Ransomware as a Service: dai singoli attacchi a un ecosistema criminale che aumenta la complessità e l’efficacia delle minacce. Come difendersi?
Non singoli criminali, ma un ecosistema o un’impresa che aumenta la complessità e la potenza degli attacchi informatici: prevalgono i ransomware gestiti dall’uomo, sempre più sofisticati e mirati, e ben un terzo degli obiettivi viene compromesso con successo. Tutti gli attacchi riusciti hanno in comune una protezione debole e una scarsa igiene informatica da parte dell’organizzazione colpita. Dati che emergono dal Microsoft Digital Defense Report 2022, panoramica sullo stato del cybercrimine, sulla portata e sulla dimensione delle minacce e sulla necessità della prevenzione come prima linea difensiva.
Comprendere l’economia del ransomware
Uno degli aspetti più interessanti del rapporto è il focus sull’economia del ransomware, un vero e proprio mercato parallelo: a differenza della narrazione “popolare” dei ransomware, è raro che una singola variante di malware venga creata e gestita da un singolo soggetto o gruppo.
Dimentichiamoci, insomma, dello stereotipo del malvagio genio solitario creatore di malware. In questi anni abbiamo assistito alla nascita di un vero e proprio ecosistema criminale composto da entità separate che creano il malware, si procurano la via di accesso ai dati delle vittime, distribuiscono il ransomware e gestiscono le trattative per l’estorsione.
Un ecosistema complesso, una vera e propria industria all’interno della quale operano tanto gli sviluppatori di malware che creano gli strumenti, quanto i broker – alcuni di primo livello, specializzati in reti ad alto valore – in grado di introdursi in un sistema e di vendere l’accesso a terzi e i fornitori di servizi di crittografia ed estorsione che tramite abbonamenti, programmi di affiliazione o licenze una tantum permettono di “noleggiare” le funzionalità di attacco (RaaS, Ransomware as a Service).
Gli attacchi si fanno sempre più audaci e gli impatti sempre più importanti. Nel report si evidenzia come negli ultimi anni si sia sviluppato un modello di ransomware “industrializzato”, una sorta di franchising dell’economia criminale dove varie figure cooperano nell’ambito di una rete criminale e mettono a disposizione – anche ai malintenzionati meno esperti – strumenti sofisticati, creando un bacino di aggressioni e minacce sempre più esteso e in grado di raggiungere potenzialmente sempre più obiettivi.
Diversi attori con tecniche, obiettivi e competenze diverse si dedicano a
studiare metodi di accesso e a fornire servizi via via più efficienti: gli operatori di questa sorta di mercato nero possono comprare l’accesso a organizzazioni e reti governative – dati ottenuti tramite malware, attacchi brute force e sfruttamento di vulnerabilità note – ma anche servizi come la distribuzione di payload, la gestione delle richieste di riscatto e monetizzazione, e perfino il servizio di negoziazione (condotto da esperti RaaS e non dai “committenti”). Nel pacchetto spesso sono inclusi vari servizi di supporto all’estorsione: dall’hosting del sito di leak alla decrittazione, dal sollecito ai pagamenti fino ai servizi di transazione di criptovalute.
L’indagine sulle vulnerabilità
Non solo cyber attacchi nation-state, che pure sono passati dal 20% al 40% del totale degli attacchi rilevati da Microsoft, in concomitanza con il conflitto Russia-Ucraina, ma anche una crescita costante dell’efficacia e della pervasività di tecniche criminali non necessariamente rivolte a istituzioni o connesse alla situazione geopolitica, ma in generale alle amministrazioni e alle aziende di ogni dimensione.
Gli attacchi riguardano potenzialmente tutti i dispositivi e le infrastrutture, in particolare quelle più critiche, come quelle legate alla sanità.
Si registrano 921 attacchi alle password al secondo (l’aumento è del 74% in un solo anno), una crescita costante delle campagne di phishing e una moltiplicazione delle richieste di riscatto successive ad attacchi ransomware – più che raddoppiate.
L’indagine sul campo dimostra che il 93% dei casi di attacco ransomware sono stati agevolati da uno scarso controllo dei privilegi di accesso e dal poco controllo su tecniche come il Lateral Movement.
Le strategie difensive contro gli attacchi ransomware
Una strategia di difesa efficace e duratura contro gli attacchi ransomware non può fare a meno di elementi come l’autenticazione a più fattori (MFA), il rilascio frequente di patch di sicurezza, l’adozione di un centro operativo di sicurezza (SOC) e un approccio Zero Trust applicato a un vasto perimetro di rete. Elevati standard di sicurezza e verifiche puntuali servono a combattere gli attacchi attraverso un’accurata opera di prevenzione, che sottintende anche un’evoluzione della mentalità da parte di decisori e figure dirigenziali: operare prima – proprio perché gli attacchi ransomware gestiti dall’uomo sono imprevedibili e veloci.
Sembra incredibile, ma ancora oggi un attacco ransomware sofisticato può partire dall’accesso all’account privilegiato di un singolo amministratore di sistema, di dominio o di rete.
Alcune azioni da mettere in pratica per difendersi dagli attacchi
Mettere in sicurezza le credenziali e verificarne il grado di esposizione
Effettuare l’hardening del cloud
Ridurre l’affaticamento degli avvisi del SOC, rafforzando la rete per ridurre il volume e preservare le energie per gli incidenti ad alta priorità
Studiare e comprendere il perimetro esteso da proteggere e ridurre la superficie di attacco
Dotarsi di strumenti di ripristino del ransomware
Facciamo un breve approfondimento sull’ultimo punto. É importante avere immediata visibilità sull’entità del danno e avviare un rapido ripristino dei backup non compromessi, in modo da assicurarsi il recupero dei file importanti e accelerare le operazioni che garantiscono la business continuity. Questo è possibile tramite soluzioni integrabili con i più diffusi framework di automazione della sicurezza, che non solo permettono il ripristino istantaneo, completo o parziale, ma memorizzano i dati in backup immutabili, che non possono essere infettati da ransomware, rilevano attività insolite e anomalie (grazie all’analisi proattiva dei modelli comportamentali) e, in caso di attacco, forniscono diagnosi e analisi dell’impatto sui dati crittografati e sensibili (ad esempio dati di identificazione personale o dati sanitari) che potrebbero essere stati esposti al danno. Simili soluzioni lavorano per costruire un’architettura sicura, comprendendo le misure che citavamo precedentemente – autenticazione utente a più fattori, Zero Trust.
Tra le altre azioni per proteggersi dagli attacchi non possiamo non citare la necessità di scegliere un Object Storage S3 con manutenzione completa e continua. Spazi di archiviazione ottimizzati, scalabili e sicuri, come i cloud con S3 backup anti-ransomware geodistribuiti, garantiscono un corretto e immediato approccio Disaster Recovery: cloud criptati end-to-end che proteggono i dati sensibili, ad esempio, compatibili con l’ecosistema Amazon S3, ideale per una strategia scalabile e sicura di hybrid e multi cloud.
