Vettori di infezione e distribuzione
I ransomware sono un tipo di malware utilizzato per criptare file o dati sensibili importanti; per recuperarli viene quindi richiesto il pagamento di un riscatto. L'infezione avviene quando il malware viene scaricato e installato nei dispositivi in rete di un'organizzazione.
Per entrare nel sistema preso di mira, i ransomware sfruttano varie tecniche. La più comune è rappresentata dalle e-mail di phishing che contengono un link a un sito web compromesso o un allegato con il malware incorporato. Quando un utente clicca sul link o sull'allegato, il malware viene scaricato ed eseguito sul sistema informatico.
Per saperne quali sono le quattro aree più vulnerabili ai ransomware, leggi questo post del blog. >>
Il protocollo di desktop remoto (RDP) è un altro vettore di attacco diffuso: facile da usare, permette agli autori dell'attacco di ottenere accesso al sistema a livello avanzato. Nel 2020, l'RDP è stato il vettore di attacco iniziale nella metà di tutti gli attacchi ransomware segnalati.
L'accesso con RDP compromesso può avvenire nel dark web e per trovare una connessione RDP esposta basta creare uno script che rilevi la porta predefinita. Gli hacker spesso si servono degli stessi strumenti utilizzati dagli esperti di sicurezza e sono in grado di analizzare l'intera rete di Internet per trovare una porta aperta in meno di un minuto.
Altri vettori di distribuzione invece, come il ransomware WannaCry, tentano di infettare direttamente il sistema. WannaCry colpisce i computer con sistema operativo Microsoft Windows criptando i file presenti sul disco rigido per poi chiedere un riscatto in Bitcoin. WannaCry, rilasciato per la prima volta nel 2017, è ancora attivo e ha colpito oltre 100.000 organizzazioni in tutto il mondo.
Guarda il webinar on demand per scoprire com'è fatto un ransomware e come preparare una strategia difensiva per ogni fase dell'attacco.
Crittografia
Una volta che il ransomware viene installato sul sistema colpito, resta in attesa mentre raccoglie dati e infetta quanti più sistemi possibile in maniera invisibile. Quindi sottrae e/o cripta i file system insieme ai dati sensibili e più importanti di un'azienda. I ransomware possono arrivare a distruggere le copie di backup o rubare i dati, ma l'obiettivo principale è in genere criptare quanti più file o sistemi per bloccare le attività di un'organizzazione.
Esistono tantissimi tipi e varianti di ransomware, tra cui crypto-ransomware, locker, ransomware a estorsione e Ransomware-as-a-Service (RaaS).
Il crypto-ransomware crittografa i file, altera i contenuti e li rende illeggibili. Per ripristinare i file in formato leggibile è necessaria una chiave di decrittografia. I criminali informatici presentano quindi una richiesta di riscatto, con la promessa di decriptare i dati o rilasciare la chiave di decrittografia una volta ricevuto il pagamento.
Il ransomware locker non cripta i file ma impedisce alla vittima di accedere al proprio sistema o dispositivo. I criminali informatici presentano quindi una richiesta di riscatto per sbloccarlo. In generale, con un buon backup è possibile ripristinare il sistema o impedire un attacco crypto-ransomware, ma riprendersi da un attacco locker è più difficile e costoso. Anche con il backup dei dati, il dispositivo deve essere sostituito.
L'obiettivo principale di un attacco ransomware è estorcere denaro. Le organizzazioni però possono rifiutarsi di pagare il riscatto, soprattutto quando hanno un buon sistema di backup e ripristino. Per questo motivo, i criminali informatici hanno cominciato a usare una nuova tecnica negli ultimi anni detta "doppia estorsione", in cui i dati vengono sia criptati che sottratti. Se l'azienda rifiuta di pagare, gli hacker minacciano di diffondere le informazioni online o venderle al miglior offerente.
Ma c'è di peggio. Per quanto devastanti siano gli effetti di una doppia estorsione, gli esperti in sicurezza mettono in guardia da una minaccia ancora più grave: il ransomware a tripla estorsione. In questo caso, i criminali informatici chiedono il denaro ai terzi interessati dall'attacco, oltre che alla vittima iniziale.
Infine, il Ransomware-as-a-Service (RaaS) utilizza il modello del Software-as-a-Service (SaaS). È un servizio su abbonamento con cui i criminali informatici hanno accesso a strumenti ransomware preconfezionati e pronti a colpire. Gli abbonati a questo tipo di servizio vengono definiti affiliati e guadagnano una percentuale a ogni riscatto pagato.
Note e richieste di riscatto
La richiesta di riscatto parte una volta che il ransomware è stato distribuito nella rete presa di mira. Gli hacker avvertono la vittima dell'attacco e presentano la richiesta di riscatto per annullarne gli effetti. La richiesta di riscatto viene visualizzata in un messaggio a schermo o lasciata in una nota nella directory dei file criptati.
Le richieste di riscatto in genere contengono i dettagli sull'importo, il metodo e la scadenza del pagamento, insieme alla promessa di restituire l'accesso ai file criptati una volta pagato il riscatto. In caso di esfiltrazione dei dati, gli hacker possono anche dichiarare che si impegnano a non divulgare i dati e dare prova di averli distrutti. Solitamente il pagamento è richiesto in criptovaluta (es. Bitcoin o Monero).
Tuttavia, anche pagando il riscatto, non è detto che gli hacker ripristineranno i dati o manterranno le promesse. Potrebbero conservare una copia dei dati rubati e utilizzarla in un secondo momento. Le chiavi di decrittografia potrebbero non funzionare correttamente, lasciando alcuni dati criptati, o potrebbero contenere malware non rilevati che verranno sfruttati in futuro.
La negoziazione: pagare o non pagare?
La decisione di pagare o meno il riscatto può essere difficile e dipende da diversi fattori:
- Quanto incide la violazione sulle operazioni aziendali?
- I dipendenti resteranno fermi? Se sì, quanti e per quanto tempo?
- Quanto è grande il rischio di esposizione dei dati?
Per un'analisi più approfondita dei pro e contro di pagare o meno il riscatto, leggi il post di blog You’ve Been Hit by Ransomware. Now What? (Hai subito un attacco ransomware. E adesso?).
Se il sistema di backup e ripristino non è stato colpito, potresti evitare di pagare il riscatto, sempre a seconda del tipo di attacco ransomware. Ma se pagare il riscatto è davvero l'unica opzione possibile, è opportuno farsi assistere da un team di esperti in risposta agli incidenti nella fase di negoziazione e pagamento.
La fase successiva: restore e ripristino
In media, il downtime dovuto a un attacco ransomware è di 21 giorni. Se paghi il riscatto, potrebbero volerci molti altri giorni per ricevere la chiave di decrittografia e annullare l'attacco.
Tieni presente che alcune varianti di ransomware sono in grado di identificare e distruggere i backup nella rete compromessa. Se i backup sono stati distrutti o criptati, il processo di ripristino può risultare più complicato. Anche nel caso in cui i backup siano utilizzabili, il ripristino potrebbe comunque richiedere tanto tempo, tutto dipende dal sistema di backup e ripristino utilizzato.
Sia se decidi di pagare il riscatto o se tenti di ripristinare i dati, è opportuno pianificare diversi giorni per completare l'intero processo di ripristino. Devi inoltre tener conto di eventuali perdite finanziarie, per via del riscatto, dei costi per la risposta agli incidenti o dei guadagni persi a causa del downtime.
Guarda come può cambiare il processo di ripristino tra due organizzazioni fittizie con diverse funzionalità di ripristino nell'articolo A Tale of Two Ransomware Attacks: Which Company Are You? (Storia di due attacchi ransomware: che tipo di azienda sei?).
Prepararsi per rispondere agli attacchi
Un attacco ransomware è un rischio che non puoi permetterti di sottovalutare. Se hai fatto tutto il necessario per garantire la sicurezza dei tuoi sistemi, ma ti affidi ancora ad architetture di backup legacy, la tua azienda non sarà protetta dagli attacchi moderni.
Qual è il modo migliore per rispondere a un attacco? Solo le soluzioni moderne come Pure Storage® FlashBlade® con snapshot SafeMode™ e Rapid Restore®, che offre performance di ripristino dei dati fino a 270 TB/ora, possono portare la tua strategia di sicurezza a un livello superiore.