Veeam spiega la nuova tecnica di attacco ransomware


25 Febbraio 2023

Una delle minacce informatiche più pericolose e che sta avendo maggiore successo in questi anni a livello mondiali sono gli attacchi ransomware, ovvero spiegato in poche parole, quell’attacco che ha l’obiettivo di criptare la maggior parte dei file presenti all’interno del dispositivo vittima e renderli inaccessibili fino a che non viene pagato un riscatto. Abbiamo approfondito l’argomento relativo anche ai più recenti attacchi ransomware nei nostri precedenti articoli, questa tipologia di minaccia informatica essendo in continua evoluzione ha una percentuale di successo più alta in confronto alle altre minacce presenti nel web. Rick Vanover, Senior Director of Product Strategy di Veeam ha spiegato il funzionamento della nuova tecnica di attacco ransomware, la crittografia parziale dei dati.

Il nuovo metodo di crittografia intermittente

Una volta che il malintenzionato si infiltra nella rete aziendale, il suo compito è quello di rubare e crittografare più dati possibili prima di essere individuato dai software di protezione del sistema che lo bloccherebbero. Però la crittografia dei dati è un processo lungo e per crittografare un elevato numero di dati è necessario che il criminale informatico rimanga nella rete per lunghi periodi aumentando la possibilità di essere individuato. La nuova tecnica di crittografia intermittente a cui fa riferimento Veeam permette di criptare solo piccole parti di dati, magari alternando le ore di attività nell’arco della giornata, così che il lavoro su quelle piccole porzioni di file non fa aumentare in modo sproporzionato l’utilizzo della CPU così da non far insospettire nessuna protezione ma allo stesso tempo rendono gli interi file inutilizzabili a meno che non si possiede la chiave di decrittazione. Per aumentare l’efficacia e rendere più difficile la reazione delle aziende, i criminali utilizzano anche tre o quattro diverse catene di attacchi contemporaneamente: phishing, spam, spoofing e altri meccanismi di social engineering. Un altro modo per eludere il rilevamento è quello di utilizzare tecniche fileless, che prevedono l’infezione dei dispositivi con il ransomware senza inserire alcun file, utilizzando solo strumenti legittimi e pubblicamente disponibili. Questo è il modo in cui spesso operano gli aggressori avanzati degli Stati nazionali: gli hacker possono sfuggire se evitano di utilizzare nomi di processi o hash di file che sono stati segnalati dal team IT come non sicuri.

Il business dietro questi nuovi attacchi

Questo tipo di crimini informatici sta iniziando a diventare un servizio molto richiesto nei forum di criminalità informatica. Gli hacker che riescono a penetrare in un sistema vendono l’accesso ad altri gruppi di ransomware che a loro volta si dedicano a criptare i dati e a procedere con l’estorsione tramite pagamento per fornire la chiave di decrittazione. Per aumentarne la possibilità di ricevere il pagamento, molti gruppi ransomware quando riescono a portare a segno l’attacco, pensano anche a distruggere i dati e i relativi backup online e che non sono protetti, così che le aziende si trovano ancor più in difficoltà per ripristinare il sistema. Secondo KELA più di 1.300 offerte di questo genere sono richieste nei principali forum dei cybercriminali.

Come proteggersi da questo tipo di attacchi informatici

Innanzitutto per evitare di cadere in queste trappole informatiche sofisticate come possono essere i ransomware, Veeam consiglia una conoscenza base della cybersecurity da parte di tutti i dipendenti di un’azienda, la conoscenza e la prevenzione sono un ottimo strumento per ridurre la possibilità di successo di un attacco. I metodi di protezione tradizionali rimangono lo strumento migliore per mantenere un sistema sicuro, ovvero aggiornare regolarmente le applicazioni e i sistemi che si utilizzano, andando così a ridurre l’80% le possibilità di essere presi di mira visto che gli aggressori utilizzano spesso vulnerabilità note perchè più facili da sfruttare. Il backup può essere un altro strumento efficace per risolvere situazioni difficili ma questo deve essere fatto in modo preciso e accurato, è necessario disporre di almeno tre copie di backup distribuite su almeno due supporti diversi, necessariamente una off-site e una offline. Anche un piano di disaster recovery è fondamentale. Può essere utile simulare un attacco, in modo che le aziende possano esercitarsi sulle fasi previste dallo scenario di un incidente di cybersicurezza. La pratica è l’unico modo per identificare le potenziali lacune del piano, familiarizzare tutti i dipendenti con i loro ruoli e con la tecnologia che potrebbero dover utilizzare. Inoltre, garantirà uno scenario di risposta informatica ad alto stress.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *