Il 49% delle vittime di ransomware perde i dati prima di rilevare l'attacco

Il 49% delle vittime di ransomware perde i dati prima di rilevare l'attacco

Il ransomware è sempre stato un problema doloroso, ma un nuovo report rivela quanto gravemente stia fallendo il rilevamento: quasi la metà delle vittime di ransomware ha subito il furto dei dati prima ancora di rendersi conto che un aggressore fosse all'interno della propria rete. Questa cifra è aumentata bruscamente dal 31% dell'anno precedente, segnalando che gli hacker non stanno solo diventando più audaci, ma considerevolmente più pazienti e furtivi.

Il tempo medio di permanenza prima del rilevamento si attesta ora intorno alle 2,5 settimane. Si tratta di 17 o più giorni durante i quali un aggressore può mappare silenziosamente i sistemi, identificare i file più preziosi e trasferirli all'esterno, il tutto prima che scatti un singolo allarme.

La vera minaccia è l'esfiltrazione, non solo la cifratura

La maggior parte delle persone immagina il ransomware come un evento drammatico: i file si bloccano, appare una richiesta di riscatto, le operazioni si fermano. Questa immagine è sempre più superata. I moderni gruppi ransomware sono passati a una strategia a due fasi. Prima rubano i dati. Poi, se e quando distribuiscono la cifratura, tengono in pugno le vittime con due minacce distinte: pagare per ripristinare l'accesso e pagare ancora per evitare che i dati rubati vengano pubblicati.

Questo approccio, spesso chiamato doppia estorsione, cambia completamente i termini del problema. Anche le organizzazioni con solidi sistemi di backup in grado di ripristinare rapidamente i file cifrati si trovano comunque esposte alla divulgazione di documenti sensibili dei clienti, dati finanziari o proprietà intellettuale. A quel punto la cifratura diventa quasi secondaria.

Il furto di dati rimane una caratteristica costante dell'attività estorsiva in oltre la metà dei casi anno dopo anno, a conferma che non si tratta di una tendenza passeggera. Ormai è il manuale operativo predefinito.

Perché il rilevamento è sempre più in ritardo

Il crescente divario tra intrusione e rilevamento indica alcuni problemi convergenti.

In primo luogo, gli aggressori utilizzano sempre più spesso strumenti legittimi già presenti nell'ambiente del bersaglio. I software di sicurezza sono progettati per segnalare firme malware sconosciute, ma quando un aggressore utilizza le utility di sistema integrate per spostare i file, quelle azioni spesso appaiono indistinguibili dal normale comportamento di un amministratore.

In secondo luogo, molte organizzazioni fanno ancora grande affidamento sulle difese perimetrali. Firewall e tunnel crittografati proteggono i dati in transito, ma una volta che un aggressore ha credenziali valide o ha stabilito un punto d'appoggio all'interno della rete, gli strumenti perimetrali offrono poca visibilità su ciò che accade lateralmente.

In terzo luogo, l'affaticamento da alert è un problema reale e ben documentato nei centri operativi di sicurezza. Quando i sistemi di rilevamento generano migliaia di alert a bassa fedeltà al giorno, i segnali autentici di intrusione vengono sommersi. Gli aggressori lo sanno e sincronizzano le loro attività per mimetizzarsi nei periodi di maggiore rumore.

Questo è anche il motivo per cui affidarsi a un unico strumento, inclusa una VPN, crea un falso senso di sicurezza. Una VPN cifra il traffico tra il dispositivo e internet, proteggendo i dati in transito e mascherando l'indirizzo IP. Ma non fa nulla per rilevare o bloccare il malware già in esecuzione su una macchina compromessa, e non offre alcuna visibilità sul comportamento dell'aggressore una volta che le credenziali sono state rubate. La violazione dei dati youX in Australia, in cui gli aggressori hanno avuto accesso a dati sensibili sull'identità presso un'azienda fintech, illustra come le intrusioni sofisticate possano aggirare le protezioni superficiali e causare conseguenze a cascata nel mondo reale.

Cosa significa per te

Che tu sia un professionista individuale o parte del team IT di un'organizzazione, il tempo medio di permanenza di 2,5 settimane dovrebbe farti ripensare al modo in cui consideri la sicurezza.

La domanda non è più solo "come tengo fuori gli aggressori?" ma anche "quanto velocemente saprei se qualcuno fosse già dentro, e cosa troverebbe?"

Per gli individui e le piccole imprese, questo significa:

• Dare per scontato che le credenziali possano essere compromesse. Usare l'autenticazione a più fattori ovunque, specialmente su email, cloud storage e qualsiasi strumento di accesso remoto. Le credenziali rubate sono il punto d'ingresso più comune.
• Limitare ciò che è accessibile. Non tutti i sistemi o le condivisioni file devono essere raggiungibili da ogni dispositivo. Limitare l'accesso riduce ciò che un aggressore può raggiungere dopo essere entrato.
• Monitorare le anomalie, non solo le minacce note. Gli strumenti di rilevamento degli endpoint che segnalano comportamenti insoliti, come un account utente che accede improvvisamente a file che non tocca mai, sono più preziosi dei soli antivirus basati su firme.
• Avere un piano di risposta agli incidenti. Sapere esattamente quali passi compiere nella prima ora di una violazione confermata limita significativamente i danni. Molte organizzazioni scoprono di non avere un processo documentato fino al momento in cui ne hanno disperatamente bisogno.
• Segmentare i backup. I backup conservati sulla stessa rete dei sistemi primari possono essere cifrati o cancellati dagli aggressori durante il loro periodo di permanenza. I backup offline o immutabili rappresentano un livello di protezione separato.

Le VPN rimangono uno strumento realmente utile, in particolare per proteggere il traffico su reti non fidate e proteggere la privacy dalla sorveglianza passiva. Ma il loro ruolo è uno strato tra molti, non una difesa completa.

Costruire una strategia di difesa a più livelli

La postura di sicurezza più efficace considera il rilevamento una priorità pari alla prevenzione. La prevenzione non è mai perfetta, e i dati confermano che gli aggressori stanno diventando più bravi a aggirarla. Le organizzazioni e gli individui che investono solo nel tenere fuori gli aggressori, senza fare nulla per rilevarli una volta dentro, sono effettivamente ciechi durante la finestra che conta di più.

La difesa a più livelli significa combinare strumenti perimetrali, monitoraggio degli endpoint, analisi del traffico di rete, controlli di accesso rigorosi e formazione degli utenti. Nessun singolo prodotto chiude tutte le lacune, motivo per cui l'industria della sicurezza parla di difesa in profondità piuttosto che di una soluzione miracolosa.

L'aumento vertiginoso del furto di dati prima del rilevamento è un chiaro segnale che il panorama delle minacce è maturato. Gli aggressori operano con più disciplina e pazienza che mai. La risposta appropriata è contrapporre a quella disciplina difese a più livelli altrettanto deliberate, invece di acquisti reattivi di strumenti dopo che si è verificato un incidente.

Inizia facendo un controllo su quali dati sensibili detieni, dove risiedono e chi può accedervi. Solo questa visibilità ti mette davanti alla maggior parte dei bersagli.