Nel corso degli ultimi anni, il ransomware ha ricevuto una significativa rilevanza mediatica. I criminali informatici, spinti dalla sete di profitto, hanno preso di mira un’ampia gamma di organizzazioni, istituzioni e industrie, influenzando praticamente ogni aspetto della vita quotidiana e causando notevoli perdite finanziarie e danni alla reputazione.
Secondo il rapporto «IT Security Economics» di Kaspersky, più del 40% delle aziende ha subito almeno un attacco ransomware nel corso del 2022. Questo dato sottolinea l’ampia portata e l’impatto significativo che i ransomware hanno avuto sulle organizzazioni durante quell’anno. Nonostante gli sforzi di contrasto, questi gruppi continuano a sviluppare nuove tecniche sempre più sofisticate ed efficienti, talvolta adottando anche caratteristiche delle precedenti bande di ransomware che hanno cessato la loro attività.
Il processo di messa in sicurezza delle informazioni prevede un rafforzamento continuamente strutturato in più fasi. Per combattere efficacemente questa minaccia, è fondamentale comprendere le fasi di prevenzione, rilevamento e risposta degli attacchi ransomware. Ogni fase richiede strategie e attività che si basano l’una sull’altra. Qualsiasi modifica apportata a una delle fasi si ripercuoterà sulla successiva e quindi su tutto il processo. Ad esempio, le modifiche proattive apportate nella fase di prevenzione influenzeranno anche le attività di rilevamento e risposta.
Un aspetto cruciale nella prevenzione del ransomware è garantire che i dipendenti siano ben informati sulle pratiche di sicurezza informatica, conducendo sessioni di formazione per aumentare la consapevolezza riguardo i possibili vettori di attacco dei criminali informatici. Ma anche l’aggiornamento e il patching regolare di tutti i sistemi, delle applicazioni e del firmware aiutano a ridurre al minimo l’impatto di un attacco.
Altre pratiche di prevenzione possono essere la limitazione dei privilegi amministrativi, la concessione agli utenti solo dei permessi necessari a svolgere le attività di competenza e l’utilizzo di backup offline o basati su cloud. Infine, l’implementazione dell’autenticazione a più fattori in tutti i sistemi e le applicazioni aumenta i livelli di sicurezza complessivi. La sicurezza al 100% non esiste e sappiamo bene che nonostante gli sforzi, possono verificarsi situazioni in cui non si riesce a prevenire un attacco a mezzo ransomware. Per questo motivo è fondamentale disporre di misure come il monitoraggio e il rilevamento di attività anomale mediante specifici strumenti di sicurezza, al fine di agire tempestivamente a una potenziale minaccia.
Avere la capacità di isolare i sistemi infetti ed evitare, quindi, un’ulteriore diffusione, da modo di intervenire rapidamente in caso di rilevamento di un attacco informatico, contrastando efficacemente la minaccia del ransomware qualora avesse eluso le misure di prevenzione.
Dobbiamo ricordare che l’avversario non è quello che spesso il mondo cinematografico ci propone, cioè singoli soggetti che operano da un garage o da uno scantinato, ma da vere e proprie aziende illegali con la propria gerarchia aziendale, salari, bonus e premi per i propri dipendenti. È stato possibile analizzare queste dinamiche interne dopo la pubblicazione dei dati trafugati al collettivo ransomware Conti, ne abbiamo ampiamente parlato nel nostro libro “Il ransomware nell’economia del cybercrime: analisi d’intelligence sul gruppo Conti”.
Possiamo quindi trovarci di fronte a situazioni in cui le misure di prevenzione e rilevamento messe in atto non siano state sufficienti e il ransomware sia riuscito a cifrare i dati sistemi e/o dati nella nostra infrastruttura. In questo caso è essenziale avere un piano di risposta e di recupero ben definito, aggiornato costantemente e che delinei le misure e le procedure da adottare.
Come accennato in precedenza sarà importante attuare tutte le misure di contenimento a nostra disposizione, come l’isolamento dei sistemi infetti, per ridurre al minimo la propagazione del ransomware. Una volta neutralizzato e isolato, bisognerà avviare il processo di ripristino dei sistemi e dei dati dai backup precedentemente predisposti.
Per concludere, bisognerà condurre un’analisi approfondita per identificare le vulnerabilità sfruttate e individuare dove migliorare le misure di sicurezza. In parallelo a quanto detto è importante non tralasciare la comunicazione, sia verso l’interno dell’organizzazione che verso l’esterno, per garantire una rapida segnalazione verso gli organismi competenti. L’adozione di una strategia di difesa completa, che comprenda le fasi di prevenzione, rilevamento e risposta con misure di sicurezza multilivello è fondamentale per proteggere i sistemi e i dati da questa crescente minaccia informatica.
Seguire le raccomandazioni e linee guida prodotte dal NIST e l’ENISA è essenziale per garantire la sicurezza informatica e la corretta gestione dei sistemi informativi. Ma anche comitati per la normazione ISO e ISACA svolgono un importante lavoro di ricerca, divulgazione e sviluppo di metodologie efficaci in questo campo. È importante dare la giusta attenzione a questi organismi e alle loro pubblicazioni, in quanto forniscono strumenti e conoscenze fondamentali per affrontare le sfide della sicurezza informatica e garantire una gestione efficace. Rimanere vigili e preparati rimane una priorità fondamentale.
Autori: Marco Di Costanzo Security Researcher presso l’ICS CERT di Kaspersky,
Camilla Salini Cyber Threat Intelligence Analyst all’Eni,
Giuseppe Brando Head of Cyber Threat Analysis & Research all’Eni
