Quando un sistema IT è colpito da un attacco ransomware i dati sono criptati. A quel punto ci sono solo due opzioni, ma nessuna con esito positivo: o si paga il riscatto (sperando di riottenere i dati) o si decide di non pagare (e quindi è certo che si perderanno definitivamente i dati). Non solo. Una minaccia che sta sempre più prendendo piede e che si aggiunge al riscatto è il ricatto per evitare la diffusione online dei dati. In pratica, prima di criptare i dati, i cybercriminali li esfiltrano e minacciano di diffonderli in rete se l’azienda vittima non paga un’ulteriore cifra.
Un efficace modo di sottrarre denaro
L’ultimo Rapporto Clusit1 indica che a livello globale chi è vittima di un ransomware nel 32% dei casi paga il riscatto, ma in Italia tale percentuale scende al 14%. Sembrerebbe un segnale che le aziende italiane siano poco disposte a piegarsi alle imposizioni degli attaccanti, costi quel che costi. E costa molto. Infatti, tra le 300 aziende che nel mondo hanno dichiarato quanto pagato come riscatto a fronte di un attacco ransomware, i valori più elevati (2,63 milioni di euro) sono proprio di aziende italiane. Forse questo spiega perché spesso si preferisce non soddisfare le richieste dei cybercriminali, che attraverso il ransomware hanno individuato un’efficace quanto comoda maniera di ottenere denaro illegalmente.
Attacchi sempre più sofisticati
Il ransomware è ormai diventata una nuova fonte di reddito per il cybercrime. E non deve trarre in inganno il fatto che nel 2020 gli attacchi in Italia hanno riguardato “solo” il 31% delle aziende contro il 40% dell’anno precedente2 (fonte: Osservatorio cybersecurity & data protection della School of management del Politecnico di Milano). Questa diminuzione è dovuta al fatto che gli attacchi non sono più effettuati in modo generalizzato, tramite sistemi automatici che colpiscono chi capita. I ransomware sono diventati più sofisticati e sono indirizzati in modo mirato ad aziende ben precise, dalle quali si ritiene di poter ottenere un cospicuo riscatto perché la perdita dei dati può causare un danno rilevante.
La conferma arriva dai numeri. Infatti, considerato nella sua globalità, ovvero aggiungendo alle attività IT anche il fermo operativo e la perdita di business, il costo medio di ripristino successivo a un attacco ransomware nel 2020 in Italia è stato di 570.000 euro. Il che significa una crescita di quasi il 60% rispetto ai 360.000 euro calcolati per l’anno precedente. Ed è sicuramente di scarso conforto il fatto che è poco più di un terzo rispetto al costo medio globale di 1,56 milioni di euro.
Come WESTPOLE protegge dai ransomware
Perché un ransomware abbia successo devono succedere due cose: che riesca a entrare nel sistema IT dell’azienda e che possa usare le credenziali di un’utenza con determinati privilegi.
Molto spesso l’attacco ha successo perché qualcuno fa qualcosa, scarica un file o clicca su un link. Anzitutto, quindi, l’utente deve essere considerato come un elemento della catena di sicurezza e come tale va correttamente formato, non dal punto di vista tecnico ma dal punto di vista della consapevolezza. Si parla di Human Firewall, ovvero di una formazione mirata a rendere consapevole l’utente dei pericoli in cui può incorrere nel momento in cui utilizza strumenti di lavoro in modo non corretto e inconsapevole.
Si possono anche usare soluzioni agent per cercare eventuali anomalie nel comportamento “digitale” dell’utente, qualcosa di molto diverso dal consueto, come per esempio un numero altissimo di invii di e-mail. Questo è un fatto che deve essere segnalato tempestivamente a chi si occupa di sicurezza IT perché faccia una verifica: prima si interviene più si contiene un eventuale danno.
Un secondo aspetto riguarda l’identità digitale. Siamo abituati a proteggere la nostra identità fisica, ma non la nostra identità digitale. Per esempio, spesso si usa la stessa password per molteplici account. La prima cosa che fa un attacker, individuata una password, è provare a usarla per accedere a tutti gli account dello stesso utente, compresa la posta elettronica aziendale. Va da sé che se la stessa password è usata su più siti l’attacker avrà tutte le porte spalancate.
L’escalation dei privilegi
Quando un ransomware entra nella rete aziendale, per prima cosa fa un’escalation dei privilegi, cioè cerca di recuperare nella rete aziendale un’utenza con diritti amministrativi per potersi muovere dovunque. È quindi fondamentale proteggere le identità e gli account amministrativi. A tal fine si usano gli strumenti quali PAM (Privileged Access Management). In pratica, sono casseforti elettroniche che prendono in custodia le identità digitali e le forniscono solo quando necessario. L’utente non conosce le password che usa e ogni volta che ne utilizza una questa cambia.
Una situazione analoga riguarda le cosiddette “utenze di servizio” quali, ad esempio, le machine to machine. Quando due sistemi devono dialogare tra loro, di solito si concede un’utenza che non è gestita. Così non è mai cambiata la password e spesso è usata una password di default. Un PAM aiuta a gestire in modo più accurato anche questo tipo di utenza.
Eseguire un backup remoto
Per evitare di perdere i dati a causa di un ransomware è fondamentale avere un backup che non si trovi all’interno della stessa “zona” dell’infrastruttura di produzione. Perché la prima cosa che fa un ransomware è corrompere tutti i backup che può raggiungere. Bisogna perciò porre una barriera, un filtro in modo che, se anche l’infrastruttura cede, il backup sia salvaguardato. Per questo si usano soluzioni di continuous data protection e journaling che consentono di di risalire ad un backup antecedente l’attacco ransomware.
Essere tempestivi in caso di incidente
Bisognerebbe infine avere un monitoraggio puntuale e a 360° dell’infrastruttura: questo potrebbe permettere di avere una completa visibilità del’infrastruttura del cliente, intervenire tempestivamente e ridurre l’impatto di un eventuale incidente. Perché un incidente di sicurezza può sempre capitare: anche se si usano i più raffinati ed efficaci strumenti di protezione, non si è mai sicuri al 100%. Nel caso di un attacco, una soluzione di security monitoring permette di intervenire in modo tempestivo.
1 Fonte: Clusit
2 Fonte: We Wealth
Scritto da Michele Onorato – Chief Information Security Officer & BU Manager 
{{cta(‘cb7ae271-5960-4051-9a07-49008a8c1a29′,’justifycenter’)}}
