A 5 anni dall’attacco globale Wannacry, Chris Novak di Verizon spiega perché il backup rimane l’arma vincente per le aziende.

backup

Sembra incredibile, ma ancora oggi un gesto apparentemente semplice, come il backup, rimane una delle migliori strategie per far fronte agli attacchi ransomware, violazioni che costano in media oltre 10.000 dollari alle aziende, ma possono arrecare danni che superano anche il milione di dollari. Con un numero crescente di persone che lavorano da remoto, questo genere di attacchi negli ultimi anni è ulteriormente aumentato. Questo è quanto rilevato dall’ultimo Data Breach Investigations Report di Verizon, secondo il quale gli attacchi messi in atto in questo modo sono arrivati ad essere responsabili del 10% delle violazioni a livello globale. Questa crescita è stata determinata soprattutto dalla diffusione di nuove tipologie di ransomware, che oltre a rubare i dati permettono anche di crittografarli rendendoli inutilizzabili.

Fra i settori più colpiti da questa tipologia di attacchi informatici vi sono l’intrattenimento, il settore sanitario, il manifatturiero, quello minerario-estrattivo e quello finanziario-assicurativo. Quest’ultimo in particolare è spesso oggetto di attacchi su larga scala messi in atto da attori esterni, in quanto ritengono questo comparto una facile e appetibile preda.

Anche se negli ultimi anni gli attacchi ransomware sono notevolmente cambiati, il backup rimane sempre un’arma vincente.

È difficile credere che siano trascorsi solo cinque anni dal caso Wannacry, l’attacco informatico che originariamente ha sfruttato un exploit dell’NSA noto come EternalBlue. Questo a sua volta si serviva di una vulnerabilità zero-day presente in Microsoft Windows. Ciò che in molti potrebbero trovare sorprendente è che Wannacry, nonostante abbia colpito centinaia di migliaia di computer e causato danni per miliardi di dollari, abbia in realtà fruttato agli hacker solo poche centinaia di migliaia di dollari in riscatti.
Wannacry è stato pressoché unico nel suo genere, in quanto presentava un dominio kill switch hardcoded. Una volta che quel dominio è stato registrato, si è sostanzialmente messo fine alla diffusione del ransomware. È stato anche scoperto che aveva alcuni punti deboli nel modo in cui crittografava il disco rigido dei computer colpiti, che avrebbe permesso anche il recupero dello stesso da parte di un esperto.

Tuttavia, negli ultimi cinque anni i criminali informatici hanno cambiato molto il loro approccio e migliorato i loro strumenti in modo sostanziale. La maggior parte dei ransomware oggi non ha un kill switch per fermarne la diffusione e le loro capacità crittografiche sono praticamente impeccabili. Abbiamo anche assistito a un passaggio verso una tipologia di ransomware che non solo può eseguire il rendering del sistema rendendo i dati irrecuperabili, ma anche a nuove varianti che riescono a sottrarre una copia dei dati per poi estorcere denaro agli utenti in cambio della mancata pubblicazione delle informazioni rubate.

Nonostante il panorama della sicurezza IT sia sempre in evoluzione, ci sono due temi che continuano a essere sempre attuali. Da un lato gli attacchi ransomware sono molto redditizi, non richiedono molto sforzo da parte degli hacker e presentano un basso livello di rischio, e per questo continueranno a essere utilizzati. Dall’altro la gestione delle vulnerabilità e degli aggiornamenti è di fondamentale importanza per prevenire e mitigare futuri attacchi.
Ma cosa possono fare le aziende per prevenire un attacco ransomware? Il backup, nel quotidiano, continua a essere un’ottima strategia, ma bisogna prestare attenzione a qualche accorgimento.

  • Disporre dei backup dei propri dati è senza dubbio un’azione molto semplice, ma anche molto efficace per limitare i danni di questo tipo di attacchi. Certo la semplice installazione di una soluzione di backup non è sufficiente, ma può davvero aiutare le imprese a garantire la loro business continuity anche nel momento dell’attacco.
  • Le aziende devono assicurarsi che i loro backup non siano collegati ai computer e alle reti di cui si sta facendo una copia di sicurezza, ad esempio archiviandoli fisicamente offline.
  • È opportuno controllare che i backup siano stati eseguiti correttamente, perché in caso di emergenza, dovendo ripristinare i dati rubati o bloccati, sarebbe controproducente dover gestire ulteriori criticità.

di Chris Novak, Direttore del Verizon Threat Research Advisory Center