I fatti di cronaca sono sempre più popolati di clamorosi attacchi ransomware. Tralasciando il dettaglio dell'uno o dell'altro episodio, lo sguardo più ampio fa comprendere che stiamo assistendo a un inasprimento delle campagne ransomware. E all'evoluzione degli attacchi che trasformano i ransomware in minacce di fatto sempre più organizzate e sofisticate.

Complice di questo anche il cosiddetto ransomware-as-a-service, che permette a una base sempre più ampia di criminali di scagliare pericolosi attacchi sfruttando strumenti già esistenti e avanzati. Una situazione, questa, che crea preoccupazioni crescenti per i CISO in tutto il mondo, impegnati nel fronteggiarli e dovere allo stesso tempo difendere un ambiente sempre più distribuito.

Rodolfo Rotondo, Principal Business Solution Strategist di VMware EMEA cita il nuovo report Global Security Insights in cui VMware ha intervistato 3.542 CISO di 14 diversi Paesi, rilevando come gli attacchi ransomware siano oggi la causa primaria delle violazioni informatiche all’interno delle aziende di tutto il mondo. Il numero medio di attacchi ransomware subiti è raddoppiato nell'ultimo anno. Inoltre, la VMware Threat Analysis Unit ha identificato un aumento del 900% dei ransomware nella prima metà del 2020. Nessun settore è oggi immune dagli attacchi.


Le nuove tattiche di attacco, inoltre, stanno rendendo il ransomware una minaccia molto più sfumata e difficile da rilevare. Invece di bloccare immediatamente i sistemi, gli aggressori mirano a infiltrarsi senza essere individuati e a stabilire una presenza nella rete target, muovendosi lateralmente ed estraendo dati che possono essere monetizzati anche nel momento in cui non venga pagato alcun riscatto. La crittografia del sistema e la richiesta di riscatto non sono effettuate fino a quando l’hacker non ha dissimulato bene le proprie tracce e stabilito un percorso di ritorno nella rete di destinazione.

Queste tecniche, sicuramente più sofisticate, concedono ai criminali informatici una maggiore presa e controllo sulle vittime. Oltre alla necessità di decriptare i propri sistemi, per le organizzazioni si pone anche il rischio che risorse critiche come i dati dei clienti o i segreti commerciali vengano diffusi illecitamente per la vendita sul dark web e che la violazione venga resa pubblica.

Il rischio per la reputazione è talmente forte che spesso la pressione a pagare il riscatto è altrettanto significativa. Tuttavia, a meno che la presenza dell'aggressore nella rete di un'organizzazione non venga definitivamente rimossa, rimane sempre alta la possibilità che questo ritorni, e sferri un altro attacco contro l’obiettivo che ha mostrato disponibilità a pagare il riscatto. Circa il 40% dei professionisti della sicurezza afferma che il ransomware a doppia estorsione è la nuova tecnica di attacco ransomware del 2020.

Rafforzare le difese contro il ransomware

In questo scenario i CISO devono rafforzare le difese contro il ransomware e proteggere la propria organizzazione, offrendo la sicurezza come servizio distribuito. Per proteggere la forza lavoro distribuita, indipendentemente dai dispositivi e dalle reti utilizzate dai dipendenti, è necessario fornire controlli degli endpoint e della rete in grado di seguire le risorse da proteggere attraverso tutto l'ambiente.

per portare a termine questo arduo compito è anche necessario dare priorità alla visibilità: una migliore visibilità sugli endpoint e sui workload offre una visione e un’intelligenza sul contesto in grado di supportare i team di sicurezza nel prioritizzare le diverse situazioni e gestire il rischio con maggior fiducia.

Altro punto fermo è la necessità di condurre regolarmente la ricerca delle minacce al fine di identificare gli attacchi silenti. A seguito di un primo attacco è poi imperativo monitorare i sistemi per evitare una seconda offensiva.

Non ultimo, bisogna scegliere un partner di sicurezza affidabile e specializzato nell’Incident Response per sviluppare un piano di risposta e implementarlo, quando necessario, con tanto di remediation e analisi post incidente.