La quadrupla estorsione combina quattro tattiche di attacco coordinate: crittografia dei sistemi critici, furto e perdita dei dati sensibili, avvio o minaccia di avviare attacchi DDoS e contatto diretto con clienti, partner o autorità di regolamentazione per segnalare eventuali danni alla reputazione. Questa strategia di estorsione multilivello massimizza la leva finanziaria e aumenta la probabilità che il riscatto venga pagato.
Concetti chiave
- Il ransomware si è evoluto fino a diventare un sofisticato modello a quadrupla estorsione. Gli attacchi odierni combinano crittografia, furti e perdite di dati, tecniche DDoS e relazioni dirette con clienti o enti normativi per amplificare i danni alla reputazione. Questo modello a quadrupla estorsione offre ai criminali una maggiore leva finanziaria e aumenta la possibilità sia di interrompere le attività aziendali che di ricavare profitti.
- La resilienza, non il riscatto, è il miglior sistema di difesa. I responsabili aziendali sono d'accordo sulla necessità di trattare i ransomware come un rischio strategico che richiede sistemi di difesa multilivello, il coinvolgimento di dirigenti e consigli di amministrazione e playbook che tutti conoscono a fondo. Le organizzazioni che investono nella resilienza, dal modello Zero Trust alla microsegmentazione fino alle copie di backup che non si possono cambiare, hanno meno probabilità di subire un impatto aziendale catastrofico.
- Per i criminali, le aziende di medie dimensioni seguono la regola di Riccioli d'oro: né troppo, né troppo poco, ma giusto. I criminali informatici prendono sempre più di mira le aziende di dimensioni tali da poter pagare il riscatto, ma non sufficientemente avanzate da risultare ben protette, il che le rende estremamente vulnerabili ad interruzioni delle loro attività e ad eventuali danni alla reputazione.
- La preparazione determina se un'intrusione può causare un'interruzione delle attività aziendali. Per evitare un attacco, le aziende dovrebbero ridurre la superficie di attacco, riesaminare la loro architettura IT, applicare il modello Zero Trust e la microsegmentazione e mantenere copie di backup che non si possono cambiare. Dopo aver subito un attacco, le operazioni correlate alle attività legali e assicurative, l'intervento delle forze dell'ordine e una chiara struttura decisionale consentono di coordinare la risposta più efficace.
- L'intelligenza artificiale sta accelerando entrambe le parti dell'economia dei ransomware. I criminali utilizzano l'intelligenza artificiale per automatizzare la ricognizione, scalare le operazioni e supportare le campagne di attacchi RaaS (RaaS (Ransomware-as-a-Service). Gli addetti alla sicurezza utilizzano l'intelligenza artificiale per modellare i probabili percorsi di attacco, analizzare le deviazioni del comportamento e passare dalla difesa reattiva all'interruzione predittiva delle attività aziendali. L'intelligenza artificiale sta ridefinendo contemporaneamente le strategie di attacco e difesa.
Domande frequenti (FAQ)
I ransomware influiscono molto più del settore IT, possono arrestare le operazioni aziendali, danneggiare la fiducia del brand e creare rischi legati alle normative. Considerandoli un rischio strategico, si garantisce il coinvolgimento del CEO e del consiglio di amministrazione, una preparazione interfunzionale e lo sviluppo di strategie di resilienza in grado di gestire l'impatto a livello aziendale piuttosto che il semplice recupero tecnico.
La regola di Riccioli d'oro (né troppo, né troppo poco, ma giusto) descrive le aziende di medie dimensioni, ossia di dimensioni tali da poter pagare il riscatto, ma che, spesso, non dispongono di solidi sistemi di difesa come le organizzazioni più grandi. Queste società sono un bersaglio sempre più allettante per i criminali e risultano sempre più soggette a subire problemi operativi e danni alla reputazione.
La microsegmentazione crea piccole zone di sicurezza isolate all'interno della rete. Limitando il movimento laterale, impedisce ai criminali di trasformare una singola intrusione in un'interruzione diffusa delle attività aziendali e contribuisce a proteggere le risorse più importanti anche se le difese iniziali sono state compromesse.
Il framework MITRE ATT&CK mappa le reali tattiche, tecniche e procedure (TTP) utilizzate dai criminali. I team addetti alla sicurezza lo utilizzano per valutare i loro controlli, identificare le lacune e simulare i probabili percorsi di attacco, rafforzando la propria capacità di rilevare, contenere e bloccare l'attività dei ransomware.
TrickBot, un Trojan gestito da gruppi di criminali informatici, fornisce strumenti che supportano l'implementazione e il coordinamento dei ransomware. Secondo i ricercatori di Akamai, le campagne che sfruttano le tecniche collegate a TrickBot sono riuscite ad estorcere circa 724 milioni di dollari in criptovalute a dimostrare la portata e l'efficienza di queste operazioni.