Il tema della cybersecurity è sempre stato all’ordine del giorno per gli esperti del settore. Dopo la situazione della pandemia iniziata nel 2020 che ha dato una grossa spinta a quello che ora conosciamo come “Smart Working”, mese dopo mese, in qualsiasi piattaforma leggevamo le notizie del giorno si parlava appunto della sicurezza informatica e dei danni che stavano facendo i ransomware a diverse delle più grandi aziende anche del territorio italiano. Anche se in quest’ultimo anno se ne sente parlare di meno di questo argomento non significa che la situazione è stata risolta e non bisogna più preoccuparsi, anzi Kaspersky, l’azienda di sicurezza informatica e digital privacy, nel suo ultimo report ha fatto sapere che gli attacchi ransomware mirati a determinate persone o in particolar modo ad aziende sono raddoppiati in confronto al 2021.
Se siete nuovi del settore, una rapida infarinatura riassunta il più possibile per comprendere al meglio la notizia e senza entrare nel dettaglio tecnico (che faremo in un altro articolo) è che il ransomware consiste in un software di estorsione in grado di bloccare il computer e di chiedere un riscatto in cambio della liberazione. Detto questo, nell’ultimo report di Kaspersky è venuto fuori che gli attacchi ransomware non sono assolutamente spariti, anzi in confronto al 2021, anno nel quale gli attacchi ransomware mirati erano dello 0,016% sul totale di attacchi ransomware effettuati, nel 2022 la percentuale di attacchi mirati è salita al 0,026%.
Perchè sono importanti questi dati?
Questi dati sono essenziali nell’aspetto generale della sicurezza informatica perchè dimostrano come una delle tipologie di attacchi più letali attualmente conosciuti, quella dei ransomware, si sta allargando a vista d’occhio e il piccolo ma rilevante dettaglio che ad aumentare sono stati proprio gli attacchi ransomware mirati dimostra come i gruppi di ransomware stanno affinando le loro tecniche e riescono a creare prodotti migliori così da portare a segno gli attacchi selezionando direttamente le vittime per essere più efficaci e raggiungere facilmente l’obiettivo preposto anzichè mietere vittime casuali nelle varie ondate di attacchi ransomware che spesso risultano poco profique. Quando un attacco è mirato significa che la vittima è stata presa di mira per motivi precisi, perciò si conosce il territorio di attacco, i dettagli della vittima, le risorse a disposizione della vittima e si colpisce nel segno sapendo cosa si può ricevere in cambio e cosa nò, evitando così di perdere tempo in vittime di piccolo calibro.
Come si stanno evolvendo i ransomware?
L’evoluzione dei gruppi ransomware la possiamo vedere nelle tecniche più raffinate ed efficaci che stanno mettendo a punto. Una delle varianti più popolari, innovative ed in rapido sviluppo che viene utilizzata da molti criminali informatici ed ha un’efficienza elevata è la variante Lockbit, la quale sta mettendo in difficoltà gli specialisti della cybersecurity per le nuove opzioni che vengono introdotte in questo ransomware come la pratica del dumping delle credenziali. Questa nuova pratica consiste che chi esegue l’attacco riesce a prendere il controllo del dominio del computer infetto e creare una named pipe per reimpostare le credenziali del sistema operativo. Lockbit però è una variante presente nel “mercato” da molto tempo anche se anno dopo anno cambia la sua tecnica e il suo scheletro, quello che hanno rilevato i ricercatori di Kaspersky è che solo nel 2022 le nuove varianti di ransomware sono circa 21.400
La variante più recente scoperta da Kaspersky si chiama “Play“, un ransomware altamente offuscato che rende più difficile l’analisi e dunque capire come agisce l’attaccante e le sue potenzialità. Il suo codice al momento non somiglia a nessun campione di altri attacchi ransomware, l’unica cosa che condivide con altri ransomware sofisticati di alto livello è il potenziale dettaglio riguardante la funzione di “auto-propagazione”. Questa funzione è molto pericolosa perchè, dopo che gli attaccanti riescono a completare l’attacco stabilendo la connessione su un server message block (SMB), il ransomware Play tenta di montare l’SMB attaccato così da distribuire ed eseguire il ransomware Play in tutto il sistema remoto connesso all’SMB.
“Gli sviluppatori di ransomware tengono d’occhio il lavoro dei concorrenti. Se uno di loro implementa con successo una determinata funzionalità, è molto probabile che anche altri lo facciano. Questo rende il loro ransomware più interessante per i loro affiliati. L’auto propagazione del ransomware ne è un chiaro esempio. Sempre più gruppi di ransomware adottano tecniche inventive che rendono gli attacchi ransomware ancora più mirati e distruttivi – e le statistiche di quest’anno lo dimostrano. Un’altra cosa che non smetteremo mai di ricordare al pubblico è la necessità di effettuare backup regolari e di conservarli offline”
Jornt van der Wiel, Security Expert di Kaspersky.
Infine, Kaspersky vuole ricordare pochi semplici ed efficaci consigli per proteggersi dagli attacchi ransomware di qualsiasi tipo:
- Non esporre i servizi di remote desktop (come RDP) alle reti pubbliche se non è assolutamente necessario e utilizzare sempre password forti per questi servizi.
- Installare tempestivamente le patch disponibili per le soluzioni VPN commerciali che forniscono accesso ai dipendenti remoti e fungono da gateway nella rete.
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati verso Internet. Prestare particolare attenzione al traffico in uscita per individuare le connessioni dei criminali informatici.
- Eseguire regolarmente il backup dei dati. Verificare che sia possibile accedervi rapidamente in caso di emergenza.
- Utilizzare soluzioni come Kaspersky Endpoint Detection and Response Expert e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi finali.
- Utilizzare le informazioni più recenti di Threat Intelligence per essere sempre al corrente delle attuali TTP utilizzate dagli attori delle minacce. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI di Kaspersky, che fornisce dati e approfondimenti sui cyberattacchi raccolti dal nostro team da 25 anni. Per aiutare le aziende a mettere in atto difese efficaci in questi tempi turbolenti, Kaspersky ha annunciato l’accesso gratuito a informazioni indipendenti, continuamente aggiornate e di provenienza globale sui cyberattacchi e sulle minacce in corso. È possibile richiedere l’accesso all’offerta al
seguente link.