Categorie
News

Ransomware nel 2022: minacce in evoluzione

Gli esperti affermano che le tendenze del mercato finanziario, assicurativo e informatico stanno plasmando il panorama dei ransomware nel 2022.

Pare essere lievemente diminuito il numero di attacchi ransomware nel 2022. Gli esperti affermano però che a preoccupare non è solo il numero ma il progresso delle metodologie di attacco.

Il boom del ransomware nell’ultimo decennio ha avuto molti colpi di scena, dalle ormai onnipresenti tecniche di doppia estorsione agli attacchi contro infrastrutture critiche. Ha fatto anche da campanello d’allarme per le organizzazioni senza un’adeguata security posture.

Nel rapporto Sophos sullo stato del ransomware per il 2022, sono state riportate interviste a 5.600 professionisti IT di piccole, medie e grandi organizzazioni in merito al ransomware, con oltre 900 dettagli condivisi riguardanti pagamenti dei riscatti effettuati.

Il 66% delle organizzazioni intervistate è stato colpito da ransomware l’anno scorso, rispetto al 37% nel 2020. Anche i pagamenti dei riscatti sono stati più alti, in parte perché le aziende attaccate sono più grandi. Ma anche le PMI pagano spesso i riscatti.

Ci sono anche dei miglioramenti, il costo medio di recovery a seguito di un attacco è sceso da $ 1,85 milioni a $ 1,4 milioni.

Ci sono due motivi fondamentali: il primo è che la diffusione a macchia d’olio del ransomware ha ridotto il danno reputazionale subito da una vittima. Il secondo, i fornitori di sicurezza informatica sono in grado di guidare le vittime al meglio attraverso un attacco.

Come dicevamo all’inizio dell’articolo si è registrato un sensibile calo degli attacchi ransomware effettuati e dichiarati. Ma gli esperti di cyber security dicono che c’è di più nel quadro completo oltre al numero degli attacchi.

Alcune delle tendenze osservate includono nuove tecniche utilizzate dai cyber criminali, la crescente influenza che hanno le tecniche di monitoraggio sui cambiamenti delle modalità di attacco e un crescente progresso dei disaster recovery plans.

L’evoluzione delle minacce

Il ransomware, esiste da decenni, in effetti sin dagli albori dell’Internet dei consumatori. Tradizionalmente è stato definito come un attore di minacce che utilizza malware per crittografare i file sul computer di una vittima; la vittima quindi pagherebbe un riscatto per decrittografare i propri file.

Il ransomware è cambiato in modo significativo negli ultimi anni. Anche se questi attacchi classici si verificano ancora, gli attacchi ransomware aziendali standard ora implicano tecniche di doppia estorsione, in cui i cyber criminali crittografano i dati delle vittime ed estraggono detti dati con l’intento di divulgarli pubblicamente se la vittima non paga.

Le tecniche di doppia estorsione sono diventate la norma, ma non sono affatto le uniche vie utilizzate. Ad esempio, una tendenza emergente riguarda il furto di dati senza effettivamente crittografare i file della vittima – data extraction o extortionware.

Questa tendenza dipende dal massivo utilizzo degli immutable backup. Dal momento che le aziende si riprendono molto più velocemente potendo ripristinare i sistemi dagli ultimi backup, la criminalità informatica si sta concentrando maggiormente sul rubare quanti più dati possibili. L’obiettivo è rivendere i dati, minacciare di rendere pubbliche le falle di sicurezza chiedendo un riscatto per tenere il segreto evitando ingenti multe all’azienda vittima.

Un vantaggio di questo stile di attacco è che limita il pericolo per le organizzazioni critiche, come gli ospedali, di dover interrompere le proprie operazioni.

I dati possono essere un potente strumento per convincere le vittime a pagare un riscatto, in combinazione con la crittografia o meno. Ad esempio, uno studio di psicoterapia finlandese ha subito un furto di cartelle cliniche nel 2018 che in seguito ha portato i pazienti a essere minacciati direttamente.

Quando la crittografia è ancora la minaccia maggiore?

In altri casi, la crittografia può essere l’arma più efficace per ottenere un riscatto. Ad esempio, gli ambienti industriali utilizzano la tecnologia operativa connessa a Internet (OT) e i sistemi di controllo industriale (ICS) cadono spesso preda di malware. Gli attacchi ICS/OT sono particolarmente brutali, perché la configurazione degli asset informatici comprende la costante comunicazione con gli asset critici, cuore dei processi industriali, quindi in questo caso l’attacco porta al blocco delle attività.

Comincia ad emergere anche la tecnica della tripla estorsione. In questi attacchi, i criminali informatici crittografano i dati, rubano dati e minacciano attacchi DDoS contro l’organizzazione vittima.

Un argomento caldo: l’assicurazione informatica

L’assicurazione informatica è un argomento controverso all’interno della comunità InfoSec. La controversia non nasce perché le organizzazioni non dovrebbero essere protette finanziariamente nelle crisi informatiche, ma piuttosto dal fatto che le organizzazioni considerino l’assicurazione informatica in sostituzione dell’implementazione di pratiche di sicurezza olistiche.

Secondo un sondaggio di Sophos, la maggior parte delle organizzazioni non si aspettavano attacchi durante l’anno. Ma la parte preoccupante è stata la risposta al perché si sentissero immuni da attacchi: No, non ce lo aspettiamo perché abbiamo un’assicurazione informatica.

Ovviamente, possiamo capire quanto questo costituisca un pericolo per l’azienda e per le assicurazioni che se ne fanno carico!

Avere un piano di risposta informatica dettagliato è di fondamentale importanza. Questo, ora, lo sanno anche le compagnie assicurative che pretendono che alcuni parametri di sicurezza siano rispettati per rilasciare polizze sul fronte informatico.

Secondo il rapporto sul ransomware citato in precedenza, le assicurazioni informatiche spesso non riescono a coprire totalmente le perdite (98% dei casi).

Inoltre, il 94% degli intervistati ha affermato che la propria esperienza nell’ottenere una copertura assicurativa è cambiata nell’ultimo anno, proprio per le crescenti richieste di vedere rispettati i paramentri di sicurezza e di adesione ai GDPR. Inoltre, il 97% ha affermato di aver apportato modifiche alle proprie difese informatiche per posizionarsi meglio sul mercato ed avere una migliore copertura assicurativa, mentre il 52% ha apportato modifiche ai processi, il 64% ha implementato nuove tecnologie o servizi e il 56% ha aumentato la formazione dei dipendenti.

Henderson di X-Force ha affermato “Una cosa in cui penso che negli ultimi tempi stiamo migliorando è la comprensione che l’assicurazione informatica non è un piano di risposta agli incidenti. […] L’assicurazione informatica è una buona cosa per molte organizzazioni. Può aiutare a proteggersi dall’inevitabile, ma non è un piano di risposta”.

Progressi e margini di miglioramento

Alcuni evidenti miglioramenti riguardano la trasparenza dopo un attacco informatico.

Marc Rogers, direttore esecutivo della sicurezza informatica di Okta afferma: “Penso che ci sia un desiderio molto più forte di essere trasparenti . Sono passati circa tre decenni ormai, e quando ho iniziato era inaudito per un’azienda parlare [di essere stata colpita da un attacco informatico]. Ora, direi che è normale che le aziende ne parlino. La sfida arriva a quanto ne parlano. Cosa dicono? Cosa significa trasparenza? E penso che il dibattito sia ancora aperto. Ma penso che la tendenza sia quella di essere più trasparenti”.

Rogers, che è anche un membro della Ransomware Task Force istituita lo scorso anno negli Stati Uniti, ritiene anche cha stia migliorando la comunicazione tra pubblico e privato.

“Noi, il settore privato, siamo più vicini al governo. Le porte sono aperte in modo da poter comunicare […] e dall’altra parte sono in ascolto e stanno cercando ulteriori indicazioni su cosa fare”, ha detto. “Se guardiamo ad alcuni audit su varie vulnerabilità importanti come Log4j, al settore privato è stata data una voce molto forte in termini di come il governo dovrebbe gestirli e prevenirli. E l’implementazione è seguita abbastanza rapidamente .”

All’RSAC 2022, la direttrice della Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly si è fatta promotrice della collaborazione tra settori e agenzie governative.

Inoltre, è emerso che spesso anche dopo un attacco confrontando gli audit di un’azienda a distanza di un anno la situazione è la medesima, la security posture non è migliorata.

John Hendley, capo della strategia di IBM X-Force, che ha partecipato alla stessa intervista con Dwyer e Henderson, ha affermato di essere incoraggiato dalle organizzazioni che prendono più seriamente la sicurezza informatica attiva. Tuttavia, ha osservato le organizzazioni spesso non attuano le raccomandazioni ricevute dai team di cyber security.

“Diciamo che entriamo in un’organizzazione e troviamo un sacco di problemi ad alto o critico rischio. Fai di nuovo quel test un anno dopo e c’è una discreta possibilità che molti di questi problemi siano ancora lì”, dice Hendley. “Purtroppo, vediamo molte organizzazioni avere difficoltà ad implementare i necessari strumenti di sicurezza”.

scopri i nostri servizi:

Security Architect Operations Center: Threat Intelligence Services
Blog

Security Architect Operations Center: Threat Intelligence Services

Osservando le statistiche, può sembrare che le aziende siano destinate a perdere sempre la battaglia per la sicurezza informatica. Secondo l'FBI, il costo della criminalità informatica negli Stati Uniti è stato di 3,5...
Leggi tutto
Dark Web Monitoring: il nostro SOC in Puglia
Blog

Dark Web Monitoring: il nostro SOC in Puglia

https://youtu.be/DPtow_YMMVE Dark Web Monitoring Service Che cos'è il monitoraggio del Dark Web? Il dark web monitoring è una ricerca attiva e costante in quella parte nascosta e profonda del web. Cosa cerchiamo? Informazioni....
Leggi tutto
Stress da rientro? I 3 consigli per costruire il tuo security framework
Blog

Stress da rientro? I 3 consigli per costruire il tuo security framework

Per fronteggiare il ritorno al lavoro è necessario organizzarsi e ri-costruire anche le sane abitudini in fatto di sicurezza informatica. Ecco qualche consiglio per ripartire al meglio dopo le vacanze. Cobalt, Lazarus, MageCart,...
Leggi tutto
Estate: è tempo di andare in vacanza in sicurezza!
Blog

Estate: è tempo di andare in vacanza in sicurezza!

I black hat non pianificano le vacanze come noi Cyber security in estate, perché parlarne? Le vacanze estive sono attese con impazienza dai criminali informatici, purtroppo per ragioni diverse dalle nostre: per prendere...
Leggi tutto

News Letter

Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.