Veeam: attacco ransomware più pericoloso con la crittografia parziale dei dati

Nuove e sempre più sofisticate, le tecniche utlilizzate dai criminali informatici negli attacchi ransomware sono sempre più dannose. I criminali crittografano solo alcune parti dei file e impiegano tecniche fileless durante l'implementazione del ransomware, così da riuscire a eludere il rilevamento per un periodo di tempo più lungo.

Al fine di indurre la vittima a pagare il riscatto, gli hacker prendono di mira anche il backup delle aziende. Dopo essersi introdotti nella rete della vittima, i criminali vendono l'accesso ad altri gruppi di ransomware: nel 2022 sono apparsi più di 1.300 annunci sui principali forum di criminalità informatica.

Crittografia intermittente

Quando sono riusciti a infiltrarsi nella rete aziendale, prima di essere individuati dalle protezioni del sistema i criminali devono rubare e crittografare il maggior numero di dati  possibile. La crittografia dei dati richiede tempo e più a lungo un aggressore rimane in una rete, maggiori sono le probabilità che venga individuato. Per questo motivo utilizzano una nuova tecnica di crittografia intermittente.

I criminali criptano solo piccole parti di dati, porzioni sufficientemente piccole per mantenere basso l'utilizzo della CPU ed eludere il rilevamento, ma che possono comunque rendere un file inutilizzabile da un'organizzazione senza la chiave di decrittazione. Per guadagnare più tempo, variano le ore del giorno in cui sono attivi e la quantità di dati crittografati, in modo da eludere gli strumenti di rilevamento automatico. Al tempo stesso gloi hacker esercitano maggiore pressione sulle vittime affinché paghino il riscatto, poiché possono criptare i dati più velocemente.

Per aumentare l'efficacia e complicare la reazione delle aziende, i criminali utilizzano anche tre o quattro diverse catene di attacchi contemporaneamente: phishing, spam, spoofing e altri meccanismi di social engineering. Utilizzare tecniche fileless, che prevedono l'infezione dei dispositivi con il ransomware senza inserire alcun file, utilizzando solo strumenti legittimi e pubblicamente disponibili è un altro modo per eludere il rilevamento. Questo è il modo in cui spesso operano gli aggressori avanzati degli Stati nazionali: gli hacker possono sfuggire se evitano di utilizzare nomi di processi o hash di file che sono stati segnalati dal team IT come non sicuri. 

La "popolarità" della doppia estorsione 

Gli hacker hanno inziiato anche ad attaccare le vittime degli altri: coloro che si introducono per primi nella rete di un'azienda, poi vendono l'accesso al sistema e ai dati ad altri gruppi di ransomware, mentre questi si concentrano sull'estorsione. Secondo KELA, più di 1.300 offerte di questo tipo sono apparse sui principali forum di criminalità informatica monitorati nel 2021. Dopo un attacco riuscito, molti criminali informatici non solo criptano, ma rubano e distruggono anche i dati e i relativi backup disponibili online o non adeguatamente protetti. Questo elimina la capacità di recupero delle aziende e aumenta la pressione a pagare il riscatto. Questi attacchi sono spesso rivolti ai servizi finanziari, alla sanità e al settore pubblico, dove un attacco ransomware può avere un impatto sulle infrastrutture critiche.

Protezione tradizionale della cybersecurity e formazione

Pur essendo spesso trascurati, i metodi di protezione tradizionali rimangono la soluzione migliore, come l'aggiornamento regolare e il patching di applicazioni e sistemi capace di ridurre il rischio di attacchi riusciti: l'80% degli aggressori cerca sistemi mainstream con vulnerabilità note.

Nell'ambito di qualsiasi organizzazione, educazione informatica e un'adeguata formazione specialisirica sono altrettanto importanti: ogni utente deve essere in grado di riconoscere i metodi di attacco tipici, sapere come reagire e chi deve informare dell'incidente. 

Il backup sta diventando un bersaglio comune per i criminali, ecco perché è particolarmente importante verificare le strategie di backup delle aziende per proteggere correttamente i dati. Secondo il Veeam Data Protection Trends Report 2022, fino a 9 aziende su 10 non sono in grado di recuperare almeno una parte dei dati rubati. È necessario disporre di almeno tre copie dei dati importanti, su almeno due tipi di supporti diversi, di cui almeno una off-site e una offline, con zero backup non verificati o che si completano con errori.

Risulta forndamentale anche un piano di disaster recovery: può essere utile simulare un attacco, così che le aziende possano esercitarsi sulle fasi previste dallo scenario di un incidente di cybersicurezza. La pratica è l'unico modo per identificare le potenziali lacune del piano, familiarizzare tutti i dipendenti con i loro ruoli e con la tecnologia che potrebbero dover utilizzare, il tutto garantendo uno scenario di risposta informatica ad alto stress.