A cura di Edwin Weijdema, Global Technologist, Veeam
I
l ransomware continuerà a colpire le aziende di tutto il mondo nel 2022 – con i cybercriminali che svilupperanno nuovi tipi di attacchi e di tecniche estorsive. Man mano che questi diventeranno più sofisticati, aumenteranno anche le conseguenze dell’essere vittima e la complessità della rimozione. Per le aziende, la posta in gioco è pertanto più alta che mai, quando si tratta di proteggersi dagli attacchi ransomware. Le aziende devono capire le tecniche emergenti che verranno utilizzate nel corso del 2022 e preparare le loro difese per questo tipo di attacco.
Rendere assicurabile il proprio business. Le tensioni tra gli assicuratori e le imprese colpite da ransomware stanno aumentando. In EMEA abbiamo già visto che AXA, gigante mondiale delle assicurazioni, ha annunciato che in Francia smetterà di stipulare polizze che rimborsano ai clienti il pagamento per le estorsioni di criminali del ransomware. Inoltre, il governo olandese sta considerando di vietare agli assicuratori di coprire il costo dei pagamenti dei riscatti effettuati dalle imprese che operano nei Paesi Bassi. Con gli assicuratori sopraffatti e frustrati dalle richieste di risarcimento per ransomware, i sottoscrittori rafforzeranno le loro polizze per garantire che i clienti soddisfino determinate condizioni, come investire in un’adeguata cybersicurezza e formazione dei dipendenti, prima di pagare.
Fare attenzione alla tripla estorsione. Questa è una tecnica concepita per far pagare di più e più in fretta alle aziende, consiste nell’estendere l’attacco a clienti e partner della vittima. Di solito gli attacchi ransomware coinvolgono cybercriminali che bloccano e criptano i sistemi, chiedendo poi il pagamento di un riscatto per riottenere l’accesso. Nel 2019 alcuni ransomware, come DoppelPaymer, hanno dato ai cybercriminali la possibilità di bloccare i sistemi ed estrarre i dati simultaneamente. Non solo gli aggressori possono chiedere un riscatto in denaro per ridare l’accesso ai sistemi IT chiave, ma possono anche minacciare di pubblicare online i dati estratti se la vittima non paga. La tripla estorsione coinvolge un terzo elemento – indirizzando l’attacco oltre il suo obiettivo iniziale ed utilizzando più livelli di estorsione per danneggiare i clienti e i partner della vittima.
Minimizzare la minaccia interna. Diversi studi suggeriscono come oltre il 60% delle violazioni dei dati e degli incidenti di cybersecurity siano causati da minacce interne. I dipendenti scontenti si rendono conto del potere che hanno nel momento in cui aprono le porte verso l’esterno. Allo stesso modo, anche dipendenti soddisfatti, che però non capiscono l’importanza di applicare delle correte regole di sicurezza digitale, possono essere pericolosi. La prima linea di difesa di un’organizzazione è rappresentata dalla sicurezza digitale. L’uso dell’autenticazione a due fattori e la limitazione degli accessi ai file solo a chi ne ha bisogno sono modi per minimizzare i danni arrecati da un singolo utente, se la sicurezza è compromessa intenzionalmente o involontariamente. Inoltre, la formazione e l’istruzione sono vitali per assicurarsi che i dipendenti siano in grado di identificare e segnalare potenziali attacchi.
Fare attenzione allo slow burn. Gli attacchi Advanced Persistent Threat (APT) coinvolgono utenti non autorizzati che accedono a un sistema o a una rete e vi rimangono per un lungo periodo di tempo senza essere rilevati – aspettando l’occasione giusta per impadronirsi di dati preziosi. I cybercriminali sono abili nello scegliere il momento giusto per colpire in maniera efficace, in modo da massimizzare le loro possibilità di guadagno, compromettendo un’azienda quando è più vulnerabile o quando la posta in gioco è più alta. Per esempio, un aggressore potrebbe essere pronto a mettere fuori uso i vostri sistemi e rubare i dati, ma sa che la vostra azienda sta per essere quotata in borsa tra pochi mesi. Ha quindi senso aspettare e colpirvi nel momento in cui sarete più disposti a pagare per porre fine all’attacco perché dovete assolutamente evitare danni operativi e alla reputazione.
Applicare la legge. Le forze dell’ordine stanno cercando di superare lo squilibrio tra rischio e ricompensa per i cybercriminali. Questi ultimi possono guadagnare enormi somme di denaro, poiché non esistono deterrenti giudiziari, o poiché le sanzioni sono minime. Questo deve cambiare e cambierà. Tuttavia, dato che i crimini informatici sono per natura senza confini, i governi devono concordare un quadro giuridico internazionale per la punizione. Fino ad allora l’azione legale sarà principalmente diretta verso le vittime anziché verso i criminali. Molti governi stanno discutendo se rendere illegali i pagamenti dei riscatti, in modo che le aziende resistano alla tentazione di pagare – tagliando così la fonte di reddito dei cybercriminali. Inoltre, le criptovalute come Bitcoin, comunemente viste come il sogno degli hacker, hanno in realtà il potenziale per aiutare le forze dell’ordine a consegnare i criminali alla giustizia. I libri mastri digitali come Blockchain rendono più facile “seguire i soldi”, dato che le registrazioni non possono essere alterate o cancellate. Pertanto, una volta che i criminali trasformano le loro criptovalute in “soldi veri”, possono essere teoricamente smascherati.
Proteggere i propri dati. Tutto, dall’avanzare del panorama delle minacce ai cambiamenti nel modo in cui i settori legali e assicurativi considerano i pagamenti dei ransomware, mette l’accento sulla protezione dei dati e sulla cybersecurity. Le aziende devono consultarsi con i loro partner tecnologici per implementare soluzioni di protezione dei dati moderne in grado di rilevare, limitare e rimediare agli attacchi ransomware. I dati devono essere sottoposti a backup e recuperabili su sistemi fisici, virtuali, cloud, SaaS e Kubernetes in modo che, in caso di un attacco ransomware, le aziende possano rimediare e recuperare rapidamente piuttosto che essere costrette a pagare il riscatto.
Oltre a implementare soluzioni moderne di protezione dei dati, le aziende devono dare la priorità al miglioramento del livello di conoscenza della sicurezza digitale per tutto il personale. La formazione e la sensibilizzazione dei dipendenti possono contribuire a creare una cultura della sicurezza digitale in tutta la struttura. Un “firewall umano” combinato con la giusta tecnologia può aiutare le aziende a prepararsi per gli attacchi ransomware che inevitabilmente arriveranno nel 2022 e oltre.