L’avanzata degli attacchi di phishing e dei ransomware non dà tregua alle organizzazioni. Secondo lo State of Phishing 2024 di SlashNext, gli attacchi via email sono aumentati esponenzialmente dal lancio degli LLM Large Language Model, come ChatGPT, con addirittura un +856% di email malevole rispetto ai 12 mesi precedenti.
Per quanto concerne i ransomware, la situazione non è migliore: secondo lo State of Ransomware 2024 di Sophos, infatti, il 56% delle organizzazioni è stato colpito da un ransomware negli ultimi 12 mesi.
Abbiamo quindi deciso di condensare anni di approfondimenti sul tema in una guida agile che comprenda tutto il necessario per conoscere, prevenire e rispondere correttamente a entrambe le minacce che, come si vedrà, operano spesso in modo sinergico.
Cos’è il phishing e come funziona
Il phishing è uno degli attacchi informatici più comuni e diffusi al mondo. Mira a sottrarre informazioni sensibili, come credenziali di accesso a sistemi aziendali e numeri di carte di credito, ingannando le vittime con comunicazioni fraudolente che sembrano provenire da fonti legittime (la tipica email amichevole dall’ecommerce o la mail allarmante dell’istituto di credito). Il phishing esiste da decenni ma rimane una delle tecniche di attacco più utilizzate per via della sua adattabilità e della capacità di sfruttare il social engineering, cioè la componente umana, come principale punto debole.
Tecniche comuni di phishing mirate alle aziende
Il phishing è sempre rivolto a ingannare una o più persone, portandole a eseguire comportamenti rischiosi o palesemente errati, come comunicare a estranei le credenziali di una carta di credito o quelle di accesso ai sistemi aziendali.
Il phishing fa uso di tecniche di social engineering e opera mediante diversi vettori. Il più comune è l’email, ma non mancano l’SMS e le comunicazioni vocali o l‘estorsione di consenso a voce detto anche Vishing.
In ambito aziendale, è piuttosto comune la cosiddetta Business Email Compromise (BEC): qui i malintenzionati si fingono dirigenti d’azienda e, tramite email, ingannano le proprie vittime (solitamente, i colleghi) inducendole in comportamenti specifici come l’esecuzione di un bonifico immediato.
Ransomware: una minaccia in crescita per le imprese
Il ransomware è un malware che cifra i dati dell’azienda e/o blocca l’accesso ai sistemi, richiedendo un riscatto in cambio della chiave di decrittazione o per ripristinare l’accesso ai sistemi. Il ransomware è una minaccia fondata per le aziende, a causa della sua capacità di interrompere l’operatività aziendale, provocare perdite finanziarie notevoli (non solo legate al riscatto) e danneggiare fortemente la reputazione dell’impresa.
Il ciclo di vita di un attacco ransomware
Gli esperti sono soliti identificare cinque fasi nel ciclo di vita del ransomware:
- Infezione e distribuzione: i sistemi vengono infettati in diversi modi: il più comune è l’mail di phishing con allegati malevoli, ma è anche possibile penetrare nei sistemi e nelle reti sfruttando direttamente le loro vulnerabilità tecniche.
- Command & Control: il malware stabilisce immediatamente una comunicazione con un server remoto (di Command & Control, o C&C) da cui riceve le istruzioni e le chiavi di cifratura con cui eseguire l’attacco.
- Ricognizione e movimento laterale : in questa fase, il malware si diffonde nella rete al fine di accedere alle risorse (digitali) critiche, in quanto di maggior valore, o di compromettere i vari dispositivi.
- Cifratura e furto dei dati (esfiltrazione): utilizzando degli algoritmi crittografici, gli attaccanti bloccano l’accesso a risorse critiche come dati, applicazioni e interi server. Spesso, avviene anche un’esfiltrazione di dati verso il server C&C (Command & Control, il server che funge da centro di comando per inviare istruzioni ai dispositivi compromessi), così da poter procedere con una minaccia ulteriore.
- Estorsione : l’azienda riceve la richiesta di riscatto e decide il da farsi. Come detto, il mancato pagamento impedisce l’accesso a dati e applicazioni e, spesso, comporta anche la divulgazione pubblica dei dati trafugati.
La connessione tra phishing e ransomware
Phishing e ransomware sono minacce strettamente connesse poiché il phishing è uno dei vettori primari (ma non esclusivo) per l’avvio dell’attacco ransomware. Essendo quest’ultimo un malware, il phishing viene utilizzato per indurre la vittima ad aprire un file dannoso, scaricare allegati infetti o cliccare su link dannosi che, a loro volta, scaricano il malware nella macchina dell’utente, e quindi penetrano nella rete di destinazione. Una volta ingannato l’utente, infatti, il ransomware si attiva e inizia il ciclo di infezione visto nel punto precedente.
Come gli attacchi di phishing facilitano le infezioni ransomware
Gli attacchi di phishing sfruttano metodi di ingegneria sociale per indurre le persone in errore e creare un punto di accesso ai sistemi aziendali. Una volta scaricato e attivato, inoltre, il malware può eseguire degli script automatici finalizzati ad aggirare le difese del sistema, come i firewall e gli antivirus, riuscendo a insediarsi nei punti più deboli della rete aziendale.
Strategie di prevenzione per le aziende
Mai come in questo caso, la prevenzione è l’unica strategia davvero vincente. Fortunatamente, oggi c’è la possibilità di prevenire sia il phishing che i ransomware.
Partendo dal ransomware, le prime misure di prevenzione adottate dalle aziende sono solitamente tecniche. Ci riferiamo ai
- firewall
- sistemi di rilevamento e prevenzione delle intrusioni IDS/IPS
- antivirus aggiornati
- solidi processi di aggiornamento degli applicativi
- monitoraggio delle reti
- protezione degli endpoint
Questi sono tanti tasselli chiave della cybersecurity aziendale moderna e possono essere miscelati per rispondere ad una strategia di alto livello.
Come si è visto, il phishing si basa sempre sull’inganno. Per questo, oltre a misure tecniche di prevenzione (per esempio, autenticazione a più fattori, analisi delle email…), è fondamentale che gli utenti sviluppino comportamenti virtuosi, come per esempio un po’ di sana diffidenza nei confronti di richieste anomale. A volte, per non cadere in un costosissimo BEC (business email compromise) basta una telefonata.
Formazione dei dipendenti sulla sicurezza informatica
La formazione dei dipendenti, ma meglio ancora un percorso di security awareness, cioè di sicurezza informatica, è una componente essenziale nella strategia di prevenzione degli attacchi ransomware e phishing. Oltre a comprendere le minacce esistenti e a ricevere le informazioni necessarie per fronteggiarle, gli utenti devono infatti sviluppare dei comportamenti adeguati al rischio cyber esistente. Soprattutto nell’era dello smart working, laddove l’accesso alle risorse aziendali avviene con molteplici dispositivi e al di fuori del perimetro aziendale, la security awareness è doverosa, visto che la maggior parte degli incidenti si origina da un errore.
Implementazione di sistemi di sicurezza avanzati
Se lo sviluppo di comportamenti virtuosi è essenziale, lo è anche la disponibilità di sistemi avanzati di sicurezza informatica. A seconda della dimensione dell’azienda, della sua maturità digitale, della normativa di riferimento e del valore dei dati che custodisce, i sistemi di protezione possono includere soluzioni di Endpoint Protection e di Extended Detection and Response (XDR), da coordinare con un uso pervasivo della crittografia, con tecnologie di accesso biometrico ai sistemi e molto altro.
Come si vedrà meglio successivamente, l’intelligenza artificiale e il machine learning hanno potenziato l’efficacia degli attacchi, ma le stesse tecniche possono essere anche impiegate (e lo sono) a scopi difensivi, in particolare sul fronte della prevenzione. Le aziende dovrebbero inoltre implementare la microsegmentazione delle reti per abbattere la capacità di movimento laterale, e soprattutto non trascurare mai i backup e piani di continuità del business.
Risposta agli incidenti informatici: cosa fare in caso di attacco
Esaurito il capitolo della prevenzione, vediamo cosa fare qualora si subisca un attacco, lo si debba bloccare in tempi record e, soprattutto, se ne debbano minimizzare i danni. È necessario fare questo tipo di valutazioni poiché, com’è noto, la sicurezza al 100% non è un concetto realistico.
La prima azione da intraprendere, in forma manuale o automatica, è isolare i sistemi compromessi per prevenire l’ulteriore diffusione del malware, disconnettendo i dispositivi infetti dalla rete così da ridurre il rischio di espansione laterale. Vanno poi immediatamente identificate l’origine e l’estensione dell’attacco attraverso l’impiego di strumenti di monitoraggio e di logging, così da implementare in tempi rapidi misure di risposta. Come detto, molti strumenti moderni di monitoraggio reagiscono in forma automatica a comportamenti che ritengono anomali, abbattendo così il rischio di subire danni consistenti.
Per quanto riguarda in modo specifico il ransomware, il cui obiettivo diretto è rendere inaccessibili dati e sistemi, il ripristino da backup va intrapreso rapidamente per minimizzare il downtime, verificando inoltre che non ci siano ulteriori tracce del malware nell’ecosistema informativo. Una volta ripristinata l’operatività, è poi necessario risalire alla vulnerabilità (qualsiasi essa sia) che ha permesso l’attacco e adottare tutte le misure correttive del caso.
Piano di recupero dati e continuità aziendale
Si è detto che il backup è uno degli elementi chiave nella risposta ai ransomware. È quindi fondamentale non solo la sua disponibilità, ma che risponda a una precisa strategia di continuità operativa dell’azienda. C’è dunque bisogno di una pianificazione che, oltre a dettagliare gli strumenti necessari, i KPI obiettivo (Recovery Time Objective e Recovery Point Objectuve) e le configurazioni del caso, includa anche la definizione dei ruoli, tutte le procedure dettagliate, nonché i piani di comunicazione interni ed esterni, in conformità con la normativa vigente.
Tendenze future nelle minacce di phishing e ransomware
Phishing e ransomware sono attività remunerative per il cyber crime, e per questo soggette a una forte spinta innovativa che le fa evolvere continuamente. La tendenza del momento, che proseguirà senza dubbio nei prossimi anni, è l’impiego di tecniche di Intelligenza Artificiale sia per l’attacco che per tutte le contromisure di difesa.
Evoluzione delle tattiche dei cybercriminali
Si è detto che buona parte delle tendenze future ruota attorno all’impiego dell’intelligenza artificiale. L’AI può automatizzare gli attacchi informatici, può identificare rapidamente le vulnerabilità dei sistemi target e, grazie al trend dell’AI Generativa, può creare campagne di phishing iper-realistiche e personalizzate non solo sul fronte testuale, ma anche video e audio, replicando per esempio la voce di un dirigente dell’azienda.
I modelli di AI potrebbero assistere i malintenzionati nella scrittura del codice e nella messa a punto di ransomware evoluti, e non è un caso che le principali aziende del settore (OpenAI, Google) abbiano bloccato esplicitamente queste funzionalità generative nei loro LLM.
L’intelligenza artificiale come strumento di offesa evolve parallelamente a strategie di ingegneria sociale sempre più complesse, come manipolazioni psicologiche avanzate, e a malware ancora più sofisticati. Tra questi, meritano una menzione quelli indirizzati a colpire risorse e servizi cloud e quelli che approfittano di vulnerabilità nella supply chain per lanciare campagne di estorsione su larga scala. Non a caso, il tema della sicurezza della supply chain è un elemento chiave della normativa NIS 2.
Infine, continua a farsi largo il fenomeno del ransomware as-a-service: analogamente ai modelli SaaS legittimi, qui ai threat actor viene offerta un’infrastruttura completa e personalizzabile per lanciare attacchi ransomware. Gli sviluppatori forniscono kit di sviluppo, pannelli di controllo e aggiornamenti costanti per garantire l’efficacia del prodotto, abbattendo di fatto le barriere all’ingresso.
Implicazioni legali degli attacchi di phishing e ransomware
Gli attacchi di phishing e i ransomware non determinano unicamente danni economici e reputazionali legati al downtime, ma hanno anche delle conseguenze legali per chi li subisce. Per esempio, nel caso di una violazione di dati le aziende possono essere soggette ad azioni da parte dei clienti, dei dipendenti o dei partner commerciali, soprattutto se non hanno adottato misure adeguate per prevenire l’incidente.
Il panorama normativo che impone delle misure di protezione per dati e sistemi è molto ampio e articolato.
Regolamenti come il GDPR e Direttive come la NIS2 impongono alle organizzazioni di implementare misure di sicurezza proattive e di rispondere in modo tempestivo agli incidenti informatici, che possono essere originati proprio da attacchi ransomware e/o da phishing. Le aziende devono quindi perseguire la conformità normativa con assoluta priorità, onde evitare di mettere a rischio non solo la loro reputazione, ma la stessa sostenibilità economica.
Emanuele Villa
Giornalista
Appassionato di tecnologia da sempre, ho deciso che avrei impegnato il mio tempo raccontandola e lo faccio dal lontano 2000. Dopo un lungo percorso nel mondo della tecnologia consumer, ora mi occupo soprattutto di Digital Transformation.
