Le 3 fasi di un attacco ransomware e come proteggersi. I consigli di Ivanti

Il ransomware è una delle minacce più insidiose, soprattutto quando mirato contro le aziende, dal momento che rischia di bloccare l'accesso alle informazioni fondamentali per portare avanti il business. Sono molti i casi in cui non ci si può permettere un fermo dei sistemi anche solo di poche ore, pensiamo per esempio a una struttura sanitaria, come un ospedale, dove essere l'impossibilità di accedere ai dati ha pesanti ricadute sui pazienti. 

Questo spiega anche come mai i cybercriminali privilegino questa tipologia di attacchi: sanno che in molti casi le vittime, soprattutto se bersagli di alto profilo, sono disposte a pagare pur di poter decifrare il prima possibile i dati "bloccati". Cedere alla minaccia non è la scelta migliore per vari motivi: da un lato, si finanziano attività criminali, dall'altro non si ha la certezza che gli attaccanti restituiscano il maltolto. Peggio ancora, gli attaccanti potrebbero tenere una copia delle informazioni e alzare ulteriormente la posta, chiedendo ulteriore denaro per non pubblicarle online.

Chris Goettl, Director of Product Management for Security Products di Ivanti, azienda specializzata in soluzioni di cybersecurity, ha fatto il punto della situazione, analizzando le 3 fasi che caratterizzano un attacco ransomware e indicando le azioni da intraprendere a ciascuna di esse per garantire la sicurezza dei sistemi aziendali

Le prima fase di un attacco ransomware: la contaminazione

Per cifrare i dati di un'organizzazione, un attaccante deve prima trovare il modo di eludere le difese messe in atto dalle aziende e, come ben sappiamo il phishing è la strada più battuta, soprattutto nell'ultimo anno, durante il quale i dipendenti lavorano da casa, fuori dal perimetro di sicurezza aziendale, e rappresentano un punto debole nella catena di difesa. Questa però non è l'unica strategia adottata: a volte per entrare nella rete aziendale i criminali sfruttano vulnerabilità note e ancora non patchate dagli amministratori, oppure ottengono l'accesso tramite sistemi di credential stuffing, usando combinazioni di login e password sottratte da qualche database e diffuse online sul dark web. 

"Al fine di prevenire le contaminazioni, la cosa migliore che un'organizzazione può fare è garantire il rispetto delle policy di base in materia di sicurezza informatica. È a questo punto che entrano in gioco la gestione continua delle vulnerabilità e l’aggiornamento puntuale delle patch, per impedire agli aggressori di accedere alla rete attraverso una vulnerabilità nota" - spiega Goettl. "La formazione costante ai temi di sicurezza informatica è la chiave per garantire che i dipendenti neghino l'accesso all’hacker, servendosi di un’e-mail sospetta o un link per il download. Sul fronte dell’IT e della sicurezza, i team devono monitorare attentamente le varie applicazioni, mantenere la gestione dei privilegi di accesso e implementare l'autenticazione a due fattori per impedire l’intrusione di criminali informatici".

Attacco ransomware fase 2: l'estrazione dei dati

Se l'attaccante riesce a eludere le difese esterne, il passo successivo è quello di andare alla ricerca delle informazioni sensibili, quelle per cui l'azienda colpita sarebbe disposta a pagare. Un'operazione non facile quanto sembra, perché il rischio di essere scoperti è elevato, e proprio per questo motivo gli attori malevoli sfruttano i dispositivi o le app considerate "sicure" dal sistema, così da proseguire la loro attività indisturbati. 

Qui entrano in gioco i sistemi EDR (Endpoint Detection and Response) e l'approccio zero trust. I primi andrebbero installati su tutti gli endpoint, così da poter individuare rapidamente azioni sospette. Da soli però gli EDR rischiano di non essere efficaci ed è per questo che Ivanti suggerisce di affiancare a queste contromisure un approccio di tipo zero trust (nessuna fiducia, letteralmente), dove non esistono dispositivi o utenze considerati affidabili, nemmeno quelle degli amministratori. Questo permette di scovare azioni sospette anche quando queste sono riconducibili a un'utenza considerata al di sopra di ogni sospetto, come quella di un admin, ma violata dall'attaccante. Con zero trust  "nessun utente o dispositivo è considerato affidabile e deve essere costantemente autorizzato prima di poter accedere ad una rete, impedendo così ai cyber-criminali di sfruttare gli account privilegiati. L'EDR ha il compito di individuare gli attori della minaccia, ma può essere contrastato da un astuto avversario che ha compromesso precedentemente le credenziali ed è in grado di muoversi come un utente di cui ci si fida e con strumenti che ci si aspetta", prosegue Goettl. "Mentre gli hacker si spostano continuamente, Zero Trust Access Control costringe l’hacker a dover intraprendere dei passaggi che consentono ai difensori di individuare meglio le attività dannose. Insieme, ZTA ed EDR rappresentano una combinazione sicura, poiché il primo approccio aumenta la possibilità al secondo di rilevare le attività dannose".

L'ultima fase di un ransomware: la cifratura

Se l'attaccante è arrivato a questo punto, superando anche gli EDR, c'è poco da fare, oltre a bloccare i sistemi, impedendo ai dipendenti di lavorare, certo, ma anche agli intrusi di fare ulteriori danni. Le aziende con una buona politica di backup potranno ripristinare i sistemi più velocemente, riducendo i tempi di down dei sistemi, limitando quindi i danni. Agire presto è fondamentale, dato che evita di dover ripristinare tutto, concentrandosi solo sui pochi dati cifrati prima che intervenissero le contromisure. 

"Sono disponibili nuove soluzioni che consentono di osservare gli schemi di attacco, come fa l'EDR, rispetto all’analisi dei dati stessi. Non serve individuare uno schema se i file vengono monitorati con puntualità e, in questo caso, una barriera per le attività di encription può essere l’unico elemento che consente alle aziende di comprendere se sono sotto attacco", continua Goettl. "È ancora presto, ma ci sono alcune soluzioni in arrivo sul mercato che si concentrano su questo approccio da "ultima linea di difesa", per isolare i dati molto più velocemente e ridurre la quantità di ripristino dati necessaria per tornare operativi". Goettl conclude infine sottolineando che "adottando un approccio di difesa specifico, che include la gestione completa delle patch, la formazione dei dipendenti, la gestione dei privilegi di accesso e la gestione continua delle vulnerabilità, un attacco non dovrebbe essere in grado di oltrepassare le difese esterne di un'azienda".