Lo studio “Global Security Insights” realizzato da Vmware ascoltando a fine 2020 3.542 responsabili informatici (Cio, Ciso e Cto) di imprese operanti in 14 Paesi, l’81% delle aziende ha subìto lo scorso anno almeno un attacco cyber.
Particolarmente rilevante l’aumento (+900%) del numero di ransomware verificatosi nel primo semestre, in occasione dei momenti più drammatici della pandemia. “Durante la pandemia, i cyber criminali hanno capitalizzato sulle proprie attività, sfruttando le vulnerabilità causate dal rapido incremento della forza lavoro distribuita e dall’uso di dispositivi personali e reti da parte dei lavoratori da remoto”, ha commentato Rodolfo Rotondo, principal business solution strategist per la regione Emea di Vmware. “Gli aggressori hanno oggi un’opportunità senza precedenti di indirizzare i propri attacchi di social engineering, come il phishing ad esempio, verso una moltitudine di lavoratori ignari”.
Tutti i settori sono nel mirino, anche se l’industria sanitari è stata tra le più bersagliate dai ransomware nel 2020, come dimostrano i casi di Ryuk (una ransomware che ha colpito centinaia di ospedali negli Stati Uniti) e il più recente attacco ai sistemi informatici del servizio sanitario nazionale irlandese. Una violazione su cinque è stata causata da ransomware. Nello stesso modo in cui DarkSide ha attaccato un’infrastruttura critica nazionale, i gruppi ransomware hanno cercato di speculare sulle organizzazioni sanitarie, spesso più propense a pagare un riscatto a causa della criticità delle loro attività.
Le nuove tattiche di attacco rendono il ransomware una minaccia molto più sofisticata e difficile da rilevare. Con il metodo della doppia estorsione, invece di bloccare immediatamente i sistemi, gli aggressori mirano a infiltrarsi senza essere individuati e a stabilire una presenza nella rete target, estraendo dati che possono essere monetizzati anche nel momento in cui non venga pagato alcun riscatto. La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione.
Queste tecniche concedono ai cyber criminali una maggiore presa e controllo sulle vittime. Oltre alla necessità di decriptare i propri sistemi, per le organizzazioni si pone anche il rischio che risorse critiche come i dati dei clienti o i segreti commerciali vengano diffusi illecitamente per la vendita sul dark web e che la violazione venga resa pubblica.
Spesso la richiesta di riscatto viene soddisfatta e oltre al danno c’è la beffa: è sempre possibile che l’aggressore si ripresenti in futuro con un nuovo attacco, anche perché sa che quell’azienda è disposta a pagare. La comunità dei criminali informatici sta sfruttando questo approccio decisamente redditizio, e circa il 40% dei professionisti della sicurezza afferma che il ransomware a doppia estorsione è la nuova tecnica di attacco ransomware del 2020.
Per proteggersi Vmware suggerisce una strategia fatta di cinque elementi: fornire controlli degli endpoint e della rete come servizio distribuito, per limitare i rischi dello smart working; condurre regolarmente attività di ricerca delle minacce; cercare di ottenere una buona visibilità sugli endpoint e sui carichi di lavoro; eseguire continui monitoraggi dei sistemi e comprendere tutte le possibili “vie di rientro”, per evitare un ritorno dei medesimi aggressori; scegliere un partner di sicurezza affidabile, che offra anche azioni di risposta agli incidenti, remediation e analisi a posteriori.