L’evoluzione del ransomware: da minaccia sporadica a incubo
Nel corso di quest’ultimo anno ransomware e cyberattacchi hanno registrato una crescita esponenziale. Nel 2020 l’FBI aveva rilevato un aumento del 400% degli attacchi informatici, attacchi ransomware che non sono solo diventati più frequenti, ma anche più precisi, accurati e metodici.
Ma in che modo il ransomware si è evoluto da minaccia irrilevante a incubo di tutte le aziende? Come possono le aziende difendersi da attacchi futuri?
Collaborazione tra criminali
Il ransomware è possibile solo grazie a una convergenza tra diverse realtà e strumenti illeciti e un forum dove incontrarsi e mettere il tutto a fattor comune, che si tratti di ladri di carte di credito, pacchetti di trojan bancari, servizi di spam, exploit kit o qualsiasi altra cosa di cui un hacker ha bisogno. I cybercriminali si sono riuniti nelle zone d’ombra del dark web e sono cresciuti lì, favorendo la maturazione del malware da semplice parassita a un meccanismo di monetizzazione.
La rete criminale sotterranea globale è sbocciata in parallelo con la redditività degli attacchi informatici e la sua economia, il dark web, è diventata inarrestabile. Come un’idra, ogni volta che un governo o un ente cerca di tagliarle la testa, altre due prendono il suo posto. Le complicazioni multi-giurisdizionali, e la mancanza di cooperazione da parte di alcuni governi, hanno dato all’underground criminale 15 anni per evolversi, crescere e raffinare le proprie tecniche.
L’ascesa del malware profittevole
Nei primi anni 2000 sono nati Zeus, e più tardi, SpyEye. Entrambi erano, e sono ancora, potenti trojan bancari utilizzati per rubare informazioni sensibili. Zeus ha introdotto il polimorfismo a clic singolo in base al quale gli hacker sono in grado di ricompilare il malware tutte le volte che vogliono per eludere il rilevamento basato sulla firma. Anche se “vecchi”, Zeus e SpyEye risultano ancora efficaci nel 2021.
I primi giorni del ransomware
Il polimorfismo si è rivelato fondamentale nell’ascesa del ransomware a partire dal 2015, e ancora oggi qualsiasi attacco sfrutta quasi certamente una firma hash precedentemente sconosciuta. Durante quegli anni sono nate nuove varietà in stile catena di montaggio, insieme a centinaia di server di comando e controllo (server C2) al giorno. Non appena un dominio o un URL veniva identificato e bloccato, altri erano in attesa di prendere il suo posto. Questa combinazione di malware e infrastrutture era letteralmente usa e getta, e il tutto veniva ripetuto il giorno dopo. Per distribuire il malware, i servizi di spam for hire e gli exploit kit venivano affittati o messi all’asta sul dark web per infettare in modo casuale gli individui più comuni, con un riscatto molto basso.
La principale limitazione era che il malware poteva essere automatizzato solo in modo simile a un worm e l’estensione della diffusione dipendeva dai diritti di rete dell’utente e dalla visibilità delle unità di rete mappate.
I primi passi nelle tattiche rudimentali di targeting hanno trasformato le campagne ransomware in ciò che conosciamo e temiamo oggi. Si è iniziato con RDP poco sicuri utilizzati dai criminali come punto d’ingresso per prendere di mira aziende poco sicure con una topologia di rete piatta e non segmentata.
L’esplosione del ransomware
Oggi i criminali hanno trasformato il ransomware in una vera e propria arte. Le tattiche spray and pray non esistono più, perché l’hacker preferisce un approccio più mirato: identificare il bersaglio perfetto e dargli la caccia per tutto il tempo necessario. E chi può biasimarli? Un attacco mirato e meticoloso, se ha successo, vale più di quanto avrebbero mai potuto sognare con un approccio casuale.
Per i leader IT che cercano di rafforzare le difese contro queste minacce, uno dei suggerimenti basilari, oltre alla prevenzione, è quello di aumentare notevolmente la resilienza.
I dati sono una delle risorse più preziose per un’azienda e dovrebbero essere protetti con backup semplici da trovare, identificare e ripristinare alla versione più recente e intatta, sia che siano memorizzati in sede o nel cloud. In questo modo, le organizzazioni potranno ripristinare i propri dati a uno stato conosciuto e pulito, riducendo al minimo i tempi di inattività, senza dover pagare un riscatto.
Memorizzare questi backup in un formato immutabile è essenziale per impedire ai bad guys di accedere e crittografarli come parte fondamentale del loro attacco.
Oltre ai backup immutabili, sono necessarie opzioni di recupero point-in-time, staging e ripristino. Il recupero istantaneo dei server permette di avviare le catene di dipendenza delle applicazioni. Nel caso di un attacco, l’identificazione rapida e automatizzata dei sistemi colpiti e una tabella di marcia per il recupero dovrebbero rendere la pulizia un processo rapido e semplice (iniziamolo a chiamare con il giusto nome: ransomware remediation plan).
Gli ultimi 12 mesi hanno dimostrato che gli attacchi ransomware diventeranno sempre più mirati e devastanti. Se le aziende vogliono superare questa tempesta, un’architettura di backup/restore orientata alla sicurezza dei dati, supportata da funzionalità di ransomware detect & remediation intuitive e basate su machine learning, deve diventare lo standard.
Country Manager Italia di Rubrik