Tab Magazine

Tecnologie per assicurazioni e banche

Ransomware, si è fatto in quattro per colpire di più

19 Luglio 2021

Secondo Gastone Nencini, country manager di Trend Micro Italia, questi attacchi saranno tra i protagonisti negativi di questa estate. Aggiungendo nuovi rischi a quello tradizionale di blocco dei dati

 

Estate 2021, estate del crimine informatico. A definirla così è, in una nota, Gastone Nencini, country manager di Trend Micro Italia. Che avverte: tra i protagonisti di questa offensiva dei ciberdelinquenti ci saranno gli attacchi ransomware. Una tecnica che oggi, dice Nencini, “sfrutta un’ampia gamma di strumenti e tattiche per navigare nell’infrastruttura aziendale e trovare i “gioielli della corona”.
Spesso, il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono state corrette”. Uno degli ultimi attacchi a livello globale ha infatti utilizzato punti deboli già conosciuti del software Kaseya, oltre a vulnerabilità 0-Day“.

Dati bloccati. E non solo

Gli attacchi ransomware ultimamente si sono anche trasformati, aggiungendo nuovi, inquietanti, pericoli alla “semplice” (si fa per dire) perdita dei dati – fenomeno che, da solo, ha provocato la chiusura di molte aziende.
Alle tecniche tradizionali, in cui il malware crittografa i file chiedendo poi un riscatto con pagamento in bitcoin, se ne sono infatti affiancare altre. Come l’esfiltrazione di dati, dove la vittima che non paga rischia di vedere le proprie informazioni rese pubbliche (“Maze”, ricorda Nencini, è stato il primo caso documentato ma altri gruppi cibercriminali hanno seguito l’esempio, come visto di recente nell’attacco a Colonial Pipeline”).
L’estorsione può essere anche triplice (oltre a quelle già citate, anche la “minaccia di un attacco DdoS”, con “Avaddon primo caso documentato”) o addirittura quadruplice (che prevede un “invio diretto di e-mail alla base clienti della vittima”, con “Cl0p primo caso documentato, come descritto da Brian Krebs”.

 

Dati bloccati. E non solo

In questa situazione, il semplice backup non basta più. “Esistono alcune azioni”, suggerisce Nencini, “che dovrebbero essere attivate rapidamente come parte delle migliori pratiche di sicurezza dell’organizzazione, per mitigare il rischio portato dagli attacchi”
La prima è “abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate, che impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento, come l’attacco Kaseya”.
Poi “mantenere un solido piano di gestione delle patch, che protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili (quelle virtuali  possono anche coprire il periodo fino a quando la patch ufficiale non è disponibile o applicata)”.
Importante anche, prosegue Nencini, “utilizzare l’autenticazione a più fattori o a due fattori per gli account amministrativi critici, in particolare nei sistemi pubblici, che rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l’accesso al sistema”.
Infine, conclude il country manager di Trend Micro Italia, “praticare la regola di backup 3-2-1”. Cioè: “se si verifica un attacco ransomware di successo, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia air gap posizionata fuori sede: ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file”.
Queste, avverte Nencini, “non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi”.

Alberto Mazza

Show Buttons
Hide Buttons