Secondo Rick Vanover, Senior Director of Product Strategy, Veeam ora gli aggressori di ransomware non puntano più solo ai dati, ma cercano anche i backup.
Il ransomware rimane una minaccia significativa per la sicurezza informatica delle agenzie governative. Infatti gli aggressori di ransomware evolvono i metodi per sfuggire al rilevamento. L’obiettivo finale degli aggressori non è semplicemente quello di esfiltrare e criptare i dati per costringere le vittime a pagare il riscatto, ma di eliminare completamente la capacità di un’organizzazione di riprendersi da un tale attacco.
Nel mirino dei ransomware
Gli aggressori stanno adottando nuovi approcci per raggiungere questo obiettivo. Sia rendendo le loro intrusioni più difficili da rilevare, sia aggiungendo nuovi obiettivi, come i backup dei dati. Così da mettere completamente in difficoltà un’organizzazione. Per difendersi da alcune di queste tattiche, le organizzazioni devono sviluppare solide strategie di backup dei dati che consentano un recupero rapido e completo dei dati. Oltre a piani di emergenza immutabili per garantire che i potenziali attacchi ransomware possano essere mitigati.
Crittografia di piccole porzioni di dati
I gruppi di ransomware che cercano di infiltrarsi nei sistemi devono affrontare alcune sfide. Una volta individuata e sfruttata una vulnerabilità, devono ottenere e criptare quanti più dati possibile prima di sferrare un attacco ransomware. O di essere rilevati dalle protezioni del sistema.
Sfruttare le vulnerabilità
La crittografia dei dati richiede tempo e più a lungo un aggressore rimane in una rete, maggiori sono le possibilità di essere individuato. Una nuova tecnica, la crittografia a intermittenza, attenua questa sfida. Crittografando porzioni di dati sufficientemente piccole da eludere il rilevamento, gli aggressori possono comunque rendere un file inutilizzabile da un’organizzazione senza la chiave di decrittazione. Per fare ciò, gli aggressori crittografano ogni 12 o 18 byte di dati, variando le ore del giorno in cui lo fanno e la quantità di dati crittografati. Così da poter eludere gli strumenti di rilevamento automatico e rimanere nella rete più a lungo.
Rubare il backup
Una volta che i malintenzionati hanno criptato una quantità di dati sufficiente a lanciare un attacco ransomware, alcuni cercano di migliorare le probabilità di pagamento. Reclamando anche gli archivi di backup di un’organizzazione.
Dopo i dati, i backup nel mirino dei ransomware
I backup conservati su una rete aperta o con credenziali di password deboli e senza autenticazione a più fattori sono probabili bersagli. Ad esempio, se i backup sono autorizzati da un dominio Active Directory primario, gli aggressori cercheranno di compromettere tale dominio per ottenere l’accesso sia al backup che ai dati di produzione. Questi attacchi sono spesso rivolti ai servizi finanziari, alla sanità e al settore pubblico, dove un attacco ransomware può avere un impatto sulle infrastrutture critiche.
Proteggere i dati con l’evoluzione del ransomware
Anche se le tattiche del ransomware si evolvono, i migliori metodi di cybersecurity continuano a essere quelli più tradizionali. Cioè una solida gestione delle patch software e l’educazione all’igiene informatica. Entrambe le strategie contribuiscono a ridurre il rischio di esposizione al ransomware, soprattutto in un ambiente di lavoro remoto.
Una strategia di gestione
Una solida strategia di gestione delle patch software limita le vulnerabilità del software che gli aggressori possono sfruttare per lanciare un attacco ransomware. Contrastando gli aggressori prima ancora che possano entrare nel sistema. Le patch e gli aggiornamenti software distribuiti rapidamente riducono le probabilità che gli aggressori riescano ad accedere ai dati di una rete. Sebbene la tattica sembri semplice, è spesso un’area che le organizzazioni possono migliorare.
L’importanza della formazione informatica
Inoltre, la formazione informatica deve essere migliorata. I dipendenti sono spesso l’anello più debole che permette all’attacco di iniziare. Tutti all’interno di un’organizzazione dovrebbero essere in grado di riconoscere gli approcci di infiltrazione più comuni, come le e-mail di phishing o le tattiche di social engineering. Anche con i miglioramenti in queste aree, la realtà è che gli attacchi ransomware continueranno a verificarsi. Con l’evoluzione del ransomware, la strategia di backup diventa particolarmente cruciale. Un approccio di tipo “short cut” al backup dei dati non è sufficiente quando sono i backup stessi a essere presi di mira.
Le organizzazioni devono sviluppare e pianificare a fondo le proprie strategie di backup e protezione dei dati. Ciò significa mettere in atto una strategia che tenga conto dell’evoluzione delle tattiche e praticare le misure pianificate da adottare in caso di ransomware o altri incidenti di cybersecurity. La pratica è l’unico modo per identificare i potenziali punti deboli del piano. Inoltre familiarizzare gli stakeholder con i loro ruoli e con la tecnologia che potrebbero dover utilizzare e garantire che uno scenario di risposta informatica ad alto stress non sia la prima volta che il piano viene letto.
Dati e backup nel mirino dei ransomware, come difendersi
Una solida strategia di gestione dei dati può essere sintetizzata con i numeri 3-2-1-1-0. Ciò significa mantenere tre copie dei dati importanti, su almeno due tipi diversi di supporti, con almeno una di queste copie fuori sede. Compreso un backup dei dati che sia air-gapped, offline o immutabile. Gli hacker non possono compromettere ciò che non possono toccare.
In seguito ai test di backup automatizzati e alla verifica della ripristinabilità, le organizzazioni devono essere in grado di implementare un piano di emergenza multipla. Così da garantire il ripristino dei dati, indipendentemente da un attacco ransomware.
Le tattiche del cybercrime
Finché i malintenzionati troveranno il modo di trarre profitto dal ransomware e da altri exploit di cybersecurity, le loro tattiche continueranno senza dubbio a evolversi. Mentre i gruppi di ransomware rimangono innovativi e resilienti, le organizzazioni devono fare lo stesso. La combinazione di una forte igiene informatica di base, della formazione dei dipendenti e di una strategia di gestione e backup dei dati ben congegnata costituisce la difesa più forte contro gli attacchi informatici dinamici.