Secondo Statista, business platform numero uno al mondo e fornitore leader di dati di mercato e di consumo, il 71% delle aziende globali ha risentito dell’impatto delle tendenze legate al ransomware. Il 62,9% delle vittime di ransomware ha pagato il riscatto. I ransomware utilizzano una miriade di tecniche e di strumenti per infiltrarsi nelle reti, nelle applicazioni e nei computer, gettando le basi per la richiesta di riscatto. Ecco perché una soluzione Secure Access Service Edge (SASE) che si concentra sulla protezione di questi asset dal ransomware è la prima linea di difesa contro gli attaccanti.

Aumento del rischio con il lavoro flessibile

Il ransomware può sfruttare l'accesso alle risorse aziendali, compresi i data center, gli ambienti di produzione IaaS e cloud, per propagarsi all'interno dell'organizzazione, bloccando le risorse IT vitali. Il pericolo di infezione e diffusione si moltiplica quando gli utenti operano al di fuori del perimetro aziendale. I dipendenti remoti potrebbero scaricare inconsapevolmente un file contaminato, interagire con una pubblicità dannosa o visitare un sito web infetto.

Obiettivi mobili in termini di costi, condotta e codice

Secondo CSO Online, nel 2022 il 76% delle aziende è stato preso di mira da un attacco ransomware, di cui il 64% è stato infettato e solo il 50% è riuscito a recuperare i propri dati dopo aver pagato il riscatto. Il rapporto Cost of a Data Breach 2022 di IBM ha rivelato un pagamento medio del riscatto di 812.360 dollari, con un costo totale per un attacco ransomware, in media, di 4,5 milioni di dollari.

Pierluigi Torriani, Security Engineering Manager per Check Point

Con l'aumento dei costi per le organizzazioni vittime, aumenta anche il numero di modi in cui gli attaccanti portano a termine i loro attacchi. I primi attacchi ransomware sono stati condotti da singoli individui, che hanno sviluppato e distribuito un numero massiccio di payload automatici a vittime selezionate a caso. Oggi gli attaccanti sono sofisticati e gestiscono veri e propri "modelli di business" come il ransomware-as-a-service, con un'attenta pianificazione e tattica di esecuzione.

Una volta entrati nella rete tramite malware e/o le vulnerabilità del sistema, alcuni attaccanti criptano i dati sensibili e minacciano di esporli. Le chiavi di decrittazione potrebbero essere o non essere rilasciate dopo il pagamento del riscatto, oppure, potrebbero non funzionare. Alcuni di questi criminali saltano la fase di crittografia e si limitano a minacciare la vittima di mostrare copie dei dati rubati. Le minacce di tipo "tripla estorsione" minacciano l'organizzazione e i dipendenti, i partner commerciali e i clienti. Altri attaccanti si limitano a distruggere i dati.

Il codice stesso del ransomware si è evoluto. Il famigerato WannaCry ha combinato un codice exploit rubato al governo degli Stati Uniti con un codice personalizzato, al fine di creare un worm ransomware in grado di diffondersi in una rete invece di crittografare semplicemente una singola workstation. Nel maggio 2017, un attacco globale di Wannacry ha infettato circa 200.000 computer in tre giorni, costando alle vittime miliardi di dollari in tutto il mondo. Dal 2020, il rapporto Ransomware in a Global Context di VirusTotal ha rilevato oltre 130 diversi ceppi di ransomware, il 95% dei quali basato su file eseguibili o librerie di collegamenti dinamici di Windows. L'anno scorso, Check Point Research ha anche osservato che le bande di ransomware utilizzano software IT legittimi nei loro attacchi, come per esempio le soluzioni di gestione remota.

Uno scenario reale - Prevenzione del ransomware con SASE

Un esempio di SASE con informazioni sulle minacce globali e in tempo reale per prevenire un attacco ransomware si è verificato in un ambiente di un cliente Check Point.

Nell'ottobre del 2022, ThreatCloud di Check Point ha identificato una variante zero-day di un malware evasivo multistadio noto come Raspberry Robin. Circa 45 minuti dopo l'aggiunta della variante a ThreatCloud, un utente remoto è stato infettato dalla variante attraverso un dispositivo USB. In meno di un minuto, la soluzione Check Point SASE del cliente ha bloccato le comunicazioni di comando e controllo del malware, neutralizzando l'attacco, impedendone l'attivazione ed evitandone la diffusione nella rete del cliente.

Difesa a livelli con SASE e protezione degli endpoint

Una soluzione SASE funge da prima linea di difesa contro gli attacchi ransomware zero-day noti e sconosciuti, proteggendo l'accesso aziendale e l'accesso a Internet per gli utenti remoti e le filiali. Harmony Connect, grazie alle informazioni in tempo reale sulle minacce e al sandboxing avanzato, previene lo sfruttamento delle vulnerabilità nei browser, nelle applicazioni e nei sistemi, impedendo al ransomware di prendere piede nella rete, ed evitando così che gli utenti accedano ai punti di infezione e scarichino file dannosi.

L'implementazione di una protezione aggiuntiva per gli endpoint, come Check Point Harmony Endpoint con funzionalità Anti-Ransomware, fornisce un'ultima linea di difesa contro i ransomware più sofisticati, impedendo loro di criptare i file sui dispositivi.

Pierluigi Torriani è Security Engineering Manager per Check Point