A cura di Edwin Weijdema, Global Technologist, Veeam
Negli ultimi due anni, gli attacchi ransomware hanno dominato le prime pagine dei giornali e continueranno a controllare l’agenda della cybersecurity fino al 2023. Mentre le bande di ransomware continuano ad avere successo nell’estorcere denaro alle aziende, quelle che invece pagano le richieste finanziano l’industria del ransomware e ulteriori crimini. Con l’aumento degli attacchi a settori come le infrastrutture critiche e l’assistenza sanitaria, il problema è diventato sempre più grande. Come siamo arrivati a questo punto, quali sono le implicazioni al di là del mondo aziendale e cosa devono fare le organizzazioni per interrompere il ciclo?
Il ransomware ha democratizzato il furto dei dati
Il crimine informatico esiste fin dagli anni ’80 e da allora il settore della sicurezza informatica ha costantemente evangelizzato (o “incitato alla paura”, a seconda di chi lo chiede) le minacce informatiche. Negli ultimi cinque anni, tuttavia, le cose si sono intensificate: solo nell’ultimo anno, secondo quanto riferito, il 90% delle organizzazioni è stato colpito da ransomware. Sebbene la crescente digitalizzazione abbia contribuito in modo determinante, si direbbe che il fattore più importante è che i malintenzionati hanno trovato un modo efficace per monetizzare il crimine informatico: il ransomware. Essenzialmente una forma più “commerciale” di malware, infatti i metodi di installazione del ransomware su un dispositivo, come il phishing o gli URL dannosi, non sono cambiati molto.
Ma il guadagno finanziario è sempre stato uno dei motivi principali per i criminali informatici, quindi perché ci è voluto così tanto tempo per arrivare a questo punto? La risposta mette in luce le implicazioni più oscure delle nuove innovazioni digitali, in quanto le nuove tecnologie hanno fornito agli hacker la perfetta auto di fuga per i loro crimini. Le criptovalute come il bitcoin, e la tecnologia blockchain che le protegge, forniscono un metodo affidabile e quasi irrintracciabile per estorcere denaro. Questo ha trasformato i gruppi di criminali informatici in macchine per fare soldi, in imprese a tutti gli effetti. Il termine “banda” nasconde quanto possano essere sofisticate queste organizzazioni: i documenti trapelati all’inizio dell’anno hanno mostrato come Conti, uno dei gruppi di ransomware più noti del pianeta, abbia un dipartimento delle risorse umane, valutazioni delle prestazioni e persino un “dipendente del mese”.
Il quadro generale
Al di là del danno finanziario e reputazionale causato dagli attacchi ransomware, c’è un quadro più ampio da considerare. La criminalità informatica è un’industria: comprende specialisti esperti e fornitori dedicati di strumenti e servizi, e si è persino modernizzata al punto che i prodotti RaaS (Ransomware-as-a-Service) possono essere acquistati in abbonamento. Come ogni industria, ha bisogno di profitti per crescere, espandersi e svilupparsi. Pagare le richieste di Ransomware aggiunge benzina al fuoco e non sono solo le aziende a essere coinvolte nelle fiamme.
Governi, ospedali e infrastrutture critiche come trasporti e scuole sono sempre più spesso vittime di attacchi ransomware. Gli attacchi agli ospedali sono sempre più frequenti e allarmanti negli Stati Uniti e in Europa e solo il mese scorso il governo statunitense ha riunito oltre 30 Paesi per affrontare i continui attacchi ransomware alle infrastrutture critiche. Non si tratta solo di attacchi informatici da parte di Stati nazionali (una questione a parte, ma i confini si fanno sempre più labili), ma degli stessi criminali informatici che attaccano le aziende. Due bande affiliate a Conti, il gruppo già citato, hanno attaccato settori di infrastrutture critiche in Europa, tra cui l’energia e i prodotti farmaceutici.
Anche se molti gruppi affermano di non prendere di mira le infrastrutture critiche per motivi etici o per paura di ripercussioni diplomatiche, il ransomware è indiscriminato: i metodi utilizzati possono essere di vasta portata e i servizi pubblici possono facilmente esserne coinvolti. In effetti, il volume e la gravità degli attacchi ransomware stanno raggiungendo un punto di crisi. Poiché colpiscono organizzazioni grandi e piccole, pubbliche e private in tutto il mondo, proteggersi e non pagare il riscatto sono passi fondamentali per porre fine alla crisi. È anche giusto affermare che le organizzazioni hanno la responsabilità aziendale di evitare di pagare le richieste di ransomware e di finanziare ulteriori crimini. Ma come possono le aziende affrontare questo problema?
Cosa devono fare le aziende
Potrebbe sembrare che il peso del mondo sia sulle spalle del team di cybersecurity di un’organizzazione e, sebbene sia innegabile che sia sottoposto a un’enorme pressione a causa del ransomware, non possiamo fermarlo alla fonte. Le organizzazioni devono invece proteggersi e contribuire a fermare il flusso di denaro (crittografico) di questa industria criminale.
Per prevenire il ransomware è necessaria una combinazione di persone, processi e tecnologia. È inoltre importante sottolineare che, a dispetto di quanto si possa pensare, il mondo digitale e quello reale non sono poi così diversi. Le finestre aperte devono essere chiuse di notte (sistemi di patch), le doppie serrature sono meglio di una (autenticazione a più fattori), gli oggetti o le informazioni vitali devono essere chiusi in una cassaforte (protezione dei dati) e i maggiori rischi per la sicurezza sono spesso rappresentati dalle persone e dal personale (minacce interne o mancata osservanza dei processi).
Tuttavia, se da un lato la prevenzione è un elemento chiave di questa missione, e prevenire del tutto un attacco sarà sempre più economico che affrontarlo, dall’altro non è realistico aspettarsi che le aziende prevengano tutti gli attacchi su larga scala. La responsabilità non è quella di eliminare del tutto gli attacchi ransomware, ma di raggiungere un punto in cui, anche in caso di attacco riuscito, l’azienda si trovi in una posizione tale da non dover pagare le richieste: può dire “no” al ransomware.
L’ultima linea di difesa è costituita dai processi di backup e ripristino. Le richieste di ransomware possono essere ignorate quando un’organizzazione dispone di un backup dei dati critici con cui ripristinare il sistema crittografato. Tuttavia, i backup non sono tutti uguali. Poiché il ransomware e i criminali informatici sono diventati più sofisticati, i criminali informatici ora prendono attivamente di mira gli archivi di backup. Secondo il Veeam Ransomware Trends Report del 2022, gli archivi di backup sono stati presi di mira nel 94% degli attacchi ransomware, il 68% dei quali ha avuto successo.
La vecchia regola per i backup prevedeva la conservazione di tre copie dei dati, su due tipi diversi di supporti, di cui una conservata fuori sede, la cosiddetta regola del 3-2-1. La copia fuori sede serviva in caso di disastro fisico, come un incendio o un’alluvione. La copia offsite serviva in caso di disastro fisico, come un incendio o un’alluvione. Il ransomware, tuttavia, è molto più comune di questi casi, quindi, oltre a una copia offsite, le moderne strategie di backup dovrebbero includere una copia offline, air-gapped (irraggiungibile) o immutabile (non modificabile). Con questi accorgimenti e un solido processo di ripristino (design for recovery), un’azienda può resistere e riprendersi in modo affidabile dagli attacchi ransomware senza nemmeno pensare di pagare un riscatto.
Chiudere il ciclo
Il ransomware ha democratizzato il furto di dati e ha trasformato la criminalità informatica in un’industria redditizia e in via di sviluppo come non si era mai vista prima. Sebbene non sia responsabilità delle aziende affrontare o risolvere attivamente il problema alla fonte, le imprese hanno il dovere di non alimentare il fuoco nei confronti di altre organizzazioni e infrastrutture critiche in tutto il mondo. Gli enti governativi si stanno adoperando per trovare una soluzione al problema (se è possibile trovarne una), ma le aziende devono investire nella prevenzione del ransomware per proteggersi da ingenti danni finanziari e dalla possibilità di finanziare ulteriori crimini.