Back to Blog

Ransomware e RansomOps:
la miglior difesa è il rilevamento tempestivo

By
Massimiliano Galvagna
|
February 21, 2022

È il nuovo spauracchio digitale. Secondo il rapporto 2021 del Clusit, l’Associazione Italiana per la Sicurezza Informatica, il ransomware è stata la tecnica utilizzata in quasi un terzo degli attacchi verificatisi in Italia nel 2020. La sua diffusione è in crescita, sia in termini assoluti sia in termini di dimensioni dei bersagli e di ammontare dei danni prodotti.

 

A preoccupare ancor di più è l’aumento significativo, registrato soprattutto nell’ultimo anno nel mondo dell’industria, dei cosiddetti RansomOps. Mentre gli attacchi ransomware seguono il modello ‘spray and pray’, ovvero colpiscono il numero più alto possibile di obiettivi sperando di andare a segno almeno su alcuni di essi, i RansomOps sono più sofisticati. Sono attacchi in stile APT (Advanced Persistent Threat) altamente mirati, spesso diretti a strutture statali, ma possono anche rivelarsi il modus operandi di attaccanti interessati a massimizzare l’impatto finanziario su un target specifico. In Italia, a finire nel mirino di recente sono state soprattutto le strutture sanitarie.

 

Oggi i Chief Information Security Officer, impegnati come sono nell’adattare le infrastrutture di sicurezza alla crescente diffusione di modelli di lavoro ibridi, devono vedersela con ambienti multi-rete e computer personali non controllati, due elementi che offrono allettanti vie d’accesso ai ransomware. Mentre leggete questo testo, migliaia di attaccanti stanno sfruttando ransomware ben collaudati – o ne stanno creando nuove varianti – per estorcere somme ingenti a obiettivi insospettabili. Si prendono il tempo necessario e fanno il loro lavoro. 

 

Ransomware 101 

Per prima cosa gli attaccanti valutano il potenziale a distanza, cercando le attività più adatte e determinando quanto sarebbe dannoso per queste ultime il periodo di inattività. Da qui, stimano una possibile cifra e calcolano il prezzo ottimale del riscatto. La violazione in sé può essere esternalizzata o acquistata già pronta sul dark web per meno di 300 dollari. Una volta entrati nel perimetro dell’obiettivo, gli autori dell’attacco ransomware continuano le loro analisi, valutando le applicazioni e i dati per la cifratura. E qui sono dolori.

 

In un mondo digitale, la cifratura totale dei processi e dei file significa il fermo completo delle operazioni per qualsiasi azienda colpita da una campagna ransomware. Di fronte ad attacchi simili, il team di sicurezza si attiva immediatamente, ma in molti casi la strada è in salita: fermare l’attacco in corso mentre si ripristinano le operazioni digitali non è semplice e non lo è neppure determinare la fonte dell’incursione per evitare che si ripeta l’attacco.

 

Pagare il riscatto, tra l’altro, non garantisce la consegna della chiave di cifratura. Gli attacchi ransomware si rivelano così un test delle strategie di business continuity di molte organizzazioni, più che un elemento di valutazione della loro esposizione ai rischi informatici. Senza piani di emergenza estremamente solidi, le vittime dei ransomware vanno incontro a fermi macchina, perdita di dati e choc finanziari.

 

La strada verso la mitigazione del rischio

Il rilevamento tempestivo è la chiave per mitigare i danni. Se gli ospiti infettati vengono prontamente isolati, allora i cacciatori di minacce informatiche possono mettersi al lavoro per neutralizzare i processi che innescano la replicazione. Idealmente, questa fase dovrebbe essere affidata a strumenti automatici, dal momento che l’intervento umano in tempo reale può far poco per arginare la rapidità con cui si propagano i ransomware. Le piattaforme deputate alla supervisione dell’intera rete sono nella posizione migliore per adottare azioni automatiche efficaci nel prevenire danni e perdite.

 

Una strategia chiave a livello di rete che si rivela efficace nel rilevamento dei ransomware è quella di avere una visione ‘a volo d’uccello’ sui comportamenti, invece di cercare attivamente delle varianti ransomware conosciute nel traffico o nei pacchetti di processi. Questa strategia è proattiva e focalizzata sulla scoperta dell'attività di ricognizione iniziale e penetrazione da parte degli attaccanti, piuttosto che sull’attesa del momento in cui l’attacco viene sferrato.

 

In aggiunta, possono aiutare ad arrestare l’ondata solide politiche di gestione delle identità, se è si è adottata la giusta cautela nell’assicurare che solo una cerchia selezionata di persone abbia accesso alle aree più sensibili dell’infrastruttura IT. Il ransomware deve così accontentarsi delle credenziali rilasciate all'utente o all'applicazione che gli ha permesso di penetrare nel sistema. Inoltre, se è in atto uno stretto monitoraggio dell'attività degli account con privilegi elevati, il team di sicurezza può agire più velocemente per scongiurare un’invasione ransomware.

 

Una nuova tattica di combattimento: Detection and Response delle minacce di rete basati sull’AI

Queste best practice sono parte di un approccio AI-driven nel rilevamento e nella risposta alle minacce informatiche. Adottando una strategia comportamentale di alto livello sul problema dei ransomware, ci lasciamo alle spalle la tattica di ricerca del ransomware stesso che ha dimostrato di essere efficace solo troppo poco e troppo tardi. Gli strumenti che adottano questo approccio avviano un'analisi approfondita del traffico di rete e hanno l’abilità di tracciare l’attività dell’attaccante che si sposta tra on-premise, data center e ambienti IaaS e SaaS. I modelli di Machin learning stanno già integrando l’expertise dei team di sicurezza, producendo validi risultati. Soltanto modelli come questi hanno la portata e il potere di elaborare alti volumi di telemetria e compararli in tempo reale con una mole infinita di dati storici per identificare attività rischiose.

 

Queste piattaforme di rilevamento delle minacce basate sul comportamento sono dedicate all’attività di detection and response su cloud, data center, IoT e reti aziendali. Il rilevamento tempestivo, l’eliminazione dei falsi positivi e la riduzione dell’affaticamento da allarme sono caratteristiche chiave della tecnologia, così come lo è la convalida delle principali norme industriali – come  MITRE D3FEND – che aiuta ad alimentare la fiducia tra i clienti di un'organizzazione.

 

I ransomware sono estremamente remunerativi per i cybercriminali e difficilmente spariranno dal panorama delle minacce informatiche nel breve periodo. Il rilevamento veloce e accurato – che al momento è possibile solo con approcci di detection and response basati sull’AI – è l’alleato migliore su cui gli stakeholder aziendali possono contare in questa battaglia.