Molte aziende si affidano al cloud e ai servizi gestiti. Dopo gli ultimi attacchi, ci si chiede come si possano evitare i danni, quali misure precauzionali abbiano senso e perché l'idea di ritirarsi completamente nelle proprie mura potrebbe non essere una buona idea.
Thomas Uhlemann, Security Evangelist di Eset
Una prima statistica di attacco
Una prima statistica di Kaspersky mostra la distribuzione globale dei tentativi di attacco. Entro la sera del 5 giugno 2021, i ricercatori hanno contato più di 5.000 tentativi di infezione in Europa, Nord e Sud America. La maggior parte dei tentativi di attacco erano nei seguenti cinque paesi:
- Italia (45,2 per cento),
- gli Stati Uniti (25,9 per cento),
- Colombia (14,8 per cento),
- Germania (3,2 per cento) e
- Messico (2,2 per cento).
In tutto il mondo, tra 800 e 1.500 aziende in 17 paesi sono probabilmente interessati, l'amministratore delegato di Kaseya Fred Voccola ha ammesso all'agenzia di stampa Reuters, compresi alcuni in Germania, secondo il BSI. "Anche i fornitori di servizi IT e altre aziende in Germania sono stati colpiti. Secondo le conoscenze attuali, diverse migliaia di dispositivi informatici sono stati criptati. Le infrastrutture critiche o l'amministrazione federale non sono colpite secondo le conoscenze attuali."
Effetto palla di neve
Creare più danni possibili con il minimo sforzo è l'obiettivo dichiarato degli hacker e di questi attacchi alla catena di approvvigionamento. Un attacco a un sistema come quello di Kaseya è la logica conseguenza. Dato che molti MSP lo usano, può nascere un effetto valanga. Mentre Kaseya parla di circa 50 dei suoi clienti che sono stati colpiti dall'attacco, molti dei loro clienti sono stati colpiti a loro volta. Questo porta il totale alle già citate 800-1.500 aziende che sono attualmente confrontate con il ransomware e alle quali viene chiesto di pagare un riscatto per poter decifrare nuovamente i loro dati.
Ulrich Mertz, amministratore delegato di Rangee, un'azienda che deliberatamente non si affida al cloud, si rammarica quindi che "la soluzione offline che ha funzionato in modo affidabile per anni, agendo in modo sicuro dietro il firewall, è purtroppo recentemente passata di moda". Conclude: "Questa 'tecnologia sovrabbondante' è un bersaglio attraente per i criminali informatici e attira rapidamente visitatori indesiderati. Le aziende sono quindi ben consigliate di considerare attentamente per ogni servizio di gestione che viene fornito in tutto il mondo se effettivamente offre un valore aggiunto - o se la soluzione offline con le stesse funzioni non potrebbe essere più preziosa perché offre una sicurezza passiva."
Fare questa considerazione è certamente ragionevole, ma in molti casi non è semplicemente un'opzione reale. Quindi, chi si affida al cloud e agli MSP è automaticamente più a rischio? E: come si possono minimizzare i rischi per la sicurezza?
Come aumentare la protezione
Anche Kaspersky ha una linea simile. Il fornitore vede anche la creazione di sistemi per il rilevamento e la risposta degli endpoint come un elemento importante della protezione.
Inoltre, fa le seguenti raccomandazioni:
- Non condividere servizi di desktop remoto su reti pubbliche a meno che non sia assolutamente necessario. Si dovrebbero sempre usare password forti per questo.
- Installare le patch immediatamente disponibili per le soluzioni VPN commerciali che forniscono l'accesso ai dipendenti remoti e fungono da gateway nella rete.
- Mantenere il software aggiornato su tutti i dispositivi utilizzati per evitare che il ransomware sfrutti le vulnerabilità.
- Focalizzarsi sul rilevamento dei movimenti laterali e sull'esfiltrazione di dati verso Internet nella strategia di difesa. Si dovrebbe prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici.
- Salva i dati regolarmente tramite backup in modo da potervi accedere rapidamente in caso di emergenza.
- Avere sempre accesso ai dati aggiornati di threat intelligence per conoscere le TTP reali utilizzate dagli attori delle minacce.
- Formare regolarmente i dipendenti sulla cybersecurity
Truffa perfetta
Il fatto che intercettare tali attacchi non sia facile è reso chiaro anche da una dichiarazione pubblicata dal fornitore di sicurezza Sophos a giugno: "REvil, conosciuto anche come Sodinokibi, è un'offerta di Ransomware-as-a-Service (RaaS) matura e diffusa. I clienti criminali possono affittare il ransomware dagli sviluppatori e metterlo sui computer delle loro vittime con i loro parametri. Il particolare approccio e l'impatto di un attacco con REvil ransomware è quindi altamente variabile e dipende dagli strumenti, dai comportamenti, dalle risorse e dalle capacità dell'attaccante che affitta il malware".
Similmente, il dottor Bernd Rohleder di Bitkom dice: "Con il recente attacco all'azienda IT Kaseya, uno stratagemma particolarmente perfido viene utilizzato per attaccare le aziende in generale". L'associazione industriale sospetta che il sabotaggio, il furto di dati o lo spionaggio abbiano già causato un danno totale di oltre 100 miliardi di euro all'economia tedesca nel 2019. "Molte aziende sono diventate più vulnerabili al crimine informatico a causa della pandemia e del passaggio non pianificato agli uffici domestici. Ci aspettiamo che il totale dei danni e il numero di aziende colpite nel 2020 siano significativamente superiori al livello dell'anno precedente."
Addendum all'argomento
Commento: outsourcing dei dati, sì - responsabilità, no!
Di fronte al massiccio attacco REvil, il primo impulso è spesso quello di mettere in discussione il cloud e il business degli MSP. Dopo tutto, senza i servizi gestiti e i servizi cloud, questo attacco non sarebbe potuto avvenire con tale veemenza, vero? Il fatto è che gli hacker esistono da quando esistono i sistemi informatici. Il primo attacco documentato a un sistema informatico risale al 1983. All'epoca, un diciassettenne si introdusse in ARPA-Net, la rete riservata all'esercito, alle grandi università e alle aziende. In termini odierni, questo è stato un attacco alle infrastrutture critiche. Tuttavia, questo non ha potuto fermare la marcia trionfale dell'informatica e di internet. Troppi vantaggi sarebbero stati altrimenti persi. E chi vorrebbe fare a meno del lavoro mobile, della collaborazione indipendente dal tempo e dal luogo, dell'analisi automatica dei dati - la lista potrebbe continuare a lungo.
Se un ladro riesce a penetrare in casa tua, non penseresti a trasferirti in un appartamento al 20° piano di un grattacielo. Il che è qualcosa su cui dovreste riflettere: Dov'era il punto debole? Quali precauzioni di sicurezza posso ancora prendere? In altre parole: prendetevi la responsabilità della vostra sicurezza.
Lo stesso vale per gli ambienti cloud e MSP. Nessuna azienda considera l'outsourcing di dati e sistemi alla leggera. Di solito ci sono ragioni pesanti per farlo. Ma ciò che non deve essere trascurato in nessun caso sono i concetti di sicurezza. Perché aiutano a prevenire i danni. Gli strumenti di analisi comportamentale dei fornitori di sicurezza sono stati anche questa volta rapidamente efficaci. Molte aziende sono state quindi in grado di spegnere i loro server in tempo per proteggersi dall'attacco ransomware. Un'analisi dell'attacco unita a una revisione del proprio concetto di sicurezza è la scelta migliore che demonizzare il cloud e i servizi gestiti di per sé.
Si è responsabili dei propri dati
Eric Waltert, Regional Vice President DACH di Veritas: "L'attacco ransomware su Kaseya VSA è un doloroso promemoria che le aziende dovrebbero tenere d'occhio tre diversi tipi di dati per proteggersi dai cyberattacchi: Dati che possiedono e ospitano loro stessi; dati che possiedono e ospitano per loro; e dati che non possiedono ma su cui fanno affidamento per il successo del loro business."
Troppe poche aziende, secondo Waltert, "si rendono conto che loro stessi sono responsabili della sicurezza dei loro dati nel cloud e del loro servizio SaaS. Invece, pensano erroneamente che i fornitori di servizi lo facciano per loro. Inoltre, per tutti quei dati su cui fanno affidamento, le aziende devono fare pressione sulla loro catena di approvvigionamento e richiedere come parte delle loro negoziazioni contrattuali che i fornitori siano in grado di fornire il massimo livello di protezione dei dati.