Perché il ransomware prenderà sempre più di mira il Cloud

Il ransomware rappresenta oggi un business da miliardi di dollari per i criminali informatici e, come è avvenuto per altri settori, si è evoluto nel tempo per diventare più efficiente e massimizzare i profitti. Gli hacker non si dedicano più al lancio di attacchi ransomware in modo indiscriminato, ma stanno prendendo di mira specifici obiettivi di alto valore all'interno delle aziende e settori di mercato che probabilmente pagheranno riscatti più elevati per riavere i loro file. Gli attaccanti continueranno quindi a perfezionare le loro tattiche per guadagnare sempre più denaro e – come sostiene il CTO di WatchGuard, Corey Nachreiner - la prossima generazione di ransomware prenderà di mira risorse basate su cloud, inclusi archivi di file, bucket Amazon S3 e ambienti virtuali.

Quando il ransomware è entrato sulla scena per la prima volta nel 2013 con CryptoLocker, gli attaccanti hanno preso di mira chiunque, dai CEO alle persone anziane. Anche se solo una bassa percentuale delle vittime ha pagato il riscatto relativamente piccolo, i cyber criminali stavano inviando un volume così elevato di ransomware che avrebbero comunque fatto parecchi soldi. Questo ampio approccio "shotgun blast" è passato di moda tra il 2016 e il 2017 a causa del calo dei tassi di successo di questi ransomware proprio in virtù dei miglioramenti apportati alle protezioni antivirus. Gli attaccanti hanno quindi iniziato a prendere di mira settori in cui le aziende non possono permettersi tempi di inattività, come la sanità, i governi statali e locali e i sistemi di controllo industriale. I criminali hanno scelto i loro obiettivi con maggiore attenzione, hanno dedicato più tempo e sforzi per irrompere nelle reti delle vittime e hanno chiesto riscatti più ampi. In breve, hanno adattato le loro tattiche per massimizzare i profitti.

In prospettiva, l’esperto di sicurezza Nachreiner ritiene che il ransomware prenderà sempre più di mira il cloud per tre motivi. Innanzitutto, finora il cloud è stato colpito meno dal ransomware, quindi rappresenta una nuova opportunità di mercato per gli attaccanti.

In secondo luogo, i dati e i servizi archiviati o eseguiti nel cloud sono ora fondamentali per le operazioni quotidiane di molte aziende. Cinque anni fa, un'azienda poteva essere in grado di funzionare anche senza cloud, quindi la pressione per pagare un riscatto non sarebbe stata così elevata. Ora, la maggior parte delle aziende sarebbe paralizzata se perdesse l'accesso alle proprie risorse cloud pubbliche o private. Tutto ciò crea grandissima pressione quando è necessario ripristinare rapidamente i servizi in ospedali, amministrazioni cittadine o centrali elettriche.

In terzo luogo, il cloud offre un interessante punto di aggregazione che consente agli attaccanti di accedere a un numero di vittime molto più ampio. La crittografia di un singolo Amazon Web Server fisico potrebbe bloccare i dati per decine di aziende che hanno affittato spazio su quel server. Diversi attacchi nel primo e nel secondo trimestre del 2019 hanno coinvolto cyber criminali che hanno dirottato diversi strumenti di gestione dei fornitori di servizi gestiti e li hanno usati come punto di accesso strategico da cui distribuire i ransomware Sodinokibi e Gandcrab ai loro elenchi clienti. Lo stesso principio si applica al cloud: l'hacking di una struttura centrale basata su cloud ha permesso agli aggressori di colpire dozzine o centinaia di vittime.

Per prevenire gli attacchi ransomware nel cloud, le aziende hanno bisogno della sicurezza del cloud. Molte risorse IT ritengono di non doversi preoccupare di proteggere i dati in una implementazione Infrastructure as a Service (IaaS) perché Microsoft o Amazon lo faranno per loro. Questo è solo parzialmente vero. Sebbene la maggior parte dei provider di cloud pubblici fornisca controlli di sicurezza di base, potrebbe non includere tutti gli ultimi servizi di sicurezza necessari per prevenire minacce più evasive. Ad esempio, la maggior parte dei provider IaaS offre una qualche forma di protezione anti-malware di base, ma non le soluzioni anti-malware basate sul comportamento e sull'apprendimento automatico più sofisticate disponibili oggi. L’Internet Security Report di WatchGuard ha scoperto che tra un terzo e la metà di tutti gli attacchi di malware utilizzano tecniche di evasione o offuscamento per aggirare le soluzioni antivirus tradizionali basate su firma. Senza una maggiore presenza di antimalware proattivo, i ransomware moderni potrebbero superare i controlli di sicurezza del cloud di base. Fortunatamente, è possibile ottenere oggi sul mercato una versione virtuale o cloud della maggior parte delle soluzioni di sicurezza di rete, e sarebbe raccomandabile usarle per proteggere i propri ambienti cloud.

Infine, le configurazioni errate e gli errori umani commessi durante l'impostazione delle autorizzazioni e delle policy del cloud creano punti deboli che gli attaccanti possono sfruttare per rilasciare ransomware. Ogni organizzazione che utilizza un cloud pubblico o privato dovrebbe rafforzare questi ambienti proteggendo correttamente le configurazioni del bucket S3, gestendo le autorizzazioni dei file, richiedendo l'autenticazione a più fattori per l'accesso e altro ancora. Esistono molte guide di "cloud hardening" che possono aiutare in questo, ed è consigliabile per chi è nuovo nel cloud di prenderle attentamente in esame.

Man mano che i servizi cloud diventano sempre più critici per le operazioni quotidiane di più aziende, gli autori di ransomware li prenderanno di mira per massimizzare i profitti. La buona notizia è che il cloud può essere protetto con molte delle stesse best practise che si applicano alle reti fisiche. È quindi raccomandabile oggi di fare uno sforzo per mantenere le proprie implementazioni cloud sicure e protette, perché in futuro potresti essere contento di averlo fatto.