Attacchi ransomware - il tempo è il fattore critico

Il tempo è il fattore critico: cosa le aziende devono ancora capire degli attacchi ransomware

A cura di Rick Vanover, Senior Director of Product Strategy, Veeam Software

Negli ultimi anni il ransomware ha dominato la conversazione sulla sicurezza. Ma, nonostante ciò, molte persone e organizzazioni non capiscono ancora come si svolgono questi attacchi.

Gli attacchi ransomware non avvengono in maniera istantanea: non si tratta di un link dannoso che scatena immediatamente un blocco. Al contrario, gli attacchi possono durare anni, dalle osservazioni iniziali, alle violazioni, fino alla richiesta del riscatto. Ad esempio, secondo quanto riferito, Clop potrebbe aver messo a punto il suo exploit MOVEit già nel 2021. Quindi, qual è la tempistica di un attacco ransomware e perché le aziende devono comprenderla per migliorare la loro resilienza al ransomware?

Comprendere la tempistica dell'attacco

Il fatto di ritenere che gli attacchi ransomware avvengano all’improvviso è un  un malinteso comune. I criminali informatici spesso si prendono  il loro tempo, percorrendo la strada panoramica della vostra azienda e imparando a conoscerla a fondo.

La fase del riscatto è l'unica parte visibile del processo. È il momento in cui gli aggressori annunciano la loro presenza, ma, come evidenziato dalle indagini sull'hack di MOVEIt di quest'anno (il più grande hack del 2023 finora), possono trascorrere anni dietro le quinte. Quindi, cosa accade nel periodo che precede la richiesta di riscatto?

In primo luogo, gli aggressori iniziano con una fase di osservazione. Questo tempo viene impiegato per raccogliere il maggior numero di informazioni possibili sull'organizzazione bersaglio, comprese le persone, i processi e la tecnologia. Questa fase può durare mesi. Dopo aver raccolto informazioni sufficienti, i criminali informatici passano a infiltrarsi nel sistema dell'obiettivo, ottenendo l'accesso attraverso un attacco preliminare, di solito un'e-mail di phishing.

Una volta entrati, gli aggressori si accampano all'interno dell'infrastruttura IT dell'organizzazione, creando una base operativa da cui possono ampliare il perimetro d’azione e compiere movimenti laterali. È in questa fase che vengono prodotti i danni più significativi, potendo agire inosservati e potendo compromettere  obiettivi di alto valore. Il tempo gioca a loro favore, potendo prendersi tutto il tempo necessario per fare il maggior numero di mosse possibili per ottenere il massimo guadagno.

Lo step successivo è  compromettere il ripristino. Ciò comporta l'alterazione delle routine di backup, della documentazione e dei sistemi di sicurezza per ridurre o inibire completamente le capacità di ripristino. In questo modo, quando ancora l'organizzazione non si è accorta dell'attacco, è già troppo tardi per ricorrere al backup. A questo punto si passa al livello successivo: la richiesta di riscatto. Oltre ad annunciare la loro presenza e ad avanzare richieste, in questa fase finale i criminali informatici criptano i dati della vittima e cancellano tutti i record e i backup. L'intero processo potrebbe svolgersi nell'arco di un anno o addirittura di più anni.

Rendere il backup a prova di proiettile 

La scoperta che attori malintenzionati possono abitare i vostri sistemi in modo invisibile per un anno o più, senza che voi ve ne accorgiate, può essere scoraggiante per le aziende. Ma è una nozione cruciale e dovrebbe creare un senso di urgenza nell'implementazione di una solida strategia di sicurezza dei dati. Ogni minuto che la vostra azienda passa senza che questa sia stata messa in atto è un minuto in più in cui i criminali informatici possono svolgere il lavoro che in seguito causerà molti danni. Quindi, forti di questa consapevolezza, quali sono i passi che le aziende devono compiere? La preoccupazione maggiore è l'utilizzabilità dei backup per avviare il ripristino dopo un attacco. Supponiamo che il vostro sistema sia stato violato un anno fa a vostra insaputa. In questo caso, è molto probabile che i vostri backup siano compromessi, il che significa che quando cercherete di ripristinare i vostri dati utilizzerete un backup compromesso. Fortunatamente, questa eventualità può essere evitata con una preparazione adeguata e la giusta strategia di backup.

Subire un attacco ransomware è quasi inevitabile per le aziende moderne: l'85% delle organizzazioni ha subito almeno un attacco informatico nel 2022, quasi il 10% in più rispetto all'anno precedente. Inoltre, poiché i criminali informatici prendono sempre più di mira i backup, la strada per il ripristino può essere più lunga che mai.

Pensare agli attacchi ransomware in termini di "quando", non di "se", significa riconoscere che sarà necessario utilizzare il backup per ripristinare i dati critici quando arriverà il momento. La consapevolezza di ciò dovrebbe spingere le aziende a investire tempo e risorse per garantire che i loro backup siano a prova di attacco.

Questo è possibile seguendo la regola d'oro del backup: 3-2-1-1-0:tre copie dei dati memorizzati su due supporti diversi, una conservata fuori sede e una offline, air-gapped e immutabile. In tutte queste copie, gli errori devono essere pari a zero. Partendo dal presupposto che i criminali informatici prenderanno di mira il vostro backup, è necessario mettere in atto precauzioni per conservare almeno una copia intatta da utilizzare per il ripristino. È come tenere il denaro in banca e fare copie dei documenti essenziali nel caso in cui la casa venga violata: i ladri prenderanno di mira la vostra cassaforte; quindi, conservare gli oggetti di valore “fuori sede” e fare copie garantisce maggiore tranquillità.

L'implementazione di una strategia di backup 3-2-1-1-0 non è una iniziativa che si compie solo una volta. È necessario monitorare e testare costantemente i backup, verificando la presenza di errori e pulendo i dati secondo le necessità. I criminali informatici contano sul fatto che le aziende non lo facciano: voi potete essere un passo avanti rimanendo rigorosi nella vostra strategia di gestione dei dati.

Controllare il caos

Il ransomware è un disastro e il ripristino richiede tempo. Secondo l'ultimo Veeam Ransomware Trends Report, la maggior parte delle aziende impiega almeno tre settimane per riprendersi da un attacco ransomware. È importante notare che questo tempo di recupero inizia dopo che l'azienda ha effettuato il triage. Questa fase investigativa può essere molto estesa e il suo impatto sulle tempistiche di recupero è difficile da prevedere e valutare. In questa fase, l'azienda deve identificare la fonte dell'attacco e l'entità del danno, e potrebbe anche imbattersi nei tempi lunghi della burocrazia, se gli enti governativi dovessero guidare l'indagine.

Durante questo periodo, l'azienda è ancora compromessa. Nel peggiore dei casi, mentre la violazione viene indagata e risolta, potrebbe essere costretta a cessare completamente l'attività. Questo comporta danni in termini di profitto se l'azienda non è operativa. E peggio ancora, i costi aumentano vertiginosamente, poiché il recupero da un attacco su larga scala richiede molte risorse, con i dipartimenti IT e i principali stakeholder che lavorano 24 ore su 24; inoltre, bisogna tenere conto delle spese legali e dei costi di risarcimento, oltre che dei danni alla reputazione.

È difficile prevedere quanto tempo richiederà un processo di recupero perché il ransomware è un disastro con una differenza. Supponiamo di dover avviare un ripristino dopo un disastro naturale come un incendio. In questo caso, è possibile affidarsi senza problemi agli ultimi backup o repliche e utilizzarli per iniziare immediatamente il ripristino, sapendo con sicurezza che i backup non sono stati alterati. Non è questo il caso di un disastro informatico, che allunga notevolmente i tempi di ripristino. Ci vuole tempo per identificare i server infetti e per determinare se anche i backup e le repliche sono stati colpiti (se lo sono, possono reintrodurre il ransomware nella vostra infrastruttura, riportandovi al punto di partenza).