I ransomware sono attualmente la principale minaccia informatica secondo il report ENISA Threat Landscape 2021 e le previsioni per il 2022 confermano questa tendenza.

In base ai dati presentati nel rapporto CLUSIT sulla sicurezza ICT, l’utilizzo dei ransomware come tecnica di attacco è cresciuto del 350% nel primo semestre 2021 rispetto al 2020, e Sophos ha rilevato che nel 2020 era stata colpita quasi un’azienda italiana su tre.

Le modalità di diffusione e le tecniche di attacco sono in continua evoluzione, mentre le conseguenze degli attacchi sono sempre più impattanti per l’operatività e la solidità delle aziende colpite.

Cosa sono i ransomware

I ransomware sono software malevoli, programmati per cifrare o trafugare dati o, ancora, bloccare l’operatività dei sistemi informativi aziendali.

L’obiettivo è estorcere un riscatto all’azienda vittima, o ai suoi clienti o fornitori, per evitare la divulgazione dei dati sottratti oppure per permettere il ripristino della normale operatività.

 

Cenni storici

Fino a qualche anno fa, questi software erano impiegati in modo abbastanza rudimentale e sfruttavano solamente il fattore umano: attraverso attività di phishing.

L’utente era portato ad eseguire un programma che cifrava i dati ed il riscatto richiesto per la decifrazione ammontava a circa 300 euro – il controvalore dell’epoca di 1 Bitcoin.

Evoluzione del mercato

Il (malaugurato) grande successo delle campagne ha portato all’industrializzazione del processo, che è stato reso più efficiente, con la finalità di massimizzare i profitti dell’attività criminale, che nel frattempo si è organizzata. 

Le organizzazioni criminali dedite a queste attività hanno quindi evoluto il loro modo di operare, arrivando a:

  • esfiltrare i dati dai sistemi delle aziende, minacciandone la diffusione;
  • analizzare i dati sottratti, per estendere i ricatti a fornitori e clienti delle vittime;
  • utilizzare le informazioni raccolte per allineare le richieste di riscatto alle possibilità economiche delle vittime;
  • fornire supporto tecnico alle vittime, anche tramite chat, per il versamento dei riscatti;
  • cercare partnership con aziende di recupero dati per il supporto alle vittime.

 

Inoltre, si è diffuso il modello del Ransomware as a Service (RaaS), in cui i ransomware vengono commercializzati e diffusi con modalità simili all’affiliazione.

Il “produttore” del ransomware rende disponibili ad affiliati le risorse per la realizzazione degli attacchi in cambio di una commissione sui riscatti incassati dalle vittime. Con questo sistema i costi di ingresso in questo “mercato” si sono vertiginosamente abbassati, rendendo di fatto universalmente accessibili gli strumenti per realizzazione degli attacchi.

Infatti, ancora secondo ENISA, ben oltre i due terzi degli attacchi realizzati nell’ultimo anno appartengono a questa categoria.

Come agisce un ransomware: i vettori di attacco

Anche vettori di attacco si sono evoluti.

Inizialmente si limitavano a sfruttare le persone che, attraverso e-mail di phishing, venivano tratte in inganno e portate ad eseguire i programmi malevoli.

Oggi vengono sfruttate anche vulnerabilità delle componenti tecnologiche non aggiornate, come router, firewall, NAS ed altre per indurre nelle reti aziendali software di criptazione.

Nel corso del 2021, ad esempio, si sono registrati casi di ransomware che si sono propagati tramite vulnerabilità delle NAS QNAP e di dispositivi di sicurezza di SONICWALL.

Un’ulteriore modalità diffusa è lo sfruttamento delle connessioni desktop remoto (RDP – Remote Desktop Prodotocol), accessibili grazie al furto delle credenziali, tramite attacchi mirati di phishing o brute force.

Una volta ottenuto accesso al sistema, i criminali introducono il software malevolo, che cifra e rende inaccessibili i dati, lasciando come unica informazione accessibile dai dispositivi compromessi una schermata con le indicazioni per il versamento del riscatto.

Come anticipato, oltre alla cifratura, il software è spesso programmato anche per copiare all’esterno i dati presenti, in modo da renderli disponibili ai criminali per consentire ulteriori modalità di ricatto.

Un esempio di schermata informativa di un ransomware

Un esempio di schermata informativa di un ransomware

 

Quali conseguenze può provocare un attacco ransomware ad un’azienda

 

Riscatti

I riscatti richiesti, una volta erano abbastanza “standard”, sono oggi commisurati alla capacità di spesa della vittima, che viene studiata al fine di ottenere quanto più possibile.

Al riscatto richiesto per la decifrazione dei dati, recentemente si aggiungono ulteriori richieste di riscatto alla vittima in cambio della non pubblicazione dei dati trafugati ed il ricatto viene esteso a clienti e fornitori per evitare la diffusione dei dati che li riguardano.

 

Operatività

Per loro natura, gli attacchi ransomware congelano l’intera operatività aziendale rendendo inaccessibile l’intero sistema informatico aziendale.
Più a lungo perdura il blocco operativo e maggiori sono le perdite economiche per la vittima.

Inoltre, nel caso in cui i dati trafugati siano diffusi (o venduti) pubblicamente, l’azienda può incorrere i problemi di natura legale, ad esempio nel caso in cui si tratti di dati personali non opportunamente salvaguardati, danni di reputazione e di segreto industriale.

In questo scenario, i danni economici crescono ogni minuto che passa.

Il rapporto Sophos State of Ransomware stima che nel 2020 in Italia il costo medio di ripristino da un attacco ransomware sia stato pari a circa 570 mila euro, con un aumento del 58% rispetto al report precedente. Il dato globale è di 1,85 milioni di dollari, rispetto ai 761.000$ del report 2020.

La richiesta di riscatto ransomware ricevuta da Acer nel marzo 2021.

La richiesta di riscatto ricevuta da Acer nel marzo 2021

Come prevenire e come difendersi da un attacco ransomware

Come abbiamo visto, questo settore del crimine informatico è in fortissima evoluzione, perciò è fondamentale implementare misure tecnologiche ed organizzative adatte a ridurre il rischio e, nella malaugurata ipotesi di caderne vittima, a ripristinare l’operatività aziendale in tempi conformi alle proprie necessità.

Formazione

Per difendersi dalla minaccia ransomware la prima e più importante misura è la formazione del personale.

Ogni persona operativa con strumenti tecnologici deve essere consapevole dei rischi derivanti dal cyberspazio.

Vista la continua evoluzione della minaccia e delle tecniche di attacco, la formazione deve essere continua e possibilmente supportata da un addestramento, ad esempio tramite campagne di phishing, in modo da far emergere in un “contesto protetto” eventuali mancanze.

Attraverso il nostro percorso Linkspirit Care il personale operativo è sempre aggiornato e addestrato ad affrontare le minacce informatiche quotidiane.

 

Aggiornamento dei sistemi (Patch Management)

Il trend del mercato evidenzia un crescente utilizzo delle vulnerabilità dei sistemi per l’intrusione, è pertanto essenziale implementare una strategia di patch management efficace, per garantire il regolare aggiornamento di tutti i sistemi (ivi compresi router, firewall, NAS, centralini telefonici, sistemi di videosorveglianza, etc) in tempi il più breve possibili.

 

Hardening dei sistemi

La proliferazione di virus all’interno della rete aziendale può essere ridotta o anche neutralizzata da una configurazione sicura (hardening) dei sistemi.

L’hardening dei sistemi deve essere implementato da partner esperti nell’ambito della sicurezza informatica, ben consapevoli delle modalità di funzionamento dei ransomware e delle contromisure da mettere in atto per mitigarne gli impatti.

 

E se la prevenzione non basta?

Indipendentemente dalle misure preventive attivate, è fondamentale non sottovalutare il rischio e considerare che è comunque possibile essere vittima di un attacco ransomware.

In questo caso, è essenziale essere in grado ripristinare dati ed operatività in tempi conformi alle esigenze dell’azienda, questo si realizza attraverso un adeguato piano di disaster recovery.

Un’azienda senza un piano di disaster recovery è un’azienda che difficilmente potrà risollevarsi in seguito ad un attacco, o incidente informatico, anche di medio impatto.

La prima componente di un piano di disaster recovery è una buona strategia di backup, che preveda quantomeno:

  • la conservazione di copie di sicurezza offline, cioé non collegate al medesimo sistema informatico, e offsite, ossia non custodite nel medesimo luogo fisico;
  • disponibilità di risorse (persone, sistemi) adatta a consentire il ripristino dei dati in tempi adeguati alle esigenze dell’azienda;
  • la disponibilità di un piano di ripristino collaudato periodicamente per verificarne l’efficacia nel tempo.

La probabilità di essere attaccati da un ransomware esiste sempre, ma esistono anche le misure per contrastarlo o per mitigarne le conseguenze.

Purtroppo le recenti statistiche rilevano che la maggior parte delle aziende ancora non è preparata a fronteggiare un attacco di questo tipo, in alcuni casi per mancanza di consapevolezza, in altri per mancanza di budget.

Il nostro consiglio è di agire al più presto, perché, come abbiamo potuto osservare dai dati presentati in questo articolo, l’allocazione di risorse per la sicurezza informatica è un investimento largamente inferiore agli impatti, non solo economici, di un attacco ransomware.

I nostri esperti sono altamente qualificati per supportare la tua azienda nella pianificazione di adeguate misure preventive, nella configurazione sicura dei sistemi aziendali e nella pianificazione della strategia di disaster recovery adeguata alle esigenze della tua azienda,