La piaga degli attacchi ransomware continua a colpire quasi tutte le istituzioni del settore pubblico e privato. Nessuno è immune. Nel 2019, ci sono stati più di 140 attacchi ransomware contro organizzazioni governative e sanitarie. In particolare, nel 2020, gli ospedali sono stati presi di mira incessantemente. Difendersi dai ransomware è quindi fondamentale per ogni professionista del settore IT, indipendentemente dal settore.

Leggi il white paper Difendersi dai ransomware con Zscaler Workload Segmentation.

La minaccia dei ransomware non è una novità

Il primo ransomware è apparso già nel 1989, ma i criminali informatici hanno iniziato a lanciare attacchi diffusi attorno al 2012. In genere, per infettare una rete, i ransomware utilizzano attacchi di phishing o sfruttano lacune nella sicurezza.

Nel caso di un attacco di phishing, il bersaglio riceve un'email con un documento che, una volta aperto, avvia il ransomware. In alcuni casi, l'attacco può utilizzare strumenti di ingegneria sociale per indurre l'utente a fornire al malware le credenziali che rendono possibile l'attacco.

Altri tipi di ransomware, invece, non richiedono di cliccare su un documento infetto, ma sfruttano le falle nella sicurezza per compromettere i sistemi. NotPetya rappresenta un esempio particolarmente sgradevole di questa variante. In un caso specifico, NotPetya ha sfruttato una backdoor in un software di contabilità molto popolare in Ucraina, per poi diffondersi su altri sistemi sfruttando vulnerabilità (a cui sono state ora applicate delle patch), note come EternalBlue ed EternalRomance, nell'implementazione di Windows del protocollo SMB (Server Message Block). NotPetya è particolarmente violento perché non comporta alcuna richiesta di riscatto, ma genera un numero casuale per criptare tutti i dati che incontra, distruggendoli definitivamente. Non c'è modo di recuperare la chiave per decriptarli.

Negli ultimi anni, i ransomware sono diventati molto più sofisticati. Molti ceppi non criptano più il primo dispositivo che trovano sul loro cammino; sorvegliano invece l'ambiente per determinare in che modo spostarsi lateralmente nella rete per infettare ulteriori risorse, spesso sfruttando strumenti legittimi, come la ricognizione del protocollo SAMR (Security Account Manager Remote) e del DNS (Domain Name Server) utilizzando nslookup. Con queste informazioni, il malware è in grado di spostarsi silenziosamente attraverso la rete e depositare ransomware in altri sistemi. Una volta raggiunta una massa critica, il ransomware cripta tutte le risorse contemporaneamente, paralizzando l'azienda.

Difendersi dai ransomware

Sentiamo spesso dire che una solida protezione dei dati è la miglior difesa contro gli attacchi ransomware. In fin dei conti, se si hanno a disposizione dei backup, non è necessario pagare il riscatto e basta semplicemente ripristinare tutti i file. Anche se il malware riesce a criptare i dati di un'azienda, se i file di backup e di ripristino di emergenza (Disaster recovery) sono intatti, le aziende possono evitare di pagare il riscatto e i reparti IT possono ripristinare tutto allo stato antecedente all'attacco.

Ma piuttosto che utilizzarli in prima linea, i backup dovrebbero essere usati come ultima risorsa nelle strategie di difesa. Si pensi che, se l'attacco è di portata significativa, potrebbero dover essere ripristinati petabyte di dati, un processo che può richiedere giorni o addirittura settimane per essere completato, e che quindi può bloccare le operazioni aziendali per molto tempo. Peggio ancora, se i backup sono connessi alla rete, è possibile che il ransomware li abbia già distrutti, e che, pertanto, non vi siano alternative al pagamento del riscatto. Questa è una situazione molto spiacevole in cui trovarsi, e non solo per via del costo. Ad esempio, la città di Lake City, in Florida, ha pagato un riscatto per decriptare circa duecento terabyte di dati che erano stati colpiti da un attacco, ma la procedura di decriptazione è durata più di otto giorni. Per le organizzazioni di grandi dimensioni, che hanno petabyte di dati, questo processo potrebbe richiedere anche più di un mese.

Allo stesso modo, sentiamo molto spesso parlare dell'importanza della formazione dei dipendenti, che devono essere istruiti a non cliccare sui documenti che vengono utilizzati negli attacchi di phishing, ma anche questo non è sufficiente.

I criminali informatici sviluppano costantemente nuovi modi per ingannare i dipendenti e, in un'organizzazione molto grande, qualcuno, alla fine, commetterà l'errore di fare clic su un file infetto. Inoltre, la formazione dei dipendenti non è d'aiuto per quegli attacchi che sfruttano le falle nella sicurezza, il cui successo non dipende da un clic su un documento.

Un approccio zero trust per contrastare i ransomware

In un ambiente zero trust , tutte le comunicazioni interne vengono considerate potenzialmente ostili. Ogni comunicazione tra i carichi di lavoro deve essere autorizzata, prima che possa avere luogo. In questo modo, lo zero trust è in grado di impedire ai ransomware di spostarsi lateralmente su tutta la rete, e c'è molta differenza tra un malware che cripta un singolo laptop e un malware che cripta centinaia di server e database nel mondo.

Lo zero trust è reso possibile dalla microsegmentazione, ma i metodi tradizionali di microsegmentazione di una rete dipendono da un indirizzo IP "attendibile". Questo crea notevoli preoccupazioni correlate all'operatività e alla sicurezza. A livello operativo, le policy si interrompono quando la rete sottostante cambia, e le reti moderne cambiano costantemente. È persino più difficile gestire le policy in ambienti con scalabilità automatica, come il cloud o i container in cui gli indirizzi IP sono effimeri. Man mano che gli indirizzi IP cambiano, i reparti IT dovrebbero aggiornare costantemente le policy, e questa è un'attività che richiede molto lavoro manuale e che di conseguenza può portare a errori. Inoltre, i ransomware sono in grado di eludere i controlli basati sugli indirizzi, sfruttando le policy dei firewall approvate, in quanto i firewall non sono progettati per distinguere tra software buoni e malevoli.

Esiste tuttavia un nuovo modello di microsegmentazione che si basa sull'identità di software, host e dispositivi comunicanti, separando il piano di controllo dalla rete, per una migliore sicurezza e operazioni più semplici. Con un approccio basato sull'identità, a ogni carico di lavoro viene assegnata un'identità (o "fingerprint", impronta digitale) immutabile e unica, in base a decine di proprietà della risorsa stessa, come l'UUID dei bios, i numeri di serie dei processori o un hash SHA-256 di un file binario. Questa identità viene quindi verificata prima che i carichi di lavoro siano autorizzati a comunicare. La verifica dell'identità impedisce a software, dispositivi e host dannosi di comunicare.

Ad esempio, supponiamo che qualcuno faccia clic su un file infetto che avvia un ransomware sul computer desktop di quell'utente. Se il ransomware tenta di utilizzare il protocollo SAMR o nslookup per eseguire la ricognizione della rete, le policy zero trust, basate sull'identità, bloccheranno questa comunicazione, perché il ransomware non è autorizzato. Analogamente, anche i tentativi di spostarsi su altre risorse saranno negati. In questo modo, anche se il ransomware ottiene inizialmente un punto di ingresso nella rete, il danno che può arrecare è limitato a un semplice fastidio, e non si traduce in una catastrofe di proporzioni globali.

Leggi questo white paper e scopri di più: Difendersi dai ransomware con Zscaler Workload Segmentation.