Nel 2022 Fortinet ha documentato la nascita di migliaia di ransomware. I team di sicurezza devono quindi aspettarsi che questo vettore di attacco cresca anche nel 2023. Il team dei FortiGuard Labs ha infatti documentato 10.666 nuove varianti di ransomware nella prima metà del 2022 rispetto alle 5.400 della seconda metà del 2021, pari a quasi il +100%. Una crescita esplosiva dovuta principalmente al maggior numero di malintenzionati che sfruttano il Ransomware-as-a-Service (RaaS) nel dark web.
Le strategie di mitigazione
Tuttavia, nonostante l’aumento delle varianti, le tecniche che i malintenzionati utilizzano per diffondere il ransomware rimangono in gran parte le stesse. Questa è una buona notizia, perché i team di sicurezza dispongono di un modello affidabile per proteggersi da questi attacchi. Da Fortinet quindi un approfondimento sulle strategie di mitigazione del ransomware e su come implementarle all’interno delle organizzazioni.
Le tecniche di un attacco ransomware
Il ransomware è un malware che tiene in ostaggio i dati al fine di ottenere il pagamento di un riscatto. Inoltre, minaccia di pubblicare, bloccare o corrompere i dati, o di impedire all’utente di lavorare o accedere al proprio dispositivo se le richieste del malintenzionato non vengono soddisfatte. Oggi il ransomware viene spesso diffuso tramite e-mail di phishing. Questi allegati malevoli infettano il computer dell’utente una volta aperti. Il ransomware può essere diffuso anche attraverso il drive-by downloading.
2023: la crescita dei ransomware
Questo si verifica quando un utente visita un sito web infetto e il malware presente sul sito viene scaricato e installato, senza che l’utente se ne accorga. Anche il social engineering svolge spesso un ruolo in un attacco ransomware. In questo caso, il malintenzionato tenta di manipolare qualcuno per indurlo a divulgare informazioni riservate. Una tattica comune di social engineering consiste nell’inviare e-mail o messaggi di testo per spaventare l’obiettivo e indurlo a condividere informazioni sensibili, aprire un file malevolo o fare clic su un link fraudolento.
Le violazioni dei dati
I tentativi di attacco e le violazioni dei dati sono inevitabili e nessuna organizzazione vuole essere costretta a decidere tra pagamento del riscatto e perdita di dati. Fortunatamente, queste non sono le uniche due opzioni. La strada migliore da percorrere è quella di adottare misure appropriate per salvaguardare le reti, così da ridurre le probabilità che un’azienda venga colpita da ransomware. Questo approccio richiede un modello di sicurezza stratificato che combini controlli di rete, endpoint, edge, applicazioni e data center, oltre a una threat intelligence in costante aggiornamento. Non dimenticare poi il ruolo della formazione in materia di sicurezza informatica, all’interno della strategia di mitigazione.
Fortinet: la necessità della mitigazione del ransomware
Guardando in giro per le organizzazioni, è probabile che si trovino “lacune” nella sicurezza che aumentano le probabilità che queste siano vittime di un attacco ransomware. Ecco alcune sfide comuni che i team di sicurezza e le loro organizzazioni devono affrontare e che possono renderle più vulnerabili agli incidenti informatici.
- Mancanza di conoscenze di cyber hygiene tra i dipendenti. Oltre a non comprendere i segnali del ransomware, la mancanza di una formazione sulla sicurezza informatica può mettere a rischio l’organizzazione. Secondo il Verizon 2022 Data Breach Investigations Report, l’82% delle violazioni ha coinvolto l’elemento umano.
- Policy per le password deboli. Policy insufficienti relative alle credenziali dei dipendenti, o l’assenza totale delle stesse, aumentano la probabilità di subire una violazione della sicurezza. Le credenziali compromesse sono coinvolte in quasi il 50% degli attacchi.
- Monitoraggio e processi di sicurezza insufficienti. Nessuno strumento da solo offre tutto ciò di cui il team di sicurezza ha bisogno per monitorare e proteggere da potenziali incidenti IT, come il ransomware. Un approccio di sicurezza stratificato può aiutare le organizzazioni a gestire adeguatamente il rischio aziendale.
- Carenza di personale nei team di sicurezza e IT. Non è un segreto che sia necessario avere nel team persone competenti per supportare monitoraggio e sforzi di mitigazione del rischio. Tuttavia, i dati dimostrano che la carenza di competenze in materia di sicurezza informatica rappresenta una sfida continua per i Ciso.
Cosa insegnano gli attacchi ransomware
Il ransomware continua a diventare sempre più aggressivo e costoso, e colpisce aziende di ogni settore e area geografica. Sebbene la maggior parte di noi si ricordi dei recenti attacchi ransomware di alto profilo che hanno coinvolto aziende come Colonial Pipeline e JBS, si verificano innumerevoli altri incidenti ransomware che non fanno notizia. Tuttavia, molti attacchi ransomware possono essere prevenuti applicando solide pratiche di cyber hygiene. Tra queste l’offerta di una formazione continua sulla consapevolezza informatica per i dipendenti, e concentrandosi sull’implementazione di misure di Zero Trust Network Access (ZTNA) e sulla sicurezza degli endpoint.
Fortinet – Le 5 best practice per proteggersi
Il rilevamento efficace del ransomware richiede una combinazione di formazione e tecnologia. Ecco alcuni dei modi migliori per rilevare e prevenire l’evoluzione degli attuali attacchi ransomware.
- Educare i dipendenti sulle caratteristiche del ransomware. La formazione sulla sicurezza per la forza lavoro di oggi è un must e aiuterà le organizzazioni a difendersi da una serie di minacce in continua evoluzione. Insegnate dunque ai dipendenti a riconoscere le caratteristiche del ransomware: e-mail progettate per sembrare provenienti da aziende autentiche, i link esterni sospetti e gli allegati di file discutibili.
Fortinet racconta la crescita dei ransomware: i consigli per il prossimo anno
- Usare l’inganno per attirare (e fermare) gli aggressori. Si tratta di un honeypot, un’esca costituita da falsi archivi di file progettati per apparire come obiettivi attraenti per gli aggressori. È possibile rilevare e bloccare l’attacco quando un hacker di ransomware prende di mira l’honeypot. Questa tecnologia di cyber deception utilizza tecniche e tattiche del ransomware contro sé stesso per innescare il rilevamento. Consente anche di scoprire le tattiche, gli strumenti e le procedure (TTP – tactics, tools, and procedures) che hanno permesso ai malintenzionati di penetrare con successo nella rete.
Attacchi nuovi e più complessi
Monitorare la rete e gli endpoint. Secondo Fortinet, effettuando un monitoraggio continuo della rete è possibile registrare il traffico in entrata e in uscita. Inoltre: scansionare i file alla ricerca di prove di eventuali attacchi (quali modifiche non riuscite), stabilire una linea di base per l’attività accettabile degli utenti e indagare su tutto ciò che sembra fuori dall’ordinario.
- Anche l’implementazione di strumenti antivirus e anti-ransomware è utile, in quanto è possibile utilizzare queste tecnologie per creare una whitelist di siti consentiti. Infine, l’aggiunta di rilevamenti di tipo behaviour-based alla sicurezza è essenziale, soprattutto perché le superfici di attacco delle organizzazioni si espandono e i malintenzionati continuano ad alzare la posta in gioco.
- Guardare al di fuori della propria organizzazione. Ovvero prendere in considerazione una visione esterna del rischio per l’organizzazione. Come estensione dell’architettura di sicurezza, un servizio di Digital Risk Protection (DRP) può aiutare un’organizzazione a vedere e mitigare tre ulteriori aree di rischio: rischi legati alle risorse digitali, al brand e le minacce nascoste e imminenti.
Fortinet, occorre integrare i team
- Se necessario, rafforzare il team con un SOC-as-a-service. L’attuale intensità del panorama delle minacce, sia in termini di velocità che di sofisticazione, significa che dobbiamo lavorare di più per rimanere al top. Ma questo ci porta solo fino a un certo punto. Lavorare in modo più intelligente significa esternalizzare compiti specifici, come la gestione degli incidenti e la ricerca delle minacce. Ecco perché è utile affidarsi a un fornitore di Managed Detection and Response (MDR) o a un’offerta SOC-as-a-service. Una simile integrazione del team può aiutare a eliminare il rumore e a liberare gli analisti per concentrarsi sui compiti più importanti.
Crescita dei ransomware
Sebbene il volume dei ransomware non stia rallentando, sono disponibili numerose tecnologie e processi per aiutare i team di sicurezza a mitigare i rischi associati a questo attacco. Grazie ai programmi di educazione informatica e al rafforzamento delle iniziative ZTNA, è possibile tenere a bada gli aggressori più astuti.
