Ostaggi e riscatti nell’era di Internet – Perché i dati delle aziende sono sempre più esposti a ransomware

Il 2023 è stato un anno record per il business dei ransomware, che ha sfondato la soglia del miliardo di dollari in riscatti aumentando circa dell’80% il numero di attacchi rispetto al 2022. A che cosa è dovuta questa tendenza?

In questo articolo vi forniremo una visione generale del settore e di come sia diventato facile mettere in atto un’offensiva, seguendo con alcuni suggerimenti per prevenire questo tipo di attacchi.

Come funziona un attacco ransomware?

Per prima cosa, l’attaccante invia una e-mail con allegati malevoli a degli indirizzi aziendali, con l’obiettivo di farle aprire da un dipendente dell’azienda da un PC connesso alla rete interna. In caso di apertura dell’allegato, il ransomware viene scaricato ed eseguito sul dispositivo. La rete interna viene infettata, cifrando i dati e rendendoli inaccessibili dall’azienda. La chiave per decifrarli viene poi trasmessa all’attaccante.
Ha inizio quindi la fase più delicata: l’attaccante contratta con l’azienda per stabilire un riscatto. Se il riscatto viene pagato, la chiave per decifrare i dati viene fornita all’azienda. Si spera.

E perché sono aumentati così tanto gli attacchi ransomware?

Scomponiamo il piano d’azione in tre passaggi: infiltrazione, infezione, contrattazione.

Come potrete immaginare, dal punto di vista tecnico i primi due sono i più complicati; richiedono rispettivamente la capacità di trovare un punto di accesso e di scrivere codice ransomware in grado di portare a termine l’attacco con successo. Solo hacker competenti, quindi, sarebbero in grado di sferrare un’offensiva quindi, giusto? No, non è così.

Serve un punto di accesso? Basta rivolgersi a un Initial Access Broker, personalità specializzate nell’infiltrarsi all’interno di aziende per rivendere vie d’ingresso.

Serve un software che porti a termine l’attacco? Basta rivolgersi a una “banda” RaaS (Ransomware-as-a-Service), che vende il proprio codice ransomware già completo.

Una volta sistemati questi due punti, non resta che contattare l’azienda per chiedere il riscatto.

La soglia tecnica per sfruttare un attacco del genere è più bassa che mai e il continuo aumento delle offensive è dovuto proprio alla loro semplicità.

Cosa può fare un’azienda per proteggersi dai ransomware?

La prima cosa che consigliamo di fare è Penetration Test periodici per verificare che non ci siano superfici d’attacco esposte, ed effettuare campagne di sensibilizzazione su phishing e altre pratiche di raggiro. Combinando queste due tecniche di prevenzione vengono coperte debolezze sia lato software sia lato umano.

Suggeriamo, inoltre, di avere pronta una Ransomware Policy che descriva la posizione dell’azienda in caso di attacco avvenuto. Pagare o non pagare? Ci sono vari fattori da tenere in considerazione come costi, impatto sul business, impatto sulla reputazione, conseguenze legali ecc. Avere una policy pronta può aiutare il management a essere pronto e reattivo nel prendere decisioni in situazioni d’emergenza.

Conclusioni

In sintesi, negli ultimi anni si è registrato un aumento considerevole del numero di attacchi ransomware nel mondo, dovuto alla crescente semplicità nel portarli a termine con successo. In uno scenario del genere, è necessario che le aziende siano preparate il più possibile, adottando le giuste precauzioni.

Aziende come Betrusted, che offrono servizi come Penetration Test e campagne di sensibilizzazione, possono dare una mano a riguardo.