Le organizzazioni non possono più fare affidamento sulle risposte tradizionali al ransomware e devono implementare una strutturata gestione della crisi
Immagina la scena: un devastante attacco ransomware ha immobilizzato una grande azienda manifatturiera. Non è possibile spedire o vendere alcun prodotto, né contattare i clienti dell'azienda. L'intera filiera è stata compromessa. A peggiorare le cose, anche due posizioni di backup sono inaccessibili. Sfortunatamente, questo non è uno scenario ipotetico. È successo, nonostante i migliori sforzi dei team di sicurezza e operazioni aziendali dell'azienda. Anche se l'organizzazione aveva un piano A e un piano B, non era sufficiente per gestire i ransomware moderni.
Troppo spesso, una risposta tradizionale a un attacco ransomware si concentra esclusivamente su un'indagine tecnica. Tuttavia, gli effetti a catena del ransomware vanno ben oltre il riavvio del sistema e il mantenimento della sicurezza. Come evidenzia la difficile situazione dell’esempio dell’azienda manifatturiera, spesso c'è un divario tra ciò che deve essere fatto e condiviso in tutta l'azienda e gli attuali piani di risposta agli incidenti. I leader delle organizzazioni devono riconoscere che il ransomware è un rischio aziendale, non semplicemente un problema di sicurezza informatica, e dovrebbero adottare le misure giuste nell'ordine giusto per gestire qualsiasi crisi.
Le motivazioni del ransomware si evolvono
Sebbene il ransomware sia in circolazione da molto tempo, le tattiche e le motivazioni degli attori delle minacce sono recentemente cambiate. A seguito dell'invasione russa dell'Ucraina, gli attori delle minacce sui forum in lingua russa del Dark Web, in particolare quelli associati al ransomware, a volte scelgono obiettivi in base a motivi politici piuttosto che semplici guadagni finanziari. Il divario ideologico ha portato molti attori clandestini a chiedere il ritorno dei gruppi di ransomware nell'underground mainstream e a ripristinare il targeting delle entità occidentali, in particolare nei settori delle risorse, del governo, delle banche e delle infrastrutture critiche.
Nuove tattiche aprono la porta
Gli attacchi sono in continua evoluzione, assistiamo a nuovi attori delle minacce che introducono nuove idee e tattiche. Ad esempio, alcuni attacchi sono più distruttivi che distruttivi e comportano l'eliminazione o il danneggiamento dei backup. Questo distrugge il Piano B e rende più difficile per un bersaglio compromesso tornare operativo. Può anche danneggiare il marchio e la reputazione di un'azienda.
Inoltre, a semplificare notevolmente la vita agli attori delle minacce è l'accesso a strumenti "plug-and-play", come i prodotti ransomware-as-a-service che possono essere facilmente acquistati sul Dark Web e altrettanto facilmente implementabili. E c'è anche il crescente interesse per le vendite di accesso alla rete, quando i criminali informatici offrono a sofisticati e esperti attori delle minacce una scorciatoia per una rete compromessa a un prezzo. Ad esempio, è stato scoperto che un utente di un sito sotterraneo, "GodLevel", stava pubblicizzando l'accesso a un sottodominio appartenente a una borsa agricola ucraina identificata. Un utente malintenzionato potrebbe potenzialmente utilizzare l'accesso al sistema compromesso per elevare i privilegi dell'utente e utilizzare i domini associati per ottenere informazioni di identificazione personale (PII) e dati delle carte di pagamento, rivendere i dati esfiltrati e distribuire software dannoso come il ransomware.
Quando si tratta di tattiche di ransomware, una delle novità è l'estorsione, in cui gli attori delle minacce avviano una campagna di disinformazione delle imprese pubbliche volta a erodere la fiducia e la fiducia del pubblico in un'azienda.
Abbiamo persino visto attori delle minacce contattare direttamente le persone i cui dati sono stati rubati da un'azienda quando l'azienda si rifiuta di pagare un riscatto. Pertanto, mentre le aziende stanno cercando di affrontare le complessità informatiche e di rimettere in funzione la propria attività, potrebbero anche dover difendersi da un ecosistema esteso di parti interessate.
I tempi di rottura hanno portato a un'ondata di attacchi ed è possibile che l'invasione russa dell'Ucraina possa continuare questa tendenza. C’è stato un aumento su base annua del 107% degli attacchi ransomware e di estorsioni e del 33% del volume di intrusioni da ransomware ed estorsioni. Queste crescenti minacce mettono sotto pressione una tradizionale risposta alle crisi e accentuano il ruolo vitale della pianificazione e delle comunicazioni coordinate e una pronta e strutturata gestione della crisi dovuta ad un attacco
Colmare il divario di comunicazione
Quando tutte le aree dell'azienda lavorano insieme, guidate dall'alto, l'intera azienda ne trae vantaggio. Ecco alcuni passaggi da considerare per aiutare a colmare le lacune che aprono la porta al ransomware e all'estorsione:
Guida con i leader: i professionisti della sicurezza informatica spesso eseguono esercizi da tavolo, ma dovrebbero evolvere tali esercizi per includere simulazioni a livello dirigenziale. Ciò consente alle organizzazioni di testare le proprie difese contro un tipico attacco ransomware direttamente con i leader aziendali, simulando al contempo il rischio e l'adrenalina di uno scenario di attacco "reale".
Evita l'effetto domino: fare un primo passo non coordinato può portare un'organizzazione su un percorso che può ostacolarne il recupero. Creando un playbook e disponendo di un piano chiaro per l'intera attività, supervisionato dalla C-suite, le organizzazioni possono evitare l'effetto domino delle azioni "posto sbagliato, momento sbagliato".
Riportare con rigore: Il diavolo è nei dettagli. Per proteggersi dal ransomware, mantenere le pratiche igieniche standard per l'applicazione di patch di sicurezza informatica e incorporare un approccio basato sull'intelligence alla vulnerabilità e ai programmi di gestione della superficie di attacco. Per essere resilienti, le organizzazioni dovrebbero comprendere meglio gli obblighi di segnalazione interna e agire con piena trasparenza, in modo ponderato e fattuale.
Conclusione
Comprendendo e preparandosi per tutte le implicazioni di un attacco ransomware su un'organizzazione, il ripristino può essere più rapido e semplice. Tuttavia, i leader aziendali sono spesso impreparati, soprattutto quando si tratta delle comunicazioni essenziali necessarie per informare e istruire tutte le parti interessate interessate da un attacco. È tempo che i leader aziendali guardino con occhi nuovi a come gestiscono ransomware ed estorsioni. E l'enfasi dovrebbe essere posta sulla priorità di una gestione efficace delle crisi in tutta l'impresa magari sotto coordinamento di figure professionali specializzate con yuri Kogan, veterano della sicurezza nazionale israeliana , della EOC Ergo Oriens Consultants, chee offre suite completa di servizi personalizzati di Cyber Crises Management