Negli ultimi quattro anni si è registrato un sensibile aumento, circa il 90% in più rispetto al 2016, degli attacchi informatici ai danni delle imprese. La maggior parte di questi attacchi viene perpetrato mediante ransomware, “virus” informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto significativo per il loro recupero.

Gli attaccanti hanno sviluppato nel tempo tecniche sempre più sofisticate per colpire le imprese. I principali vettori per compiere attacchi Ransomware sono:

  • Email di phishing.
  • Vulnerabilità dei sistemi esposti su Internet.
  • Errate configurazioni degli apparati di rete.

Tra i ransomware recenti, i più noti e temuti sono Ryuk, Ekans e Maze. Si stima che solo nel 2019, i gruppi hacker che utilizzano questi malware abbiano guadagnato più di 40 mln di dollari, attaccando società in tutto il mondo di piccole e grandi dimensioni. Pur essendo tra loro diversi, questi ransomware sono accomunati dalla metodologia (kill-chain) con cui attaccano un’organizzazione o impresa. La kill-chain è costituita dalle seguenti fasi:

  1. Accesso alla rete aziendale: avviene tipicamente attraverso una campagna di e-mail di phishing attraverso la quale si installa del software malevolo (malware) sul pc della vittima.
  2. Infezione: L’esecuzione di questo malware permette all’attaccante di carpire le credenziali e diffondere l’infezione all’interno dell’organizzazione.
  3. Acquisizione di privilegi elevati: il malware, aggirando facilmente i meccanismi di difesa presenti sul dispositivo colpito, riesce ad impersonare utenti con maggiori privilegi di accesso ai sistemi (e.g. Amministratori di sistema, IT Manager)
  4. Movimento laterale: gli attaccanti, in modo silente, si muovono liberamente all’interno dell’infrastruttura aziendale al fine di raggiungere il cuore della rete: il Domain Controller.
  5. Cifratura dei dati: a questo punto viene scaricato il ransomware che si occupa della codifica di tutti i file aziendali, del blocco dei sistemi e della richiesta di riscatto. In aggiunta a tutto questo ci sono alcuni gruppi hacker, come quello che utilizza il ransomware Maze, che pubblicano i dati trafugati su Internet finché il riscatto non viene pagato. Oltre al danno di immagine che ne consegue, se i dati pubblicati sono dei dati personali, si rende necessaria la notifica all’Autorità Garante della Privacy.

Le analisi e le ricerche effettuate in questo ambito, hanno portato all’identificazione di alcune best practice che possono mitigare il rischio che attacchi di questo tipo vadano a buon fine. Queste best practice sono composte da attività che permettono di aumentare il livello di difesa dell’organizzazione e interrompere la kill-chain di attacco.

Alcuni esempi di queste best practice sono:

  1. Anti-phishing: Prevenire il download di allegati malevoli da email di phishing implementando un sistema che consenta il controllo e la restrizione delle tipologie di file scambiati tramite email
  2. Autenticazione sicura: Implementare sistemi di autenticazione attraverso più fattori (e.g. password + SMS) ai servizi interni ed esterni.
  3. Protezione degli account critici: Implementare soluzioni che garantiscono un alto livello di protezione delle password e degli account più sensibili.
  4. Gestione delle utenze: Gestire in modo efficiente e sicuro il ciclo di vita di un’identità digitale, assicurandosi che ogni dipendente abbia accesso solo alle risorse e servizi strettamente necessari.
  5. Patch Management: Aggiornare periodicamente tutti i software aziendali.
  6. Security Monitoring: Migliorare la capacità di identificare e rispondere in breve tempo ad un attacco attraverso l’implementazione di sistemi di monitoraggio della sicurezza.
  7. Backup: Eseguire periodicamente delle copie dei dati e salvarle su dispositivi fisici distinti e separati dalla rete o utilizzare sistemi cloud affidabili garantiti da fornitori importanti.

Infine è opportuno ricordare di non pagare il riscatto. Oltre ad essere illegale, il pagamento del riscatto non garantisce il ripristino dei dati. Nel caso di Ryuk, infatti, lo strumento fornito dagli attaccanti per decifrare i file conteneva un bug che ne impediva il ripristino.

in collaborazione con Vincenzo Colarocco