A cura di Giampiero Petrosi, Regional Vice President Sales Engineering Southern Europe di Rubrik
In un tipico attacco ransomware, il cybercriminale tenta di distribuire il ransomware direttamente sulle macchine che desidera criptare. Ma la tattica che oggi sta prendendo sempre più piede per garantire il successo delle campagne ransomware è la crittografia remota.
Come suggerisce il nome, la crittografia remota (o ransomware remoto) si verifica quando gli endpoint compromessi vengono utilizzati per cifrare i dati su altri dispositivi della stessa rete. L’obiettivo iniziale è spesso un dispositivo non gestito, ovvero che ha accesso alla rete dell’organizzazione ma non dispone di una protezione endpoint di livello aziendale. L’aumento delle modalità di lavoro da qualsiasi luogo negli ultimi anni ha contribuito alla popolarità del ransomware remoto, poiché vi sono più dispositivi non gestiti che si connettono alle reti aziendali.
Una tattica di attacco sempre più comune da cui è difficile difendersi
Poiché la crittografia e altre attività dannose avvengono su macchine già compromesse, questi attacchi sono in grado di aggirare le misure di sicurezza. In sostanza, poiché è il processo di sistema a eseguire la crittografia, le attività di remediation basate sui processi risultano inefficaci. Inoltre, trattandosi di attacchi estremamente scalabili, basta un solo endpoint vulnerabile per mettere in pericolo l’intera rete.
Secondo il Digital Defense Report 2023 di Microsoft, nell’ultimo anno circa il 60% degli attacchi ransomware condotti da hacker ha coinvolto la crittografia remota nel tentativo di ridurre al minimo le proprie tracce. Inoltre, oltre l’80% di tutte le compromissioni osservate da Microsoft provengono da dispositivi non gestiti, compresi i dispositivi personali utilizzati per fini aziendali. E quando i criminali informatici sfruttano le vulnerabilità di software non comuni, è ancora più difficile difendersi.
Cosa si può fare?
Naturalmente, le organizzazioni devono rivedere la sicurezza degli endpoint e le politiche relative ai dispositivi non gestiti per garantire che siano sufficientemente protetti. Più numerosi sono i dispositivi non protetti o protetti male, maggiore è il rischio di ransomware remoto. Detto questo, nessun approccio sarà efficace al 100% e basta un solo dispositivo compromesso affinché un attacco di questo tipo abbia successo.
Ancora più importante, le aziende devono essere in grado di rilevare e riprendersi rapidamente dagli attacchi ransomware, compresi quelli remoti. Poiché i sistemi di backup catturano i dati (contenuti e metadati) dei carichi di lavoro critici e, soprattutto, nel tempo, l’analisi dei dati di backup può essere utilizzata per identificare e mitigare i rischi.
Rubrik Anomaly Detection analizza le copie di backup nel tempo, utilizzando il machine learning per rilevare e segnalare attività sospette. Il rilevamento delle anomalie aiuta a determinare il raggio d’azione di un attacco informatico, in modo da identificare i soli dati compromessi per un ripristino puntuale e focalizzato necessario per una ripresa rapida ed efficiente delle attività aziendali. La sola prevenzione non è sufficiente per difendersi dalla criminalità informatica: poiché gli avversari continuano a trovare nuovi modi per colpire, ed è fondamentale adottare un approccio incentrato sulla resilienza informatica.
