Segnano una crescita del 40% a livello globale, anno su anno, ma non solo. Gli attacchi ransomware continuano a evolvere sia dal punto di vista strettamente tecnologico che strategico. A reggerli sono modelli di business dinamici e mirati al massimo profitto ma anche lungimiranti e tattici. Non è semplice fotografarli mentre cambiano di continuo, ma studiarne le attuali caratteristiche è un modo per prevedere le future e prepararsi. Al peggio.
È quello che tenta di fare il ThreatLabz Ransomware Report 2023 realizzato e presentato Zscaler. Il suo speciale laboratorio di ricerca ha analizzato i dati globali sul phishing provenienti dal cloud dell’azienda, da aprile 2022 ad aprile 2023, quest’anno integrando la propria analisi dei campioni di ransomware e dei dati sugli attacchi con fonti di intelligence esterne. Ne escono un panorama dettagliato su cui ragionare e delle linee guida da considerare.
Raas ed encryption-less extortion dominano il mercato
L’evoluzione del ransomware a cui stiamo assistendo, più o meno consapevolmente, risulta caratterizzata da una relazione inversa tra la sofisticazione degli attacchi, in crescita, e la barriera d’ingresso per i nuovi gruppi di criminali informatici, in diminuzione. Un fenomeno che parrebbe surreale se non si spiegasse con la ormai conclamata predominanza del modello RaaS (Ransomware-as-a-service) che sfrutta il dark web per offrire “attacchi pronti”, in cambio del 70-80% dei profitti.
Non è il primo anno che tale paradigma mostra una crescita e non se ne immagina un motivo di calo. Ciò vale anche per certe tipologie di approccio come quello a doppia o multiestorsione, con cui gli aggressori, una volta crittografati i dati rubati, minacciano di diffonderli online per aumentare ulteriormente la pressione sulle vittime e ottenere il pagamento.
Più emergente è il trend riguardante gli attacchi encryption-less. Dal report risulta che, da aprile 2022, abbiano portato a furti di diversi terabyte di dati poi utilizzati per estorcere riscatti. Si tratta di uno stile di cyberattacco che punta sull’esfiltrazione dei dati bypassando il processo di crittografia. L’idea alla base è quella di ottenere profitti più rapidi e consistenti, eliminando i cicli di sviluppo del software e il supporto alla decrittografia.
Si mira sempre alla crescita del business ma anche al “passarla liscia”, visto che la encryption-less extortion, tra i vari attacchi, risulta oggi uno dei più difficili da rilevare e dei meno attenzionati dalle autorità. La ragione non è tanto da ricercare nella natura della tecnologia utilizzata, quanto all’evidente fatto che, non causando tempi di inattività né interrompendo operazioni, segnano tassi di segnalazione minori.
USA e manufacturing le vittime predilette
Estesi e ricchi, gli Stati Uniti sono il Paese più colpito dai criminali che lo usano anche come “laboratorio” per nuove tecniche da validare. Il 40% delle vittime note si trova in quest’area mentre, spostandosi in Europa, le più colpite risultano Regno Unito e Germania, ma con meno della metà degli attacchi. Senza particolari preferenze geografiche, il report di Zscaler nomina poi le famiglie di ransomware più diffuse – BlackBasta, BlackCat, Clop, Karakurt e LockBit – notando come tutte si focalizzino in modo piuttosto omogeneo su perdite finanziarie, violazioni di dati e interruzioni operative. La prima, però, si distingue mostrando una particolare predilezione per il settore manifatturiero. In questo ambito, proprietà intellettuale e infrastrutture critiche sono continuamente sotto tiro, in particolare per le aziende che si dedicano alla produzione di beni per l’automotive, l’elettronica e il tessile.
Zero trust integrato e onnicomprensivo: la ricetta di Zscaler
L’attuale panorama descritto e, soprattutto, l’impressione che possa evolvere aggravandosi a breve, portano i ricercatori a suggerire un approccio zero trust come ormai unica strada percorribile. Oggi adottarlo diventerebbe quasi un obbligo, badando di farlo in modo integrato, affinché minimizzi la superficie di attacco, prevenga la compromissione, riduca il raggio degli attacchi e blocchi l’esfiltrazione dei dati.
All’interno di questo non nuovo paradigma, emergono anche delle linee guida aggiornate da ThreatLabz, nella speranza di guidare step by step anche le organizzazioni in preda all’inerzia.
Il primo passo da compiere riguarda la prevenzione delle compromissioni iniziali, puntando su funzionalità estese di ispezione SSL, isolamento del browser, inline sandboxing e controllo degli accessi risk based. Un mix di strumenti con cui individuare le minacce sconosciute che raggiungono gli utenti, prima che vengano compromessi. Nel caso ciò avvenisse sarà necessario bloccarli, incrociando l’ispezione delle inline application e l’Identity Threat Detection & Response (ITDR) con le funzionalità di deception integrate.
Un’altra best practice guarda alla riduzione della superficie di attacco esterna e all’eliminazione dei movimenti laterali. Il consiglio sarebbe quello di scollegare le applicazioni da Internet, adottando un’architettura di accesso alla rete a fiducia zero (ZTNA) che collega direttamente gli utenti alle applicazioni e le applicazioni alle applicazioni.
Ultimo passo: la nota Data Loss Prevention (DLP). L’ideale sarebbe procedere con l’implementazione di misure inline e l’ispezione TLS (Trasport Layer Security) completa, prendendosi la briga di esaminare accuratamente i dati sia in transito che a riposo. Un’azione da combinare con un costante lavoro di aggiornamento software e di formazione della workforce, entrambi essenziali per provare a stare al passo coi criminali.
