Il ransomware si è evoluto e diversificato, per questo imprese e istituzioni dovrebbero dotarsi di soluzioni di intelligenza artificiale per contrastare le minacce.
Da tempo le imprese manifatturiere sono nel mirino de cybercriminali. “Di fatto, il settore manifatturiero è stato il più bersagliato dai ransomware nel 2021”, ha affermato Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI. “L’anno scorso anche colossi come il produttore tedesco Knauf e le case automobilistiche Toyota e Ferrari sono stati vittima di attacchi ransomware”. Ecco le sue riflessioni.
Le tattiche sono ora automatizzate
Quando si tratta di difendersi da questo genere di attacchi, uno dei problemi principali che devono affrontare le aziende è legato al fatto che negli ultimi anni il ransomware si è evoluto e diversificato. Gli aggressori sono passati da tattiche elementari e completamente automatizzate, abbastanza semplici da prevenire, a tattiche più mirate e sofisticate.
Allo stesso tempo, la maggior parte dei security team aziendali utilizza le stesse vecchie tattiche per cercare di prevenire attacchi ransomware, adottando un approccio ormai superato.
È giunto il momento per i produttori di evolversi, il che significa guardare oltre un approccio preventivo che cerca di impedire al ransomware di fare breccia nel perimetro aziendale, e concentrarsi invece sulla necessità di dotarsi di strumenti in grado di rilevare e fermare un attacco sul nascere.
Una cosa è certa: nel sempre più vasto panorama IT di oggi, l’Intelligenza artificiale (AI) giocherà un ruolo decisivo nel contrasto contro il ransomware.
Una minaccia che si diversifica
Le prime forme di ransomware funzionavano con il pilota automatico e seguivano un semplice modello commerciale: infettare il maggior numero possibile di computer, perché almeno una parte delle vittime avrebbe sicuramente pagato per recuperare i propri file. Questo cosiddetto “commodity ransomware” si è presto evoluto fino a dare la caccia e crittografare intere unità di rete, con l’intenzione di aumentare le possibilità di bloccare qualcosa di cui la vittima non può fare a meno. Durante questa evoluzione iniziale gli aggressori hanno iniziato anche a prendere di mira organizzazioni come le aziende manifatturiere, piuttosto che le singole persone, perché considerate più propense a pagare riscatti elevati per recuperare file critici.
Da qui, il “commodity ransomware” è stato combinato con i worm, in modo da poter atterrare su un singolo sistema e poi infettare rapidamente anche i sistemi vicini. Si è trattato di un importante passo avanti per gli attaccanti: bastava che una sola vittima cadesse nell’e-mail di phishing perché si diffondessero rapidamente in migliaia di altri computer. Nonostante sia in circolazione da molti anni, questo tipo di ransomware rimane una minaccia reale.
Ransomware in franchising
Oltre alla diversificazione dell’attacco stesso, il modello di business del ransomware si è ramificato in un modello di franchising. L’affiliante fornisce gli strumenti, i playbook e altre infrastrutture di attacco necessarie, mentre gli affiliati utilizzano questi servizi per eseguire gli attacchi, inviando una percentuale del riscatto all’affiliante.
Il ransomware è diventato così un’industria a tutti gli effetti e non sorprende che le sofisticate varianti gestite manualmente dall’uomo siano state identificate da Microsoft come “una delle tendenze più impattanti negli attacchi informatici di oggi”.
L’Intelligenza Artificiale per rinforzare le difese contro i ransomware
Generalmente le varianti di commodity ransomware già note possono essere bloccate all’ingresso, se i team di sicurezza hanno accesso a indicatori tempestivi di compromissione.
Anche i tipi più recenti di commodity ransomware che riescono ad aggirare le misure preventive sono in genere di portata piuttosto limitata e possono essere superati con un buon processo di backup e recovery.
Contenere le varianti di commodity ransomware in rapida evoluzione può essere più difficile, anche se in questi casi il modello Zero Trust e altri controlli basati su policy sono un armamentario adeguato a contenere i focolai.
Quando si tratta di attacchi ransomware più mirati e gestiti dall’uomo, l’attenzione deve spostarsi dal tentativo di prevenire l’inevitabile al rilevamento e alla risposta agli attacchi riusciti nel momento più precoce possibile. Ed è qui che entra in gioco l’Intelligenza Artificiale.
Poiché le stime indicano che il tempo medio di permanenza in un attacco ransomware è di 43 giorni, l’Intelligenza Artificiale dovrebbe svolgere un ruolo decisivo all’interno del team di sicurezza per aiutare a stanare la minaccia.
Mentre un team di analisti potrebbe aver bisogno di giorni o addirittura settimane, l’Intelligenza Artificiale è in grado di rilevare rapidamente, se non immediatamente, quando gli attaccanti si muovono nei sistemi prima che venga avviata la diffusione del ransomware.
Questo perché l’Intelligenza Artificiale è in grado di contestualizzare e consolidare l’ampia gamma di segnali e marcatori lasciati dagli attaccanti mentre si muovono attraverso i sistemi per raggiungere il loro obiettivo.
L’Intelligenza Artificiale è in grado di riunire tutte queste informazioni disparate in un quadro chiaro, consentendo ai team di sicurezza di rispondere in modo efficiente alle minacce più critiche.
