Crescono i ransomware remoti ovvero quelli che nei loro attacchi sfruttano la crittografia remota. Anche secondo l’ultimo rapporto Clusit, i ransomware rappresentano la cyber minaccia con la resa superiore per gli aggressori.
Per mitigare il rischio “è fondamentale seguire una serie di misure preventive”, commenta Martina Fonzo, Threat Intelligence Analyst di Swascan. Ma deve essere “una strategia di sicurezza che operi su diversi livelli“, conferma Riccardo Paglia, Head of Sales, IT & COO di Swascan. Ecco come proteggersi.
Dal Digital Defense Report 2023 di Microsoft emerge che negli ultimi dodici mesi, circa il 60% degli attacchi ransomware sferrati dai cyber criminali ha sfruttato la crittografia remota al fine di minimizzare le proprie tracce.
Supera l’80% la quota di tutte le compromissioni, sotto la lente di Microsoft, provenienti da dispositivi non gestiti. Inclusi i dispositivi personali usati a fini aziendali. E quando i criminal hacker utilizzano falle di software non comuni, la cyber difesa diventa più complicata.
La crittografia remota (o ransomware remoto) richiede che gli endpoint compromessi aiutino a “cifrare i dati su altri dispositivi della stessa rete”, spiega Giampiero Petrosi, Regional Vice President Sales Engineering Southern Europe di Rubrik.
“L’obiettivo iniziale è spesso un dispositivo non gestito ovvero che ha accesso alla rete dell’organizzazione”, continua Petrosi, “ma non dispone di una protezione endpoint di livello aziendale”.
Le modalità di lavoro da ogni luogo, nel corso degli ultimi anni, hanno purtroppo reso popolare il ransomware remoto. Il motivo è l’aumento dei dispositivi non gestiti connessi alle reti aziendali.
“Poiché la crittografia ed altre attività dannose avvengono su macchine già compromesse”, prosegue Giampiero Petrosi, “questi attacchi sono in grado di aggirare le misure di sicurezza“.
In generale, dunque, è il processo di sistema ad effettuare la crittografia. Perciò non funzionano le attività di remediation che si basano sui processi. Inoltre, poiché gli attacchi sono ad alto tasso di scalabilità, è sufficiente un solo endpoint vulnerabile per mettere a rischio l’intera rete. Ecco come mitigare il rischio.
Per difendersi dal pericolo derivante dai ransomware remoti, occorre implementare una serie di misure preventive. Bisogna eevisionare la sicurezza degli endpoint e le politiche relative ai dispositivi non gestiti, per assicurare che siano abbastanza protetti.
“Più numerosi sono i dispositivi non protetti o protetti male, maggiore è il rischio di ransomware remoto”, avverte Giampiero Petrosi, secondo cui “nessun approccio sarà efficace al 100% e basta un solo dispositivo compromesso affinché un attacco di questo tipo abbia successo”.
Innanzitutto, bisogna “assicurarsi di mantenere costantemente aggiornati tutti i dispositivi e software con le patch di sicurezza più recenti, riducendo così le vulnerabilità esposte agli attaccanti”, sottolinea Martina Fonzo: è necessario “configurare e mantenere firewall e filtri di rete avanzati é utile per controllare il traffico in entrata e in uscita, impedendo l’accesso non autorizzato e rilevando attività sospette”.
Inoltre, é importante “stabilire policy Bring Your Own Device (BYOD) chiare che includano requisiti di sicurezza per l’uso dei dispositivi personali sul luogo di lavoro, educando gli utenti sulle best practice specifiche per l’uso sicuro dei loro dispositivi”, mette in guardia la Threat Intelligence Analyst di Swascan.
Infine, “la pianificazione e l’esecuzione regolare di backup completi dei dati critici su ambienti sicuri e isolati rappresenta un’importante linea di difesa”, conclude Martina Fonzo: occorre “sensibilizzare gli utenti sulle best practice di sicurezza informatica, come evitare di fare clic su link o allegati sospetti, riduce ulteriormente il rischio di compromissione”.
La strategia di sicurezza deve dunque operare su diversi livelli. “Certamente gli interventi tecnici sull’infrastruttura devono essere valutati periodicamente”, evidenzia Riccardo Paglia, “ma si tratterebbe comunque di un approccio che porterebbe risultati in tempi lunghi e con grandi investimenti”.
“Strategicamente dobbiamo avere una visione più ampia e basata su quattro componenti fondamentali: monitoraggio dell’infrastruttura, formazione degli utenti, politiche di protezione dei dati, backup resilienti e solidi”, spiega l’Head of Sales, IT & COO di Swascan. Vediamoli nei dettagli.
Il monitoraggio dell’infrastruttura è uno dei quattro pilastri di una strategia efficace. “È essenziale avere un sistema di monitoraggio continuo che controlli tutte le attività sulla rete”, sottolinea Riccardo Paglia: “Questo permette di rilevare comportamenti anomali o potenziali minacce in tempo reale. Un sistema di monitoraggio efficiente aiuta a identificare i tentativi di attacco prima che possano causare danni significativi, facilitando una rapida risposta per mitigare gli impatti”.
Al secondo posto è la formazione degli utenti. “I dipendenti spesso rappresentano il primo punto di ingresso per gli attacchi di ransomware”, avverte Paglia: “La formazione degli utenti è quindi vitale per educarli sui rischi di sicurezza, le migliori pratiche e come riconoscere i tentativi di phishing o altre tattiche usate dagli attaccanti. Un programma di formazione continuo assicura che gli utenti siano aggiornati sulle ultime minacce e su come prevenirle”.
Inoltree servono politiche di protezione dei dati. Infatti “stabilire e mantenere politiche rigorose per la gestione e la protezione dei dati è fondamentale”, ricorda Paglia: “Queste politiche dovrebbero includere chi può accedere a quali dati, come e quando i dati possono essere trasferiti o condivisi e le misure di protezione necessarie per salvaguardare le informazioni sensibili. Questo include anche il controllo degli accessi e la cifratura dei dati”.
Occorrono infine backup efficaci. “Mantenere backup regolari e sicuri dei dati è essenziale per la capacità di un’organizzazione di riprendersi da un attacco di ransomware. Questi backup devono essere tenuti separati dalla rete principale per evitare che siano criptati durante un attacco. È importante anche assicurarsi che i backup siano facilmente recuperabili, testando regolarmente la loro efficacia nel ripristinare i sistemi e i dati”, conclude Riccardo Paglia.