L’ondata di attacchi ransomware che colpiscono i backup (ransomware encryption, così sono chiamati) espone le aziende ad un elevato rischio di perdita di miliardi di dati, anche e soprattutto quelli memorizzati nei backup che servirebbero alle organizzazioni per ripartire in fretta in caso di malware, incidenti, attacchi o downtime.
Il più “famoso” di questi ransomware si chiama CryptoLocker (trojan comparso nel tardo 2013, perfezionato poi nel maggio 2017) anche se, dal 2017 ad oggi, i ransomware encryption sono stati perfezionati dai cybercriminali e, come accennato, mirano ad attaccare i NAS – Network Attached Storage e, in generale, i sistemi di backup per limitare le possibilità di recovery alle aziende e aumentare la probabilità di ricevere denaro – come riscatto – per la decriptazione dei file, delle cartelle e dei dati oggetto di attacco.
Secondo alcune recenti analisi, solo negli ultimi mesi del 2019 il numero di modifiche nuove relative agli encryption ransomware è cresciuto di oltre il 150%, segnando poi un nuovo +130% solo a marzo 2020. E al di là della spaventosa crescita in termini numerici, ciò che più risulta allarmante è la natura pericolosa di questi ransomware.
Si tratta di malware molto dannosi perché vanno a colpire sistemi e dispositivi che tecnologicamente sono sempre stati considerati sicuri, motivo per cui spesso le aziende si trovano impreparate ed espongono quasi inconsapevolmente la propria organizzazione a nuovi rischi.
Questi tipi di ransomware sfruttano metodi di crittografia molto avanzati in modo da rendere praticamente indecifrabili i file, le cartelle ed i dati colpiti che possono essere decriptati solo attraverso una chiave univoca (che i cyber criminali promettono di far avere a fronte del pagamento di un riscatto, spesso richiesto in bitcoin o altre cryptomonete per “non lasciare traccia”, o per lo meno per rendere irrintracciabile l’hacker).
Ransomware: come si propagano quelli di tipo “encryption”
Solitamente gli attacchi ransomware sfruttano due principali vettori per propagarsi:
- Phishing, quindi invii di e-mail che contengono un allegato (può sembrare un rischio di poco valore, in realtà oggi gli attacchi phishing sono sempre più sofisticati e spesso le e-mail sono scritte in modo “perfetto”, tali da trarre in inganno anche gli utenti più attenti);
- kit di exploit presenti su siti online.
I ransomware encryption, però, sfruttano un altro sistema di attacco (che li rende ancora più pericolosi): si sfruttano sistemi di analisi avanzati che monitorano intervalli di indirizzi IP “a caccia” di dispositivi NAS e sistemi di backup via web. Le interfacce web dei sistemi di backup sono nella stragrande maggioranza dei casi ben protette con sistemi di autenticazione, controllo identità e accessi, ecc., tuttavia può capitare che sui sistemi di backup siano presenti software con qualche vulnerabilità… ed è proprio ciò che serve ai cybercriminali per installare dei Trojan con i quali criptare tutti i file ed i dati presenti sul dispositivo di backup.
La recente cronaca dimostra che gli attacchi non accennano a diminuire
Secondo l’ultimo rapporto 2020 del Clusit, i malware rappresentano ormai da anni le principali minacce per aziende ed organizzazioni sia private sia pubbliche; quasi la metà di tutti i malware in circolazione è determinata proprio dai ransomware (erano un quarto nel 2018, dato inequivocabile che dimostra come stanno evolvendo le tipologie di minacce e la loro distribuzione).
A confermare il quadro tracciato nel rapporto 2020 del Clusit sulla sicurezza ICT in Italia, ci sono purtroppo le recentissime notizie di cronaca. Enel e Honda sono state colpite ad inizio giugno 2020 dal ransomware Ekans – anagramma di Snake, è un ransomware specializzato per colpire i sistemi di controllo industriale (ICS) – dopo che il ransomware aveva già colpito la grande catena di ospedali europea Fresenius.
Poche settimane dopo è arrivata la notizia di un attacco a Geox, di cui ancora non si conoscono i dettagli tecnici ma si sa che si è trattato di un ransomware che ha bloccato l’azienda per ben 48 ore.
Stando agli analisti di settore, un attacco malware di questa gravità costa alle organizzazioni aziendali, in media, 4 milioni di Euro (cifra stimata facendo la media degli attacchi solo nel 2019). Cifre pazzesche che fanno capire quanto sia importante l’investimento in sicurezza informatica e, guardando alla storia dei ransomware encryption, quanto il backup debba essere affrontato con una visione ed una strategia di cybersecurity molto più ampia con un’analisi continua delle potenziali vulnerabilità ed un approccio alla gestione e alla mitigazione dei rischi… onde evitare che un piccolo problema, risolvibile con il restore da backup, diventi invece un disastro.
