A cura di Edwin Weijdema, Global Technologist, Veeam
Negli ultimi due anni, gli attacchi ransomware hanno dominato le prime pagine dei giornali e continueranno a controllare l’agenda della cybersecurity fino al 2023. Mentre le bande di ransomware continuano ad avere successo nell’estorcere denaro alle aziende, quelle che invece pagano le richieste finanziano l’industria del ransomware e ulteriori crimini. Con l’aumento degli attacchi a settori come le infrastrutture critiche e l’assistenza sanitaria, il problema è diventato sempre più grande. Come siamo arrivati a questo punto, quali sono le implicazioni al di là del mondo aziendale e cosa devono fare le organizzazioni per interrompere il ciclo?
Il ransomware ha democratizzato il furto dei dati
Il crimine informatico esiste fin dagli anni ’80 e da allora il settore della sicurezza informatica ha costantemente evangelizzato (o “incitato alla paura”, a seconda di chi lo chiede) le minacce informatiche. Negli ultimi cinque anni, tuttavia, le cose si sono intensificate: solo nell’ultimo anno, secondo quanto riferito, il 90% delle organizzazioni è stato colpito da ransomware. Essenzialmente una forma più “commerciale” di malware, infatti i metodi di installazione del ransomware su un dispositivo, come il phishing o gli URL dannosi, non sono cambiati molto.
Ma il guadagno finanziario è sempre stato uno dei motivi principali per i criminali informatici, quindi perché ci è voluto così tanto tempo per arrivare a questo punto? La risposta mette in luce le implicazioni più oscure delle nuove innovazioni digitali, in quanto le nuove tecnologie hanno fornito agli hacker la perfetta auto di fuga per i loro crimini. Le criptovalute come il bitcoin, e la tecnologia blockchain che le protegge, forniscono un metodo affidabile e quasi irrintracciabile per estorcere denaro. Questo ha trasformato i gruppi di criminali informatici in macchine per fare soldi, in imprese a tutti gli effetti. Il termine “banda” nasconde quanto possano essere sofisticate queste organizzazioni: i documenti trapelati all’inizio dell’anno hanno mostrato come Conti, uno dei gruppi di ransomware più noti del pianeta, abbia un dipartimento delle risorse umane, valutazioni delle prestazioni e persino un “dipendente del mese”.
La criminalità informatica è un’industria
Al di là del danno finanziario e reputazionale causato dagli attacchi ransomware, c’è un quadro più ampio da considerare: la criminalità informatica è un’industria, comprende specialisti esperti e fornitori dedicati di strumenti e servizi, e si è persino modernizzata al punto che i prodotti RaaS (Ransomware-as-a-Service) possono essere acquistati in abbonamento. Come ogni industria, ha bisogno di profitti per crescere, espandersi e svilupparsi. Pagare le richieste di Ransomware aggiunge benzina al fuoco e non sono solo le aziende a essere coinvolte nelle fiamme.
Governi, ospedali e infrastrutture critiche come trasporti e scuole sono sempre più spesso vittime di attacchi ransomware. Gli attacchi agli ospedali sono sempre più frequenti e allarmanti negli Stati Uniti e in Europa e solo il mese scorso il governo statunitense ha riunito oltre 30 Paesi per affrontare i continui attacchi ransomware alle infrastrutture critiche. Non si tratta solo di attacchi informatici da parte di Stati nazionali (una questione a parte, ma i confini si fanno sempre più labili), ma degli stessi criminali informatici che attaccano le aziende. Due bande affiliate a Conti, il gruppo già citato, hanno attaccato settori di infrastrutture critiche in Europa, tra cui l’energia e i prodotti farmaceutici.
Il ransomware è indiscriminato: i metodi utilizzati possono essere di vasta portata e i servizi pubblici possono facilmente esserne coinvolti. In effetti, il volume e la gravità degli attacchi ransomware stanno raggiungendo un punto di crisi. Poiché colpiscono organizzazioni grandi e piccole, pubbliche e private in tutto il mondo, proteggersi e non pagare il riscatto sono passi fondamentali per porre fine alla crisi. È anche giusto affermare che le organizzazioni hanno la responsabilità aziendale di evitare di pagare le richieste di ransomware e di finanziare ulteriori crimini.
Cosa devono fare le aziende
Le organizzazioni devono proteggersi e contribuire a fermare il flusso di denaro (crittografico) di questa industria criminale. È necessaria una combinazione di persone, processi e tecnologia. È inoltre importante sottolineare che, a dispetto di quanto si possa pensare, il mondo digitale e quello reale non sono poi così diversi. Le finestre aperte devono essere chiuse di notte (sistemi di patch), le doppie serrature sono meglio di una (autenticazione a più fattori), gli oggetti o le informazioni vitali devono essere chiusi in una cassaforte (protezione dei dati) e i maggiori rischi per la sicurezza sono spesso rappresentati dalle persone e dal personale (minacce interne o mancata osservanza dei processi).
Le richieste di ransomware possono essere ignorate
Tuttavia, se da un lato la prevenzione è un elemento chiave di questa missione, e prevenire del tutto un attacco sarà sempre più economico che affrontarlo, dall’altro non è realistico aspettarsi che le aziende prevengano tutti gli attacchi su larga scala. La responsabilità è quella di raggiungere un punto in cui, anche in caso di attacco riuscito, l’azienda si trovi in una posizione tale da non dover pagare le richieste.
L’ultima linea di difesa è costituita dai processi di backup e ripristino. Le richieste di ransomware possono essere ignorate quando un’organizzazione dispone di un backup dei dati critici con cui ripristinare il sistema crittografato. Tuttavia, i backup non sono tutti uguali. Poiché il ransomware e i criminali informatici sono diventati più sofisticati, i criminali informatici ora prendono attivamente di mira gli archivi di backup. Secondo il Veeam Ransomware Trends Report del 2022, gli archivi di backup sono stati presi di mira nel 94% degli attacchi ransomware, il 68% dei quali ha avuto successo.
Chiudere il ciclo
Il ransomware ha democratizzato il furto di dati e ha trasformato la criminalità informatica in un’industria redditizia e in via di sviluppo come non si era mai vista prima. Sebbene non sia responsabilità delle aziende affrontare o risolvere attivamente il problema alla fonte, le imprese hanno il dovere di non alimentare il fuoco nei confronti di altre organizzazioni e infrastrutture critiche in tutto il mondo. Gli enti governativi si stanno adoperando per trovare una soluzione al problema (se è possibile trovarne una), ma le aziende devono investire nella prevenzione del ransomware per proteggersi da ingenti danni finanziari e dalla possibilità di finanziare ulteriori crimini.