L'evoluzione del ransomware raccontata da VMware: le tattiche a doppia estorsione

Il ransomware è ormai la forma di attacco informatico che più spaventa i CISO (Chief Security Information Officer). Con l'inizio della pandemia, questo tipo di attacchi ha visto una crescita impressionante, addirittura del 900% secondo la VMware Threat Analysis Unit. Quello che preoccupa maggiormente, però, è l'evoluzione delle tecniche. Se nel 2018/2019 gli attaccanti si "limitavano" a cifrare i dati delle vittime, scelte fondamentalmente a caso, nel tempo i criminali informatici hanno iniziato a concentrare l'attenzione su bersagli di elevato profilo (industria e istituti sanitari in primis), modificando anche il loro approccio.

Ransomware: la tattica a doppia estorsione 

Se i primi attacchi ransomware facevano leva sui punti deboli delle infrastrutture delle vittime per cifrare i dati, oggi la situazione è ben più complessa. "Invece di bloccare immediatamente i sistemi, gli aggressori mirano a infiltrarsi senza essere individuati e a stabilire una presenza nella rete target, muovendosi lateralmente ed estraendo dati che possono essere monetizzati anche nel momento in cui non venga pagato alcun riscatto. La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione", spiega Rodolfo Rotondo, Principal Business Solution Strategist di VMware EMEA.

La differenza è notevole: prima i criminali si limitavano a rendere inaccessibili i dati, e in tal caso una valida politica di backup e disaster recovery poteva ridurre al minimo danni e disservizio. Ora non è più così semplice, dato che il problema principale non è ottenere l'accesso ai dati, ma evitare che queste informazioni - spesso sensibili dal punto di vista della privacy e che possono includere anche segreti commerciali - siano diffuse al pubblico, causando un enorme danno alle vittime, sia economico, sia di reputazione.

Questo tipo di attacchi tra l'altro non rappresenta una piccola percentuale del ransomware: il 40% dei professionisti della sicurezza afferma che il ransomware a doppia estorsione è la nuova tecnica di attacco ransomware del 2020.

Il caso Colonial Pipeline è un esempio perfetto: quando l'azienda è stata colpita da un ransomware, è stata costretta a bloccare i sistemi per verificare sino a dove si erano spinti gli attaccanti. Al contrario di quanto si pensava inizialmente, infatti, gli hacker non hanno sabotato i sistemi relativi alla distribuzione, ma nell'incertezza Colonial Pipeline ha preferito "spegnere" i sistemi e approfondire. Il rischio che gli attaccanti avessero accesso a sistemi critici e potessero scatenare un disastro ambientale non poteva essere escluso. 

Proteggersi dal ransomware: i consigli di VMware

Rotondo offre alcuni spunti per le aziende su come potenziare le proprie difese da questo tipo di attacchi, suggerendo di dare priorità alla visibilità - sia sugli endpoint sia suoi carichi di lavoro - così da poter gestire meglio il rischio,  di gestire la sicurezza come servizio distribuito, così da proteggere tutte le risorse, indipendentemente da dove si trovino fisicamente.

Ma bisogna anche essere proattivi, conducendo regolarmente analisi e ricerche per accertarsi dell'assenza di minacce nascoste, così da bloccarne prima che possano manifestarsi. In tal caso, non bisogna però farsi prendere dalla fretta e bloccare un attacco sull'incipit, ancora prima di avere informazioni sufficienti "bisogna sempre supporre che l'avversario abbia a disposizione più mezzi per accedere all'ambiente che vuole colpire. È quindi buona prassi osservare, bloccando il malware o terminando i sistemi solo quando si è completamente sicuri di comprendere tutte le possibili vie di rientro dello stesso", sottolinea Rotondo.