A cura di Rick Vanover, Senior Director of Product Strategy, Veeam:

I criminali informatici utilizzano nuove tecniche dannose negli attacchi ransomware. Crittografano solo alcune parti dei file e impiegano tecniche fileless durante l'implementazione del ransomware, al fine di eludere il rilevamento per un periodo di tempo più lungo. Per costringere la vittima a pagare il riscatto, gli hacker prendono di mira anche il backup delle aziende. Dopo essersi introdotti nella rete della vittima, i criminali vendono l'accesso ad altri gruppi di ransomware: l'anno scorso sono apparsi più di 1.300 annunci sui principali forum di criminalità informatica.

veeam

Crittografia intermittente: un nuovo metodo di attacco

Una volta infiltratisi nella rete aziendale, i criminali devono rubare e crittografare quanti più dati possibile prima di essere individuati dalle protezioni del sistema. Tuttavia, la crittografia dei dati richiede tempo e più a lungo un aggressore rimane in una rete, più alte sono le probabilità che venga individuato. Per questo motivo utilizzano una nuova tecnica di crittografia intermittente. I criminali criptano solo piccole parti di dati, porzioni sufficientemente piccole per mantenere basso l'utilizzo della CPU ed eludere il rilevamento, ma che possono comunque rendere un file inutilizzabile da un'organizzazione senza la chiave di decrittazione. Per guadagnare più tempo, variano le ore del giorno in cui sono attivi e la quantità di dati crittografati, in modo da eludere gli strumenti di rilevamento automatico. Allo stesso tempo, i criminali possono criptare i dati più velocemente, facendo maggiore pressione sulla vittima affinché paghi il riscatto.

Per aumentare l'efficacia e rendere più difficile la reazione delle aziende, i criminali utilizzano anche tre o quattro diverse catene di attacchi contemporaneamente: phishing, spam, spoofing e altri meccanismi di social engineering. Un altro modo per eludere il rilevamento è quello di utilizzare tecniche fileless, che prevedono l'infezione dei dispositivi con il ransomware senza inserire alcun file, utilizzando solo strumenti legittimi e pubblicamente disponibili. Questo è il modo in cui spesso operano gli aggressori avanzati degli Stati nazionali: gli hacker possono sfuggire se evitano di utilizzare nomi di processi o hash di file che sono stati segnalati dal team IT come non sicuri.

La doppia estorsione sta guadagnando popolarità

Il crimine informatico è diventato un servizio. Gli hacker attaccano le vittime degli altri: coloro che si introducono per primi nella rete di un'azienda, poi vendono l'accesso al sistema e ai dati ad altri gruppi di ransomware, mentre questi si concentrano sull'estorsione. Secondo KELA, più di 1.300 offerte di questo tipo sono apparse sui principali forum di criminalità informatica monitorati nel 2021. Dopo un attacco riuscito, molti criminali informatici non solo criptano, ma rubano e distruggono anche i dati e i relativi backup disponibili online o non adeguatamente protetti. Questo elimina la capacità di recupero delle aziende e aumenta la pressione a pagare il riscatto. Questi attacchi sono spesso rivolti ai servizi finanziari, alla sanità e al settore pubblico, dove un attacco ransomware può avere un impatto sulle infrastrutture critiche.

La protezione tradizionale della cybersecurity è ancora la più efficace

I metodi di protezione tradizionali, ma spesso trascurati, sono ancora la soluzione migliore, come l'aggiornamento regolare e il patching di applicazioni e sistemi. Questo riduce il rischio di attacchi riusciti: l'80% degli aggressori cerca sistemi mainstream con vulnerabilità note. L'educazione informatica all'interno dell'organizzazione è altrettanto importante. Ogni utente deve essere in grado di riconoscere i metodi di attacco tipici, sapere come reagire e chi deve informare dell'incidente.

Il backup sta diventando un bersaglio comune per i criminali, ecco perché è particolarmente importante verificare le strategie di backup delle aziende per proteggere correttamente i dati. Secondo il Veeam Data Protection Trends Report 2022, fino a 9 aziende su 10 non sono in grado di recuperare almeno una parte dei dati rubati. È necessario disporre di almeno tre copie dei dati importanti, su almeno due tipi di supporti diversi, di cui almeno una off-site e una offline, con zero backup non verificati o che si completano con errori.

Anche un piano di disaster recovery è fondamentale. Può essere utile simulare un attacco, in modo che le aziende possano esercitarsi sulle fasi previste dallo scenario di un incidente di cybersicurezza. La pratica è l'unico modo per identificare le potenziali lacune del piano, familiarizzare tutti i dipendenti con i loro ruoli e con la tecnologia che potrebbero dover utilizzare. Inoltre, garantirà uno scenario di risposta informatica ad alto stress.