Durante un “classico” attacco ransomware, il criminale informatico cerca di distribuire il malware direttamente alle macchine che intende infettare. E se invece fosse un dispositivo connesso alla rete stessa a iniziare l’attacco di cifratura? In questo caso si tratta di crittografia remota: ce ne parla Giampiero Petrosi, Regional Vice President Sales Engineering Southern Europe di Rubrik.
Ransomware remoto: cos’è e perché è temuto
In un attacco di crittografia remota, detto anche ransomware remoto, gli endpoint compromessi vengono utilizzati per cifrare i dati presenti su altri dispositivi della stessa rete. I criminali informatici prendono di mira i dispositivi non gestiti, ovvero dispositivi che possono accedere alla rete dell’organizzazione ma non dispongono di una protezione endpoint di livello aziendale. Questo tipo di attacco ha preso piede negli ultimi anni a causa dell’aumento delle modalità di lavoro da qualsiasi luogo, poiché vi sono più dispositivi non gestiti che si connettono alle reti aziendali.
I ransomware remoti sono molto più pericolosi di quelli “classici”. Infatti, dato che la crittografia e altre attività dannose avvengono su macchine già compromesse, questi attacchi sono in grado di aggirare le misure di sicurezza. I ransomware remoti eludono le difese presenti sull’edge della rete, come i firewall, e i metodi di autenticazione. Inoltre, poiché è il processo di sistema a eseguire la crittografia, le attività di remediation basate sui processi risultano inefficaci. Come se non bastasse, questi attacchi sono estremamente scalabili: basta infatti un solo endpoint per minacciare l’incolumità dell’intera rete.
Secondo uno studio effettuato Microsoft, il Digital Defense Report 2023, nell’ultimo anno circa il 60% degli attacchi ransomware a livello globale ha coinvolto metodi di crittografia remota nel tentativo di aumentare l’elusività del malware. Inoltre, più dell’80% di tutte le compromissioni prese in esame da Microsoft provengono da dispositivi non gestiti, tra i quali i dispositivi personali utilizzati per fini aziendali. Buona parte degli attacchi sfrutta come punto d’ingresso vulnerabilità presenti in software poco utilizzati installati sui dispositivi non gestiti, rendendo difficile la prevenzione degli attacchi e la correzione delle vulnerabilità.
Come difendersi dal ransomware remoto?
Abbiamo a che fare con un nemico temibile, quindi come proteggersi? Le soluzioni sono essenzialmente due: il controllo degli endpoint, per la prevenzione, e la difesa dei backup, per il recupero in caso di attacco.
Eliminare i dispositivi non gestiti significa eliminare un punto d’ingresso
Dato che i dispositivi non gestiti sono il principale vettore di attacchi ransomware remoti (come abbiamo citato, ben l’80%!), è su questa problematica che le aziende dovrebbero concentrarsi. La priorità più impellente è quella di mettere in atto policy sull’utilizzo dei dispositivi per la connessione alle reti aziendali. I dipendenti non dovrebbero potersi connettere ai sistemi dell’organizzazione tramite i loro dispositivi personali, che potrebbero essere infetti, ma solo con dispositivi forniti e gestiti dall’azienda. Il team di sicurezza dell’azienda dovrebbe tenere questi dispositivi costantemente aggiornati, installarvi software per la protezione degli endpoint e eseguire controlli periodici per garantire l’assenza di malware.
I backup sono un tesoro prezioso, proteggiamoli
Per riprendersi rapidamente dagli attacchi ransomware, le aziende devono utilizzare dei robusti sistemi di backup. Questi sistemi devono essere in grado di proteggere i dati archiviati dagli attacchi ransomware, che spesso li prendono di mira, e fornire un recupero veloce in caso di compromissione. Inoltre, poiché i sistemi di backup catturano i dati (contenuti e metadati) dei carichi di lavoro critici e, soprattutto, nel tempo, l’analisi dei dati di backup può essere utilizzata per identificare e mitigare i rischi. Il rilevamento delle anomalie permette di determinare il raggio d’azione di un attacco informatico, e di identificare i soli dati compromessi. In questo modo, è possibile effettuare un ripristino puntuale e focalizzato necessario per una ripresa rapida ed efficiente delle attività aziendali.
Chi fosse interessato ad approfondire la questione dei backup può consultare la pagina di web di Rubrick dedicata.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
