Il pozzo d’oro per i criminali informatici

L’ENISA, l’Agenzia dell’Unione europea per la sicurezza informatica, ha pubblicato l’ultima edizione del rapporto ENISA Threat Landscape (ETL), che analizza l’attività criminale informatica tra aprile 2020 e luglio 2021. Si avverte di un’impennata della criminalità informatica, in gran parte guidata dalla monetizzazione degli attacchi ransomware.

Il ransomware è la minaccia alla cyber security più significativa che le organizzazioni devono affrontare al giorno d’oggi, poiché i criminali informatici, sempre più professionali e sofisticati,  stanno guadagnando sempre di più con questo strumento che li porta a massimizzare i profitti dalle loro campagne illecite.

Sebbene il documento avverta che molte e diverse minacce alla sicurezza informatica sono in aumento, il ransomware rappresenta la “minaccia principale” affrontata oggi dalle organizzazioni, con un aumento del 150% degli attacchi ransomware durante il periodo di riferimento. E si teme che, nonostante il problema del ransomware attiri l’attenzione dei leader mondiali, il problema peggiorerà prima di migliorare.

Il ransomware  sta vivendo una vera e propria epoca d’oro, diventando una priorità per la sicurezza nazionale e alcuni sostengono che non abbia ancora raggiunto il picco del suo impatto.

I criminali informatici innescano un attacco ransomware compromettendo segretamente le reti, spesso tramite attacchi di phishing, compromettendo i servizi cloud o sfruttando le vulnerabilità, prima di installare malware per la crittografia dei file sul maggior numero possibile di sistemi. Le vittime vengono bloccate da file e server e i criminali informatici richiedono un pagamento di riscatto, effettuato in criptovaluta, in cambio della chiave di decrittazione. In molti casi, la vittima pagherà.

Quindi uno dei fattori chiave dietro l’aumento della minaccia del ransomware è proprio la quantità di denaro che si può guadagnare; i criminali informatici possono ottenere milioni di dollari da un singolo attacco. È probabile che il successo delle campagne di ransomware incoraggerà solo più cattivi attori a essere coinvolti con il ransomware, in particolare quando si tratta di operazioni pratiche che possono paralizzare un’intera rete.

E’ molto probabilmente che sempre più criminali informatici dirottino il loro target per concentrarsi su operazioni mirate di ransomware e replicare questi successi.

Incidenti come l’attacco ransomware Darkside contro Colonial Pipeline hanno dimostrato quanto possa essere dirompente un attacco ransomware, nella misura in cui ha un impatto sulla vita di tutti i giorni. Ricordiamo che l’incidente ha portato alla carenza di forniture di gas negli Stati Uniti nordorientali, costringendo le persone a cercare di accumulare scorte. Alla fine, Colonial ha pagato ai criminali informatici quasi $ 5 milioni per la chiave di decrittazione.

Sebbene eventi come questo ricevano molta attenzione, si ritiene che ci siano molti altri attacchi ransomware in cui le vittime pagano tranquillamente il riscatto senza alcuna pubblicità: gli incidenti che vengono divulgati pubblicamente o che ricevono l’attenzione dei media sono solo la punta dell’iceberg.

Tuttavia, il rapporto rileva anche che sono state intraprese azioni contro il ransomware, con i governi che hanno “intensificato il loro gioco”, riconoscendo la minaccia e conducendo sforzi multinazionali nel tentativo di affrontare il problema. Il rapporto spiega anche come nell’ultimo anno siano stati effettuati diversi arresti per il coinvolgimento in bande di ransomware, indicando che, almeno per alcuni criminali informatici, le loro azioni hanno delle conseguenze.

“Data l’importanza del ransomware, avere la giusta intelligence sulle minacce a portata di mano aiuterà l’intera comunità della sicurezza informatica a sviluppare le tecniche necessarie per prevenire e rispondere al meglio a questo tipo di attacchi”, ha affermato il direttore esecutivo dell’ENISA, Juhan Lepassaar. “Un tale approccio può solo riunirsi attorno alla necessità, ora sottolineata dalle conclusioni del Consiglio europeo, di rafforzare in modo più specifico la lotta contro la criminalità informatica e il ransomware”.

L’ascesa del modello di business exploit-as-a-service conferma che l’ambiente criminale informatico è in costante crescita sia in termini di sofisticatezza che di professionalizzazione. Alcuni gruppi criminali di alto profilo possono ora competere in termini di competenze tecniche con organizzazioni sponsorizzate dallo stato attori; molti importanti gruppi di ransomware in particolare hanno ora accumulato risorse finanziarie sufficienti per acquistare zero-day pubblicizzati in ambienti illeciti”.

Le organizzazioni devono sviluppare una strategia di mitigazione che includa backup sicuri, in modo che in caso di attacco ransomware, la rete possa essere ripristinata senza cedere alla richiesta di riscatto. Ma anche aggiornare continuamente i software con le ultime patch di sicurezza in modo che i criminali informatici non possano sfruttare le vulnerabilità note per entrare o spostarsi nella rete.

La soluzione innovativa che permettano di PREVENIRE gli attacchi ancor prima che succedano basandosi su un brevetto israeliano è la DECEPTION di Deceptive Bytes che mira a rilevare le tecniche di defense evasion utilizzate dall’attaccante prima ancora di sferrare l’attacco.

Utilizza una nuova tecnologia per scovare attacchi anche sconosciuti e sofisticati con la metodologia dell’inganno (Deceptive). Fornisce una soluzione innovativa contro le minacce nelle risorse più critiche ed esposte delle imprese, i loro end-point! La soluzione crea informazioni dinamiche e ingannevoli che interferiscono con qualsiasi tentativo di ricognizione dell’ambiente e dissuadono l’attaccante dall’eseguire i suoi intenti maliziosi, attraverso tutte le fasi di compromesso nella catena di attacco – coprendo tecniche di malware avanzate e sofisticate, assicurandosi costantemente che tutti gli end-point e dati nell’azienda siano protetti. E in grado di intercettare il 98% degli attacchi; anche quelli sconosciuti ed estremamente sofisticati. Richiede pochissime risorse e non deve essere costantemente aggiornato. Premiato da GARTNER come COOL VENDOR (leggi il report ufficiale).