L'estorsione e il ransomware sono attività ad alto profitto ea basso costo che possono facilmente paralizzare le organizzazioni prese di mira. Quello che era iniziato come un semplice ransomware per PC singolo si è evoluto in un'ampia gamma di schemi di estorsione abilitati dall'intelligenza umana, infettando le reti di tutti i tipi di organizzazioni in tutto il mondo. Ciò è particolarmente preoccupante quando la violazione avrebbe potuto essere evitata da un'efficace governance delle identità online.
Le organizzazioni in genere non devono dipendere dalle proprie capacità ed esperienze tecniche interne. La gestione delle identità nel cloud computing è essenziale per la sicurezza del cloud. Le identità cloud configurate in modo errato possono causare il mancato funzionamento di un'intera applicazione o portare a una grave compromissione della sicurezza. Le organizzazioni possono collaborare con terze parti per prendersi cura della propria governance dell'identità cloud attraverso un servizio specializzato Piattaforma di identità cloud.
Che cos'è il ransomware?
Il ransomware è un software dannoso che impedisce a un utente o un'organizzazione di accedere ai file sul proprio computer. Gli attori malintenzionati crittografano questi file e richiedono un ingente riscatto per la chiave di decrittazione, mettendo aziende in una posizione in cui pagare il riscatto è il metodo più semplice ed economico per riottenere l'accesso i loro dati. Alcune varianti del ransomware hanno introdotto funzionalità aggiuntive, come il furto di dati, per invogliare le vittime del ransomware a pagare il riscatto.
Dovrebbe essere chiaro che questo tipo di attacco potrebbe non solo paralizzare un'organizzazione rimuovendo l'accesso ai dati critici del sistema, ma potrebbe seriamente offuscare la reputazione di un'organizzazione. Questi tipi di attacchi generalmente portano a grandi volumi di informazioni sensibili scaricate nel pubblico dominio o vendute al miglior offerente. Queste informazioni potrebbero essere informazioni personali come account utente senza hash o, peggio, informazioni finanziarie sensibili che espongono strategie aziendali o profitti non dichiarati. In genere, la ricaduta dopo tale violazione ha un impatto maggiore rispetto alla violazione stessa. Apertura dell'organizzazione a possibili inadempienze ed eventuali contenziosi.
Leggi anche: Cos'è la sicurezza informatica | Minacce comuni alla sicurezza informatica
Ransomware come servizio (RaaS)
Il Conti ransomware inizialmente è emerso nel luglio 2020, utilizzando un modello di business a doppia estorsione. Una vittima viene prima estorta per un riscatto e l'eventuale pubblicazione dei loro dati rubati in questo approccio di doppia estorsione. Conti è anche ransomware as a service (RaaS), un servizio in abbonamento che offre agli affiliati del servizio accesso immediato a strumenti e build per la creazione di ransomware. Gli affiliati del servizio accettano di dividere i pagamenti del riscatto tra lo sviluppatore del ransomware e l'attore malintenzionato che ha effettuato l'attacco. Rendendolo un settore redditizio per gli hacker.
Conti in genere acquisisce l'accesso alla rete di una vittima attraverso altre minacce come Trickbot, IcedID o Zloader. Conti è dotato di un modulo di ricognizione configurabile in grado di scansionare le reti interne alla ricerca di condivisioni di rete e altri obiettivi di alto valore una volta all'interno della rete della vittima.
Conti inizia a crittografare i dati e i database modificabili dall'utente in base agli elenchi di estensioni di file specificati una volta installato nell'ambiente della vittima. Una richiesta di riscatto verrebbe quindi inserita in ogni directory di file al termine della crittografia, indicando all'utente come contattare gli attori malintenzionati.
Il modello di business del ransomware si è effettivamente trasformato in un'operazione di intelligence, con attori criminali che ricercano le loro vittime target per determinare la migliore richiesta di riscatto. Dopo essersi infiltrato in una rete, un attore criminale può esfiltrare e studiare documenti finanziari e piani assicurativi. Potrebbero anche essere consapevoli delle conseguenze della violazione delle leggi locali. Gli attori chiederanno quindi denaro alle loro vittime per sbloccare i loro sistemi e impedire la divulgazione pubblica dei dati esfiltrati della vittima.
Leggi anche: I migliori strumenti gratuiti per la rimozione di spyware per PC Windows
Come può essere evitato?
Una metrica chiave quando si tratta di violazioni di ransomware è la cura delle identità e l'effettiva separazione dei compiti. La governance dell'identità nel cloud svolge un ruolo importante nella protezione delle organizzazioni contro le violazioni dei dati ransomware.
Gli attori malintenzionati potrebbero accedere ad ambienti chiusi installando software dannoso per raccogliere identità online e credenziali di autenticazione. Questo software potrebbe emergere attraverso l'ingegneria sociale attentamente pianificata o altri meccanismi sottili a seconda della natura umana.
Le organizzazioni devono svolgere un ruolo attivo nella cura delle loro identità online. Grazie alla collaborazione con uno specialista del settore, le organizzazioni hanno l'opportunità di introdurre solidi protocolli e pratiche di sicurezza nei loro ambienti cloud. Esiste una chiara correlazione tra la mancanza di governance dell'identità online e l'aumento del rischio di attacchi ransomware. Praticando un'efficace igiene informatica, gli attori malintenzionati hanno meno superficie di attacco e le organizzazioni possono stare tranquilli.