La crescita del Ransomware-as-a-Service
-
- Tweet
- Pin It
- Condividi per email
-
Qual è il futuro del ransomware e cosa possono fare le aziende per difendersi?
I professionisti della sicurezza si pongono queste domande con sempre maggiore frequenza da quando questo tipo di attacco malware è emerso per la prima volta circa 15 anni fa. Il problema è che ogni volta che le domande vengono poste, la risposta è differente
L’evoluzione del ransomware è stata così rapida che riuscire a difendersi può essere una sfida. Quello che è iniziato come un semplice attacco ai dati, criptando i file critici per l’azienda per estorcere qualche centinaio di dollari è diventato una sfida potenzialmente letale. Oggi, gli aggressori, dopo aver colpito anche aziende più grandi, hanno ben chiara la disperazione delle loro vittime e le richieste di riscatto hanno iniziato a salire, passando rapidamente da centinaia a migliaia e infine a milioni di euro.
L’ultima tendenza è rappresentata dalla doppia estorsione, in cui gli aggressori minacciano di pubblicare i dati per aumentare la pressione sulle vittime; o addirittura dalla tripla estorsione, quando gli aggressori contattano direttamente i clienti o i fornitori della vittima minacciando di esporre i loro dati. Questo è il problema del ransomware: ogni volta che si pensa di aver visto l’ultima novità, i criminali informatici escono con qualcosa di nuovo.
Ma l’innovazione più importante di tutte è avvenuta dietro le quinte e riguarda il modello di business del ransomware. I gruppi criminali hanno capito che potevano commercializzare i loro sistemi malware trasformando il ransomware in un servizio, creando così il ransomware-as-a-service (RaaS).
La genialità di questo non sta nel rendere il ransomware più sofisticato o efficace – obiettivi che sono stati già raggiunti molto tempo fa – ma più accessibile. Improvvisamente, il ransomware è diventato un servizio come qualsiasi altro e i criminali che non hanno la capacità tecnica di progettare il proprio malware possono ottenere gli stessi vantaggi noleggiando le competenze,
Anche se gli attacchi tradizionali e il ransomware spesso condividono molti dei vettori di attacco iniziali, è il loro impatto che li distingue. Gli attacchi tradizionali di esfiltrazione si traducono per lo più in perdite secondarie: danni alla reputazione, sanzioni amministrative o controversie legali, il ransomware, al contrario, si traduce in perdite primarie, come per esempio l’interruzione del business. Ora questa democratizzazione alza il profilo di rischio del ransomware di un altro livello, aumentando anche la componente di frequenza del rischio. Gli attacchi di alto profilo da parte di gruppi specializzati come REvil, Conti e BlackMatter riscuotono spesso l’attenzione dei media e dell’opinione pubblica, ma i numerosi gruppi meno noti che hanno adottato un approccio RaaS potrebbero finire per fare più danni ancora. Per la maggior parte delle organizzazioni, gli attacchi di tipo RaaS rappresentano oggi la minaccia primaria.
Come difendersi?
Il numero di attacchi riusciti ha mostrato in modo inequivocabile che le difese tradizionali come la sicurezza degli endpoint e della rete possono fornire un grado di protezione accettabile, ma non sufficiente. Questo rimane vero anche quando molti prodotti vengono definiti esplicitamente anti-ransomware, e nonostante gli investimenti record destinati in generale alla cybersecurity.
La crisi di fiducia generata dagli attacchi ha guidato il mercato della cyber-assicurazione, che è emerso quasi dal nulla intorno al 2013, diventando oggi un settore in piena espansione. Sotto molti aspetti l’effetto dell’assicurazione è controverso: alcuni sostengono che questo rende le organizzazioni più propense a pagare riscatti nella consapevolezza che alcuni o tutti questi costi saranno coperti dalla loro polizza. Se gli aggressori hanno tenuto conto di questa disponibilità a pagare, allora è plausibile che l’assicurazione del ransomware stia peggiorando le cose nel lungo periodo. Inoltre, il ruolo dell’assicurazione è per eventi ad alto impatto e bassa frequenza, e come discusso la crescita di RaaS e i titoli dei giornali hanno dimostrato che il ransomware sta rapidamente diventando un evento ad alto impatto e alta frequenza.
C’è già una pressione da parte, per esempio, dei legislatori statunitensi per rendere illegali i pagamenti dei riscatti.
Il messaggio per le organizzazioni preoccupate per il ransomware è di non credere alla pubblicità. Potete mettere la parola anti davanti alla parola ransomware tutte le volte che volete, ma ciò che salva le organizzazioni non è una determinata tecnologia “magica”, ma la qualità della loro valutazione interna, la resilienza informatica organizzativa, il recupero e la risposta agli incidenti.
È necessaria una risposta integrata
Ci sono aziende che dispongono anche di 130 diversi strumenti di sicurezza. A quel punto, ciò che conta non è quanto ciascuno di questi sia valido a rilevare il ransomware, ma quanto siano ben orchestrati tra loro e automatizzati come un intero sistema. Per le organizzazioni, framework come MITRE D3FEND (per gli strumenti difensivi) e ATT&CK (per le tecniche e le procedure degli strumenti di minaccia, o TTP) sono di grande aiuto quando si tratta di valutare la sicurezza dei fornitori e di abbinare le minacce alle difese.
Componente fondamentale della resilienza e della risposta è il livello di integrazione tra le funzioni IT e di cybersecurity. Oggi, in troppe organizzazioni, queste funzioni sono separate o semplicemente sovrapposte in alcune aree. Questo significa che la prevenzione e il rilevamento saranno il lavoro del team di security, mentre la risposta agli incidenti è a cavallo tra i due. Il recupero, la funzione più importante di tutte, sarà interamente a carico del team IT.
Se questo approccio può aver funzionato per gli incidenti di cybersecurity del passato, è una debolezza evidente contro il ransomware, dove ogni secondo conta. In pratica, ogni risposta deve avvenire contemporaneamente al rilevamento e al rimedio con il recupero che deve essere un processo parallelo piuttosto che sequenziale. Idealmente, questi elementi dovrebbero supportare l’automazione e l’orchestrazione dagli strumenti in uso nei due team, abbassando i costi e aumentando l’efficienza e l’efficacia. Ciò implica un unico team con compiti diversi piuttosto che reparti separati che si affidano a relazioni personali e comunicazioni ad hoc.
È fondamentale che le organizzazioni comprendano che il momento attuale di crescita del ransomware non finirà finché i criminali informatici saranno in grado di eludere la legge e raccogliere enormi profitti. È un modello di business troppo allettante, reso ancora più accessibile dall’avvento del RaaS.
Quello che è certo è che il ransomware, in ogni sua forma, non è un problema temporaneo o una moda passeggera. Anzi, negli ultimi venti anni si è evoluto continuamente, accrescendo la propria presenza e potenziale impatto, e continuerà certamente a farlo. I difensori dovrebbero prepararsi al peggio e sperare nel meglio in un mondo in cui superare e sopravvivere agli attacchi di estorsione è diventato il prossimo vantaggio competitivo indispensabile.
James Blake, Field CTO Security di Rubrik
Contenuti correlati
-
Industry 4.0: quali accorgimenti strategici per rendere il settore manifatturiero più resiliente alle minacce cyberFederico Botti – vice president Security & Resiliency Practice di Kyndryl Italia – esplora le strategie fondamentali per proteggere il settore manifatturiero dalle crescenti minacce cyber, enfatizzando l’importanza di adottare soluzioni innovative senza compromettere la sicurezza. Nell’era della Industry...
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Cybersecurity e trasparenza, Fortinet firma le linee guida Secure by Design della CISAFortinet ha rafforzato il proprio impegno di lunga data verso una trasparenza radicale e responsabile, essendo tra i primi firmatari delle linee guida Secure by Design sviluppate dalla Cybersecurity and Infrastructure Security Agency (CISA). Questo atto volontario...
-
Direttiva NIS2: uno studio Zscaler mette in evidenza criticità e opportunitàUna nuova ricerca di Zscaler suggerisce una discrepanza tra la fiducia che le aziende europee hanno di raggiungere l’obiettivo della conformità alla direttiva NIS 2 prima della scadenza del 17 ottobre 2024, quando entrerà in vigore, e...
-
Sicurezza e rischi nell’era digitaleRischi e pericoli sulle macchine cambiano con l’evoluzione della tecnologia: il nuovo Regolamento Macchine adegua la normativa ai requisiti relativi ai sistemi con algoritmi evolutivi, digitalizzazione, robotica, software e cybersecurity Pubblicato in Gazzetta Ufficiale dell’Unione Europea il...
-
Layer di collegamento tra produzione e managementCome si crea uno ‘strato software’ che faccia realmente convergere IT e OT? Efficienza, sicurezza e interoperabilità sono le 3 parole chiave A cosa ci riferiamo quando parliamo di Production & Management Integration Layer? È presto detto....
-
AI e sicurezza: come prevenire gli infortuni sul lavoroDi Marco Bavazzano, Amministratore Delegato di Axitea Ciclicamente, e con dispiacere, ci troviamo a leggere o ascoltare di storie di infortuni sul lavoro che hanno purtroppo spesso un epilogo tragico, con conseguenti bilanci, commenti e iniziative sulle...
-
Sicurezza: normative e legislazioni, come farvi fronteLa sicurezza è un concetto: bisogna imparare a conoscerlo e a diffondere la cultura della sicurezza. Normative e legislazioni servono e sono doverose in ogni attività produttiva, ma vanno comprese nel loro senso più profondo. Per aumentare...
-
Acqua ed energia al sicuroUn’azienda svedese di servizi pubblici per l’energia e l’acqua ha deciso di migliorare sia la sicurezza sia l’affidabilità attraverso l’integrazione IT/OT e per farlo ha scelto Fortinet Falu Energi & Vatten (Energia & Acqua) è un’azienda municipalizzata...
-
ABB, conformità con i gas refrigeranti A2L e A3Nel mondo della produzione di unità HVACR, la sicurezza è sempre al primo posto, soprattutto quando si tratta di refrigeranti di categoria A2L e A3, dove i rischi sono elevati e di varia natura. Per garantire la...
Scopri le novità scelte per te
-
Industry 4.0: quali accorgimenti strategici per rendere il settore manifatturiero più resiliente alle minacce cyber
Federico Botti – vice president Security & Resiliency Practice di Kyndryl Italia – esplora le strategie fondamentali per proteggere...
-
Security Summit sbarca a Cagliari
L’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi...
Notizie Tutti ▶
-
Un podcast innovazione e AI nell’industria manifatturieraA fine 2023 Google ha presentato GNoMe, un’intelligenza artificiale specializzata nello scoprire nuovi materiali:...
-
Partnership tra 3D Systems e Precision Resource nel settore produzione additiva in metallo3D Systems, fornitore di soluzioni per la produzione additiva leader del settore e Precision...
-
Olimpiadi 2024: come evitare le cyber truffeLe Olimpiadi di Parigi 2024 stanno per iniziare. Sono più di 10.000 gli atleti...
Prodotti Tutti ▶
-
Faulhaber semplifica l’uso delle sue soluzioni di azionamento ai fini della semplessitàChiunque si interessi dei principali temi di attualità si sarà sicuramente imbattuto nel termine...
-
BluEpyc presenta il nuovo Beacon per la trasmissione dati via Bluetooth Low EnergyBluEpyc, la business unit del Gruppo Softwork che progetta e realizza sistemi wireless (in...
-
Efficienza energetica di alta classe: motori DR2C..A di SEW-EurodriveI motori sincroni della serie DR2C..A sono una soluzione modulare che consente di ottenere...
