Vai al contenuto

L’EVOLUZIONE DEI RANSOMWARE

Spesso quando si parla di Ransomware, si indicano gli effetti devastanti per un’azienda e gli importanti costi che l’intera organizzazione è costretta a sopportare. In questo articolo non si ha l’intenzione di rendere ancora più pesante l’argomento, ma si vuole sottolineare un aspetto che rende ancora più aggressivo questa tipologia di attacco.

Così come il mondo IT si è evoluto, anche i ransomware seguono questa evoluzione. Oggi in qualsiasi attività che prenda in considerazione i dispositivi informatici è richiesta una sempre maggiore velocità di esecuzione dei dati ed un’immediata risposta dei dispositivi a nostra disposizione. Anche le cyber gang stanno seguendo questa evoluzione con lo sviluppo di metodologie e strategie di attacco sempre più precise, veloci e aggressive.

Da più di un anno, le strategie di attacco ransomware hanno raggiunto sistemi sempre più sofisticati e veloci e la metodologia della crittografia intermittente sta avendo un’evoluzione sempre più devastante per le aziende colpite.

Senza voler entrare in specifiche tecniche che non avrebbero alcun significato in questa fase, ci limiteremo ad indicare quali possono essere gli effetti di questa ultima frontiera dei ransomware.

Il ransomware a crittografia intermittente è un tipo di ransomware che utilizza la crittografia per bloccare l’accesso ai dati della vittima. Tuttavia, a differenza dei ransomware tradizionali, che crittografano completamente i dati e chiedono un pagamento in cambio della chiave di decrittografia, il ransomware a crittografia intermittente crittografa solo alcune parti dei dati a intervalli casuali. In questo modo, la vittima può accedere ad alcune parti dei propri dati, ma non a tutte.

Questo tipo di ransomware è particolarmente insidioso perché rende difficile alle vittime capire che cosa è stato crittografato e quali parti dei dati sono ancora accessibili. Inoltre, il ransomware a crittografia intermittente può continuare a crittografare nuove parti dei dati a intervalli casuali, rendendo ancora più difficile per la vittima proteggere i propri archivi.

In precedenza abbiamo preso in considerazione la sempre più veloce elaborazione dei nostri dispositivi e i ransomware seguono questo ritmo.

Andiamo nel particolare, i ransomware a crittografia intermittente hanno come scopo quello di ridurre al massimo le perdite di tempo causate dalla necessità di crittografare tutti i dati aziendali, infatti, se da un lato le aziende riescono ad avere dei sistemi sempre più sofisticati di difesa, dall’altro le cyber gang portano avanti i loro attacchi riducendo al minimo le perdite di tempo e soprattutto non dando il tempo alle vittime di poter effettuare anche i benché minimi salvataggi dei dati o mettere in atto sistemi di difesa efficaci. 

Il tutto si gioca sui tempi di azione e reazione, ma non solo, la crittografia intermittente consente di passare quasi inosservata alla vista dei più sofisticati sistemi di monitoraggio dei dispositivi dell’intero perimetro aziendale.

La conseguenza ad oggi è particolarmente devastante per le aziende che subiscono attacchi con queste nuove tecniche. 

Come difendersi da questo fenomeno?

La migliore protezione continua ad essere la prevenzione

Oggi il ransomware è una vera e propria industria, con diversi gruppi criminali che si occupano di vari aspetti. C’è chi va alla ricerca delle vittime, chi si occupa di trovare il modo di accedere ai sistemi e comprometterli, chi gestisce le negoziazioni con le vittime. E utilizzano spesso più tipi di attacchi contemporaneamente, così da massimizzare la possibilità di successo. 

La base di partenza di una strategia aziendale parte dall’analisi del rischio e da un conseguente piano di disaster recovery. Sono questi i due pilastri della security che non possono mancare in una soluzione moderna. E che tengono comunque conto delle basi tradizionali, come l’aggiornamento regolare dei sistemi e il patching di applicazioni, le policy di accesso a dati e servizi, la formazione e il backup.

Il modo migliore per proteggersi è quindi apparentemente abbastanza semplice: 

  • aggiornare e patchare regolarmente servizi e applicazioni. Questo perché la maggior parte degli attacchi ha successo proprio perché fanno leva su vulnerabilità note ma non ancora corrette. A parole è semplice, ma nella realtà non è così scontato, sia perché le infrastrutture più complesse includono migliaia di servizi, sia perché in certi casi riavviare un server per aggiornarlo interromperebbe le operazioni;
  • una valida strategia di backup, come la 3-2-1, che prevede tre copie di sicurezza dei dati su almeno due supporti differenti e una delle quali off-site;
  • la formazione del personale, non ci stancheremo mai di sottolineare questo aspetto che ad oggi risulta una delle migliori strategie di difesa da qualsivoglia metodologia di attacco. 

Ma cosa estremamente importante, se si sospetta di essere vittime di un attacco ransomware a crittografia intermittente, è importante contattare immediatamente un esperto di sicurezza informatica o un’agenzia di sicurezza informatica per assistenza e supporto nella gestione dell’attacco.

Affidarsi ad una struttura che detti le linee guida relative alla prevenzione porta le aziende ad occuparsi del loro core business fornendo alla struttura esterna quanto necessario per porre in essere tutte le strategie di difesa necessarie per evitare qualsiasi tipo di attacco.