Il fenomeno ransomware si è evoluto in maniera estremamente veloce negli ultimi anni, portando a un’intensificazione degli attacchi di questo tipo da parte degli hacker e a un significativo aumento dei costi per mitigare questa minaccia. Inizialmente, il fenomeno aveva una dimensione amatoriale e tendeva a colpire soprattutto i Pc personali degli utenti consumer: gli attaccanti si limitavano a lanciare massicce campagne di phishing nella speranza di ingannare qualcuno. Trovata una potenziale vittima, il malware cifrava dati come foto e documenti mentre al malcapitato veniva richiesto un modesto riscatto in bitcoin – nell’ordine delle centinaia di euro – per offrire la chiave di sblocco.
Considerato il successo di questo tipo di campagne e la facilità con cui era possibile ottenere denaro, i criminali informatici hanno perfezionato la loro strategia portandola a un nuovo livello, iniziando così a colpire bersagli di maggiore profilo come aziende, ospedali e infrastrutture critiche. Un comune cittadino difficilmente sarebbe disposto a pagare cifre elevate per rientrare in possesso delle proprie foto o dei propri documenti personali, ma per un’azienda il discorso cambia e potrebbe valere la pena spendere una somma considerevole pur di riprendere il controllo dei propri dati e strumenti di lavoro, fondamentali per portare avanti il business. Nel 2018, la richiesta media di riscatto era già salita a 41.000 dollari, ma già l’anno successivo questo valore era più che raddoppiato arrivando a circa 84.000 dollari. Per bersagli di altissimo profilo, i riscatti possono arrivare anche a cifre milionarie. Secondo l’Fbi, nel 2016 il totale degli introiti da ransomware dei principali gruppi criminali ammontava a circa 1 miliardo di dollari. Entro la fine del 2021 si stimano guadagni illeciti per un totale di circa 20 miliardi.
Nel caso le vittime accettino di pagare il riscatto questo, però, non è l’unico costo che devono sostenere. A ben vedere, è quello minore. Al riscatto bisogna infatti aggiungere i danni provocati all’infrastruttura, il tempo e le risorse investite nel mitigare la minaccia, la perdita di produttività derivante dallo stop momentaneo alle attività e, non ultimo, il danno di immagine. Nel 2019, il tempo di inattività è costato mediamente 141.000 dollari alle Pmi, in crescita del 200% rispetto al precedente anno. Un danno che non tutte le imprese possono sopportare, tanto che il 20% delle aziende vittime di questi attacchi ha dovuto chiudere definitivamente l’attività.
L’evoluzione delle strategie di attacco
I criminali informatici non si sono limitati a prendere di mira bersagli di maggior profilo, ma hanno evoluto le loro strategie in modo da convincere anche i più restii a cedere al ricatto. Prima di cifrare i dati, gli hacker li copiano sui loro sistemi e minacciano di divulgare le informazioni sottratte: un danno enorme, ancor di più nel caso siano entrati in possesso di segreti industriali e dati sensibili (quelli personali degli utenti o dei clienti delle aziende vittime). La diffusione di queste informazioni, infatti, minerebbe la fiducia e la credibilità dei clienti nei confronti dell’azienda e potrebbe anche avere delle serie conseguenze legali in alcuni Paesi, come per esempio in Europa dove è in vigore il Gdpr. Di conseguenza, non stupisce che le imprese siano spesso disposte a pagare qualsiasi cifra pur di arginare i danni. Anche perché, molte aziende hanno stipulato delle assicurazioni specifiche contro questa tipologia di incidenti: per loro diventa più conveniente cedere al ricatto considerando che l’esborso verrà almeno in parte coperto.
Il “successo” del ransomware ha spinto i criminali informatici a strutturarsi in maniera più efficiente, rivendendo persino gli strumenti di attacco ad altri hacker privi delle competenze necessarie per progettarli. Parliamo di veri e propri kit pronti all’uso, contenenti sia gli strumenti per cifrare i dati delle vittime, sia l’infrastruttura di “supporto” per gestire la negoziazione del riscatto e il suo incasso.
Da dove parte un attacco di tipo ransomware?
I vettori di attacco del ransomware sono quelli classici, utilizzati solitamente per diffondere qualsiasi tipo di minaccia informatica. Il phishing, in particolare, è il più diffuso, anche per la semplicità con cui può essere scagliato. Per far funzionare questo attacco è necessario che un dipendente dell’azienda clicchi su un link diffuso via email o apra un allegato contenente un malware. Nonostante i sistemi di protezione siano diventati più evoluti, il fattore umano è quello critico, tanto che l’85% degli attacchi ransomware viene/verrà portato proprio tramite email, secondo le stime di Gartner.
Con la pandemia e il ricorso al lavoro da remoto, i criminali informatici hanno però incrementato gli attacchi verso i server Rdp (Remote Destkop Protocol), quelli usati per connettere in maniera sicura i dipendenti all’infrastruttura aziendale. Una volta preso possesso di questi sistemi, per un attaccante diventa facile poi “scalare” i privilegi sino a prendere possesso delle parti critiche dell’infrastruttura e cifrare così le informazioni più rilevanti.
Nella maggior parte dei casi, per attaccare questi server non si sfruttano bug o vulnerabilità note, ma si ricorre alla classica tecnica del credential stuffing: provare a ripetizione combinazioni di username e password fino a trovare quelle che consentono l’accesso. In questo caso, la scelta di password deboli semplifica notevolmente le attività dei criminali.
In ultimo, gli attaccanti sfruttano anche le vulnerabilità note dei sistemi. Una volta trovato un servizio privo di patch fra i tantissimi usati da un’azienda, semplicemente sfruttando qualche bug gli hacker riescono a scavalcare le protezioni dei sistemi.
Correre ai ripari: l’antivirus non basta!
Se fino a non troppo tempo fa l’antivirus rappresentava la principale protezione contro questo tipo di attacchi, oggi le cose sono cambiate. Bisogna infatti considerare che la maggior parte delle soluzioni di sicurezza informatica di questo tipo si basa su firme: praticamente, analizzano i file alla ricerca di parti di codice riconducibili a specifiche minacce. Questo è un sistema molto efficace con i ransomware noti, ma non è in grado di bloccare malware inediti, non ancora presenti nel database. Un problema non da poco, se si tiene conto che secondo Webroot il 97% del malware eseguibile rilevato negli endpoint è univoco, quindi mai visto prima. L’approccio più efficace per difendersi è quello di utilizzare sistemi di sicurezza unificata, in grado di intervenire su diversi punti della rete e di agire in tempo reale.
WatchGuard, sicurezza unificata per sconfiggere il ransomware
La soluzione di sicurezza WatchGuard fa leva sul framework Cyber Kill Chain, proposto originariamente da Lockheed Martin, mirato a identificare le attività che gli avversari devono completare per raggiungere il loro obiettivo: prendere di mira la rete, esfiltrare i dati e mantenere la persistenza nell’organizzazione.
WatchGuard è in grado di fermare il ransomware prima ancora che questo si manifesti, andando a verificare alla base la presenza di segnali sospetti, come tentativi di credential staffing e di phishing, o l’utilizzo di tecniche di scansione della rete alla ricerca di vulnerabilità. Trattandosi di una piattaforma unificata e multi-livello, è in grado di proteggere l’intera infrastruttura, partendo dai server per arrivare agli endpoint dei singoli utenti. Adottando questo approccio i team IT interni potranno concentrarsi su un singolo strumento per prevenire le minacce, avendo totale visibilità sull’intera infrastruttura da un singolo punto di accesso, senza dover gestire più soluzioni di sicurezza.
WatchGuard è infatti in grado di bloccare automaticamente i tentativi di phishing, abilitare accessi basati su autenticazione a più fattori e chiudere eventuali falle di sicurezza. Si basa su un approccio di tipo Zero Trust e, di conseguenza, gli endpoint vengono costantemente monitorati alla ricerca di comportamenti sospetti, arrivando a bloccare qualsiasi applicazione non conosciuta. Integra anche un sistema di prevenzione che sfrutta degli honeypot, sistemi fittizi usati per attirare le attenzioni dei criminali, distraendoli dai loro veri obiettivi. Se si stabilisce che la minaccia è potenzialmente dannosa, il sistema Host Ransomware Prevention integrato in WatchGuard può impedire automaticamente un attacco ransomware prima che venga effettuata la crittografia dei file sull’endpoint.
Nel malaugurato caso che un endpoint sia poi colpito da un ransomware o da un’altra minaccia, WatchGuard si occupa di riportarlo in pochissimo tempo allo stato precedente.
Per maggiori informazioni, qui un white paper elaborato dagli esperti di WatchGuard.
