Il Rapporto Clusit 2023 sostiene che la minaccia ransomware continua a crescere “per sofisticatezza e aggressività”. Nonostante gli attacchi ransomware siano un argomento di attualità da più di un decennio, si assiste a una progressiva evoluzione delle TTP (tecniche, tattiche e procedure) finalizzata a rendere sempre attuale la minaccia, al punto che – sempre secondo il Clusit – in soli 6 mesi sono stati identificati 10 mila nuovi ceppi ransomware unici, che corrispondono al doppio di quelli rilevati nel periodo precedente.
Gli attacchi ransomware evolvono, dunque. Non solo a livello tecnico e tattico, ma anche come accezione: se un tempo il ransomware si concretizzava nella cifratura dei dati della vittima, oggi l’unico elemento comune agli attacchi è il fine estorsivo, poiché essi possono essere indirizzati a compromettere il dato, a renderlo pubblico o, anche peggio, a modificarlo, creando danni irreparabili alle aziende che si basano su di esso per prendere decisioni strategiche e operative. Considerando che la stragrande maggioranza delle organizzazioni ha intrapreso il percorso data-driven, tutto ciò può compromettere anni di lavoro.
Gli attacchi ransomware evolvono verso il cloud
Gli attacchi ransomware sono un’opportunità per i threat actor solo se vengono aggiornati per riflettere i nuovi paradigmi aziendali di gestione dei dati e dei sistemi, che da più di un decennio fanno rima con cloud. Tutte le aziende utilizzano, quanto meno in forma parziale e limitata, risorse cloud, siano esse pubbliche o private: sopravvivono on-premises molti processi critici di settori fortemente regolati (healthcare, pharma, finance…), ma si può affermare che una qualche forma di cloud migration sia stata ormai intrapresa dalla stragrande maggioranza dei player economici, indipendentemente dalla loro dimensione.
Soprattutto nell’era della pandemia, molte imprese hanno trasferito i propri asset digitali e le operation in ambienti di cloud computing, così da preservare la continuità del business e approfittare di tutte le altre promesse del cloud: flessibilità, agilità, scalabilità pressoché illimitata e resilienza, solo per citarne alcune. I cyber criminali, dal canto loro, hanno adeguato le tecniche di attacco per colpire le risorse cloud, attuando poi le stesse dinamiche estorsive poste in essere sugli ambienti on-premises.
Le metodologie sono diverse. Semplificando, in molti casi il vettore di attacco resta la classica e-mail di phishing con tanto di allegato o link a un piccolo eseguibile che installa il malware e compromette il dispositivo. Da qui, il malware si propaga in rete, identifica i servizi di sincronizzazione (file sync) con il cloud e permette ai malintenzionati di accedervi e di operare sui repository e sui dati aziendali. Altra possibilità è accedere direttamente al cloud attraverso il furto delle credenziali (molteplici metodi, con o senza social engineering) oppure, ipotesi più complessa ma percorribile, è quella di attaccare direttamente il cloud provider sfruttando le sue vulnerabilità, cosa che peraltro mette in luce il tema della responsabilità condivisa.
Attacchi ransomware: impara a difenderti
A prescindere dalla metodologia e dalla tecnica di attacco, come ci si difende dai ransomware nell’era del cloud? Sembrerà banale, ma per prima cosa occorre affidarsi a un cloud provider che fornisca sufficienti garanzie di sicurezza della propria infrastruttura a fronte di un progressivo incremento delle minacce interne ed esterne. Hanno particolare rilevanza, sotto questo profilo, gli operatori che offrono sia servizi di infrastruttura, sia specifici servizi di cyber security (meglio se integrati tra di loro).
Dal punto di vista dell’azienda, difendersi dagli attacchi ransomware è un tema complesso che va affrontato con un approccio sistemico che va oltre le misure tecniche di sicurezza. Non a caso, si è detto che spesso l’attacco parte con l’e-mail di phishing o con un furto di credenziali basato su social engineering: l’azienda deve sì disporre di strumenti che blocchino le minacce identificando comportamenti sospetti, ma per prima cosa deve prevenirle, e un percorso di security awareness è propedeutico a questo risultato.
Dopo di che si entra nel mare magnum delle soluzioni di sicurezza, che devono lavorare in modo sinergico garantendo ai professionisti un equilibrio perfetto tra protezione e produttività. È qui che si inizia a parlare di backup costanti, di crittografia, di information rights management, di multi-factor authentication, di architettura zero trust, di e-mail security, di protezione degli endpoint (fattore critico in era di lavoro ibrido e sempre più distribuito), di air gap tra i dispositivi e il cloud, di patching delle vulnerabilità e di servizi specifici come il monitoraggio di tutta l’infrastruttura da parte di strutture dedicate come i SOC. L’importante, è che tutto questo sia non solo governato da mani esperte, ma che risponda a una specifica strategia di sicurezza volta a tutelare l’azienda sia oggi che domani, posto che le minacce cyber evolvono a ritmo quotidiano. Solo così, si potrà considerare davvero gestibile la minaccia degli attacchi ransomware.