Il ransomware è, ancora oggi, la forma di attacco che miete in assoluto più vittime. Un trend che non accenna a fermarsi (in particolare in Italia, come sottolineato dall’ultimo rapporto Clusit). Per questo, ogni nuova insidia che lo riguarda merita di essere studiata con attenzione. Come la modalità basata sulla crittografia parziale dei dati scoperta da Veeam. Per approfondire il tema, ZeroUno ha chiesto il parere di Rick Vanover, Senior Director of Product Strategy dell’azienda, che ci ha raccontato anche le implicazioni del ransomware a un livello più profondo.
Attacchi sempre più efficienti
Leggendo di un sistema di attacco più efficiente, la prima domanda che risulta naturale porsi è quanto più efficiente? Vanover ci spiega che questo non è un dato semplice da ricavare. Sia perché lo scenario del ransomware è molto complesso, sia perché non ci sono ancora dati sufficienti in merito, che però potrebbero essere raccolti in occasione del lancio del prossimo Ransomware Trends Reports in uscita a maggio (qui è possibile scaricare la versione 2022). Inoltre, come sottolinea Vanover, il problema non è principalmente nelle tempistiche di attacco. “Alcuni ransomware impiegano mesi a colpire, perché agiscono in modo silente” ricorda.
Il problema, infatti, è soprattutto nella capacità di agire al di sotto delle soglie di attenzione degli strumenti di rilevamento. Un ransomware a cui è sufficiente corrompere una parte dei file, infatti, impiegherà meno risorse del computer attaccato, sostanzialmente agendo “sotto i radar” e generando un numero molto minore di anomalie rilevabili risultando, di fatto, più insidioso.
Basta la minima corruzione
Un altro aspetto estremamente rilevante per chi deve predisporre la difesa contro questo tipo di attacchi è di sapere in quale percentuale minima un file deve essere corrotto per risultare inutilizzabile. Anche in questo caso Vanover ci ricorda la complessità dell’ecosistema in cui tutto questo avviene: “Non abbiamo dati pubblici coerenti perché sono molto polverizzati, ma in alcuni casi può essere sufficiente compromettere l’1%”. I parametri in gioco sono moltissimi: non tutti i tipi di file sono ugualmente resilienti, per esempio, e non tutti i dati sono ugualmente fragili. Se perdere, per esempio, l’intestazione di un file di dati lo rende praticamente inutilizzabile, perdere una parte anche consistente di un file multimediale può comunque consentire una ricostruzione almeno parziale.
La buona notizia è che, come tutti i tipi di attacco verso i file, sono facilmente neutralizzabili attraverso un sistema di backup efficace. Il che apre ad alcune considerazioni, proprio sui backup e sulle modalità di recupero dei dati.
La conservazione del dato ai tempi del ransomware
Il ransomware può colpire tutti. Secondo il Ransomware Trends Report del 2022, solo il 24% delle aziende intervistate ha dichiarato di non avere mai subito attacchi di questo tipo. Un dato, sottolinea Vanover, inquinato anche dalle aziende che sono sotto attacco senza esserne consapevoli. “Bisogna pensare che può accadere e avere già un piano per reagire. Il problema principale è che la risposta richiede tempo e le aziende ne perdono molto, anche nella capacità di reazione. In alcuni casi non si sa nemmeno chi è incaricato per il recovery.” Insomma, ancora una volta, quando si tratta di sicurezza, il tema non è chiedersi “se” accadrà un incidente, ma “quando” accadrà. Il che introduce considerazioni molto interessanti in merito ai tempi di risposta.
Dando per assunto che l’azienda colpita abbia un efficace piano di recovery, infatti, ci sono alcuni aspetti da considerare che non riguardano strettamente l’azione di recupero. “l’infrastruttura potrebbe essere bloccata per altre ragioni, per esempio di compliance” ricorda Vanover. Dopo un incidente, il Response Team (o in alcuni casi regolamentati le autorità competenti) potrebbero stabilire un blocco dell’infrastruttura per ulteriori indagini. Come accade per altri tipi di “scene del crimine”, insomma. In questo caso, naturalmente, non è sufficiente avere accesso ai dati per poter rientrare in attività. Il ricorso ad ambienti Cloud il più possibile standard costituisce in questo caso una delle soluzioni che stanno prendendo sempre più piede: il 31% delle aziende lo sta considerando, secondo i dati di Vanover. Un ambiente di questo tipo, infatti, risulta più semplice da ricostruire, anche temporaneamente, nel caso di un blocco disposto all’infrastruttura.
Questa possibilità può essere la ragione per cui diverse realtà, soprattutto in Italia, sono ancora propense a non divulgare gli incidenti, evitando così le problematiche legate ad analisi e indagini sull’accaduto, che incidono ulteriormente sull’operatività.
Il backup è ancora la difesa più efficace
Avere a disposizione una copia dei propri dati è senza dubbio la prima linea di difesa contro il ransomware. Tuttavia, non tutti i tipi di backup sono ugualmente validi. “Per avere la certezza di una difesa efficace contro il ransomware è necessario avere qualche tipo di backup immutabile” ricorda Vanover. “Avere una o più copie dei dati disconnesse, in modalità air gap o comunque immutabili, permette di metterle al sicuro dalla corruzione del ransomware”. Fortunatamente si tratta di una pratica abbastanza diffusa, almeno nell’ecosistema Veeam. Secondo i dati presentati da Vanover, infatti, solo il 5% dei loro clienti non ne dispone, mentre molti hanno scelto la maggiore tutela con almeno due soluzioni di questo tipo.
D’altra parte, oggi garantire l’immutabilità del backup è molto più semplice rispetto a dieci anni fa, grazie anche all’apporto offerto dal Cloud e dal maggiore livello di sicurezza intrinseca che mette a disposizione.