. È giunto il momento di lavorare per rendere operativo un approccio ransomware che protegga le organizzazioni in modo tale da garantire che gli aggressori soccombano.
a cura di Alessandro Biagini, Regional Sales Manager di Forcepoint Italia