La vera sicurezza contro il ransomware

Negli ultimi tempi, quando si scrivono notizie riguardanti gli attacchi informatici, sembra di essere ripetitivi dato che il termine che circola con maggior frequenza è “ransomware” ovvero quella particolare tipologia di attacco in cui i cybercriminali compromettono l’infrastruttura chiedendo un riscatto per attivare lo sblocco dei dati.

Purtroppo la situazione (già grave negli ultimi mesi) è diventata critica in quasi tutto il mondo. Anche l’Italia è sotto attacco, abbiamo recentemente descritto gli eventi che hanno creato non pochi problemi a enti comunali e pubbliche amministrazioni così come ad aziende private. Non è un segreto che alcuni famosi marchi sono stati colpiti da attacchi che hanno portato al blocco della produzione per svariati giorni. Se l’Italia da questo punto di vista non sta bene, gli Stati Uniti sono stati letteralmente travolti dal ransomware. L’apice sembrava raggiunto con l’attacco all’oleodotto Colonial Pipeline e benché gli esperti in cybersicurezza avevano mantenuto alto il livello di allarme in pochi avevano previsto quello che sarebbe successo in seguito.

Ormai è ben evidente che i responsabili di questi attacchi sono gruppi organizzati di cybercriminali che usano tecniche avanzate. Senza entrare in dettagli troppo tecnici, consideriamo che nella maggior parte dei casi l’attacco ransomware ha successo se la rete colpita non è ben protetta o ben configurata o se gli hacker, una volta infiltrati, riescono a raggiungere un computer o un server con permessi amministrativi in modo da potere installare il malware e propagarlo all’intera infrastruttura. Una procedura questa che richiede tempo e la possibilità che l’attacco venga scoperto e respinto. I collettivi di hacker più esperti però usano tecniche più rapide sfruttando quelli che in gergo vengono chiamati exploit, ovvero software e sequenze di comandi che sfruttano un errore o una vulnerabilità per provocare un certo comportamento. A volte usano falle note, ma sempre più spesso usano exploit 0-day (usati per la prima volta). Queste falle nella sicurezza consentono di attaccare computer vulnerabili (spesso non aggiornati) e di impostarne i privilegi da amministratore del sistema, facendo dilagare nell’infrastruttura il ransomware.

Questa tecnica, descritta in modo semplificato, è quella usata per l’attacco portato a termine il 4 luglio ai danni di Kaseya, una nota società che fornisce supporto IT a numerose aziende in tutto il mondo, famosa per il software di gestione delle infrastrutture Kaseya VSA. Questo attacco è diventato tristemente famoso per l’esorbitante cifra richiesta per fornire lo strumento per decriptare i computer colpiti: 70 milioni di dollari in criptovalute. Kaseya si occupa di fornire servizi ad altre aziende e proprio per questo motivo i cybercriminali non si sono limitati a colpire i server aziendali, e dopo aver preso il controllo del Managed Services Provider, hanno diffuso il ransomware ai clienti dell’azienda coinvolgendo tutta la supply chain, compresi alcuni provider da cui sono partiti attacchi secondari ad altre realtà in tutto il mondo. Secondo gli esperti i computer coinvolti nella prima fase dell’operazione sono oltre 40.000 ma il numero è cresciuto in modo esponenziale nelle ore successive, tanto che al momento è impossibile quantificare sia i danni, sia i computer coinvolti.

Anche questa volta l’attacco è stato condotto dal collettivo di hacker sovietico che si fa chiamare REvil, gli stessi che pochi giorni prima hanno preso di mira con un attacco ransomware JBS, la più grande azienda di lavorazione della carne al mondo. Secondo quanto dichiarato dalla dirigenza, la società brasiliana è stata costretta a pagare 11 milioni di dollari per ottenere le chiavi di sblocco in modo da poter riprendere al più presto la produzione. Infatti, uno dei più grandi problemi di questo genere di attacchi è proprio quello legato al blocco della produzione che spesso può risultare più costoso dell’estorsione.

Obiettivi mirati

La strategia è ormai evidente, mentre i gruppi meno organizzati di cybercriminali colpiscono indiscriminatamente medie e piccole realtà, i collettivi più organizzati come REvil e DarkSide si concentrano su grossi obiettivi a volte con un singolo attacco, altre volte sfruttando la supply chain per colpire anche le aziende connesse al principale obiettivo. Da non sottovalutare poi la tecnica della doppia estorsione, praticata se durante l’attacco gli hacker entrano in possesso di dati particolarmente importanti: in questo caso viene richiesto un primo ricatto per sbloccare l’infrastruttura colpita da ransomware e a seguire una seconda estorsione per non divulgare i dati rubati.

C’è modo di difendersi?

Nonostante la portata degli attacchi e le tecnologie in gioco i modi per difendersi dal ransomware ci sono e Hypergrid con la sua esperienza in cybersicurezza può aiutarvi in questo difficile compito. Per prima cosa l’infrastruttura deve essere ben configurata. L’accesso sicuro alla rete deve essere garantito sia ai dipendenti che lavorano in azienda tramite un sistema EDR (Endpoint Detection and Response), sia ai collaboratori che lavorano in remoto tramite una VPN a doppio fattore di autenticazione. Inoltre, la rete deve essere testata e aggiornata con le patch di sicurezza a cui deve seguire una procedura di Vulnerability Assessment per verificare l’assenza di falle e punti deboli.

L’elemento fondamentale, quello che mette l’azienda al sicuro dall’estorsione e garantisce una ripresa veloce delle attività produttive, è il backup dei dati eseguito in modo sicuro e criptato su server esterni all’azienda, rendendolo virtualmente inaccessibile all’attacco. Hypergrid mette a disposizione dei suoi clienti il servizio yCloud Backup che viene gestito nella totale sicurezza della rete ridondata sull’infrastruttura che ha ottenuto la certificazione AGID come CSP, indispensabile per lavorare anche con le pubbliche amministrazioni. In caso di attacco ransomware il team di esperti dell’azienda potrà ripristinare i server aziendali nel più breve tempo possibile limitando i danni ed eventuali blocchi di produzione. yCloud Backup è un servizio elastico che può essere adattato alle esigenze dei clienti ed esteso ai computer che lavorano in remoto, con la sicurezza che l’intera infrastruttura Hypergrid è gestita e controllata in loco senza appoggiarsi a datacenter esterni. Non solo, se il cliente dispone di un ufficio IT, Hypergrid fornisce la possibilità di controllare la configurazione del sistema da un panello centralizzato da cui possono essere selezionati (o esclusi) i dispositivi da inserire nel backup. yCloud Backup funziona anche su reti miste e l’azienda fornisce gratuitamente gli agent per eseguire l’impostazione su computer equipaggiati con diversi sistemi operativi tra cui Windows, macOS e Linux. Il team di Hypergrid è poi in grado eseguire la migrazione tra diversi hypervisor e da/verso macchine fisiche con risultati rapidi ed efficienti.

Per informazioni contattateci all’indirizzo info@hypergrid.it o al numero di telefono 0382 528875