Nonostante se ne parli da anni, la rilevanza degli attacchi ransomware nell’universo della cybersecurity non accenna a diminuire. Secondo un report di Cisco, nella categoria ransomware & extortion rientra circa il 20% di tutti gli incidenti registrati in un anno (2023).
Non ci si può stupire della quantità di attacchi ransomware, considerando che questi abilitano modelli di business piuttosto redditizi per i cyber criminali. Gli attacchi sono relativamente semplici da implementare, poco costosi e possono colpire una vasta platea di vittime (PMI in primis), rendendo particolarmente interessante il rapporto tra i costi e i benefici. Inoltre, la continua evoluzione delle tecniche crittografiche e l'anonimato fornito dalle reti darknet rendono complicata l'identificazione e la persecuzione dei responsabili, cui si aggiunge il terreno fertile generato da una security culture carente in buona parte delle imprese.
Cos’è un attacco ransomware e come funziona
Un attacco ransomware è una forma di cyber attacco che blocca i dati aziendali attraverso sofisticati algoritmi crittografici, richiedendo un riscatto per il loro ripristino. Questi attacchi seguono tre fasi principali:
- Infezione: L’attacco inizia quando il ransomware entra nel sistema aziendale. I metodi più comuni includono email phishing, download da siti web compromessi o l’exploit di vulnerabilità nei software aziendali.
- Crittografia dei dati: Una volta che il malware ha avuto accesso al sistema, inizia a crittografare i file più importanti, rendendo irrecuperabili i dati senza la chiave di decrittazione.
- Richiesta di riscatto: Dopo che hanno bloccato l’accesso ai file, i criminali inviano una notifica alla vittima con le istruzioni su come pagare il riscatto, spesso in criptovalute per garantire l’anonimato. Le somme richieste possono variare enormemente, in base alla gravità dell’attacco.
La rapidità con cui un attacco ransomware può paralizzare un’organizzazione sottolinea l’importanza di adottare strategie preventive e una pronta risposta in caso di incidente.
Tipologie di attacchi ransomware più comuni
Nel panorama degli attacchi ransomware, esistono diverse varianti che si differenziano per modalità di azione e impatto:
- Crypto ransomware: Questa tipologia è quella più pericolosa, perché crittografa i file aziendali e li rende inaccessibili fino al pagamento del riscatto. I documenti sensibili e i dati critici per il funzionamento dell’azienda sono generalmente i principali obiettivi.
- Locker ransomware: A differenza del crypto ransomware, questa variante non crittografa i file ma blocca completamente il sistema operativo, rendendo impossibile l’accesso ai dispositivi da parte della vittima.
- Ransomware as a Service (RaaS): Un modello che consente ai criminali informatici di acquistare kit pronti all’uso per lanciare attacchi ransomware. Questo rende il fenomeno ancora più diffuso, perché chiunque, anche senza competenze avanzate, può diventare un attaccante.
Comprendere le differenze tra questi tipi di ransomware è fondamentale per scegliere soluzioni di difesa adeguate. Ad esempio, l’uso di soluzioni XDR o SIEM può essere particolarmente efficace per contrastare minacce di vario tipo.
Come prevenire e gestire gli attacchi ransomware
L’evoluzione costante dei malware e delle tecniche di attacco rende sempre più complesso affrontare a livello aziendale la tematica del ransomware. Certamente, occorre adottare un approccio sistemico, che vada oltre la singola soluzione e riesca a costruire una solida barriera contro svariate minacce, tra cui proprio gli attacchi ransomware.
I consigli alle imprese sono più o meno i soliti: mantenere tutti i sistemi e software aggiornati con le ultime patch di sicurezza, implementare una strategia di email security, effettuare scansioni regolari delle vulnerabilità, adottare soluzioni di monitoraggio della rete e degli endpoint al fine di identificare elementi e comportamenti sospetti, nonché formare i dipendenti sulle migliori pratiche di sicurezza informatica, compreso il riconoscimento dei tentativi (multicanale) di phishing. Vista la dinamica del ransomware, sfruttare al massimo la crittografia dei dati e poter contare su un robusto piano di backup e ripristino sono requisiti essenziali, anche se non sufficienti.
Attacchi ransomware: perché è importante un SOC
Il Security Operations Center (SOC) è il cuore pulsante dell'arsenale difensivo contro qualsiasi minaccia cyber, attacchi ransomware compresi.
Per prima cosa, esso può contare su tutte le competenze specialistiche necessarie per affrontare una tematica in evoluzione quotidiana come la cybersecurity. Come accennato, infatti, per contrastare i ransomware non basta un antivirus né un backup, poiché il tema evolve e si affina ogni giorno.
Il SOC può contare su un arsenale tecnologico allo stato dell’arte, che gli permette di proteggere l’intero ecosistema aziendale con un approccio olistico di alto livello, comprensivo cioè di capacità preventive e di risposta. L’hub monitora costantemente reti e sistemi, implementa tutte le misure preventive possibili e, grazie all’analisi e alla correlazione dei dati, è in grado di identificare non solo tecniche e minacce note e comuni, ma anche comportamenti sospetti e intrusioni potenziali, così da bloccare all’istante le minacce o minimizzarne le conseguenze.
Impatto economico degli attacchi ransomware sulle aziende
Gli attacchi ransomware non sono solo un rischio tecnico, ma anche economico. Secondo le stime, il costo medio di un attacco ransomware per un’azienda può superare i 4 milioni di euro. Questo costo include non solo il riscatto richiesto, ma anche le perdite dovute all’interruzione delle attività operative e al lungo processo di ripristino dei sistemi.
Le piccole e medie imprese sono le più vulnerabili, perché spesso non dispongono di risorse per adottare difese avanzate. Questo le rende obiettivi preferiti per i cybercriminali, che approfittano della mancanza di protezioni adeguate.
Nel settore sanitario, ad esempio, recenti attacchi ransomware hanno paralizzato interi ospedali, causando ritardi nelle cure e impatti finanziari devastanti. Per questo motivo, investire in misure preventive e in un piano di risposta efficace è cruciale per garantire la continuità operativa delle imprese.
Come può intervenire un SOC in un attacco ransomware
Un SOC interviene sugli attacchi ransomware in molti modi differenti. Tra questi, si può senz’altro citare la configurazione e la gestione di soluzioni di email security, visto che la posta elettronica rappresenta il principale vettore delle infezioni da ransomware. Oggi, gestire la sicurezza delle email significa andare ben oltre i meccanismi classici di whitelisting e blacklisting adottando avanzate tecniche di filtering con automazione, analisi del contenuto e intelligenza artificiale incorporata (machine learning, per l’esattezza).
Gli specialisti del SOC non hanno semplicemente le competenze giuste, ma anche l’esperienza necessaria per gestire il fenomeno in modo efficace e, soprattutto, sempre aggiornato agli ultimi trend. Per esempio, possono creare delle configurazioni custom nei sistemi XDR e SIEM, come regole di correlazione finalizzate a rilevare accessi insoliti o movimenti laterali che potrebbero indicare l’attività di un ransomware. In questo modo, gli specialisti riducono la quantità di falsi positivi e, soprattutto, possono dare concretezza ed efficacia al monitoraggio real-time degli alert.
Sfruttando le capacità dei moderni sistemi XDR (Extended Detection and Response) unitamente alla gestione ed orchestrazione automatizzata dei processi di enrichment e response operati dal SOAR (Security Operation Automation and Response), essi possono inoltre spezzare la cosiddetta kill chain del ransomware, ovvero il processo multifase attraverso il quale l’attacco persegue lo scopo per cui è stato sferrato: un esempio tipico è l’isolamento automatico degli endpoint o la disabilitazione di un account a fronte di comportamenti sospetti.
Il SOC ha la responsabilità di essere aggiornato e proattivo su tutte queste tematiche. Richiede, dunque, un aggiornamento continuo sui TTP (tecniche, tattiche e procedure) adottati dai cybercriminali, un risultato che si ottiene studiando i report di Threat Intelligence. Il SOC deve essere inoltre in grado di integrare gli IoC (indicatori di compromissione) in tutte le soluzioni che presidiano l’ecosistema aziendale, come SIEM, IDS/IPS e XDR, così da adottare quell’approccio sistemico che, come si è visto, rappresenta l’unica reale strategia di successo.
Fonte: