| di Dave Palmer, Director of Technology di Darktrace
Gli attacchi ransomware sono indiscriminati ed efficaci. Puntano a colpire tutti, dalle grandi aziende di Wall Street agli ospedali delle piccole città; dagli amministratori delegati, ai rappresentanti sindacali. Solo nel 2016, gli attacchi ransomware hanno sfiorato il 6.000 per cento, sottraendo oltre 1 miliardo di dollari a vittime ignare. Per i criminali informatici il ransomware è una tecnica provata e consolidata nella loro attività. Così come il panorama delle minacce continua a crescere e a evolvere, lo stesso avviene anche per il ransomware. Gli hacker sono ormai consapevoli che minare la fiducia può essere redditizio quanto colpire i dati stessi. La reputazione infatti è diventata uno degli asset strategici nelle aziende e ora è presa di mira. Il ransomware tradizionale può essere spesso eliminato dietro le quinte. Nel caso in cui l’azienda argini autonomamente il ransomware, recuperi i file tramite un sistema di backup e, ipotizziamo, paghi anche il riscatto, la situazione potrebbe essere risolta senza coinvolgere i clienti o la stampa. Ma il ceppo più recente di ransomware – chiamato ‘Doxware‘ – non è così discreto. Doxware raccoglie i dati di una società e minaccia di diffonderli pubblicamente. Questo potrebbe riguardare documenti confidenziali, le cartelle cliniche dei pazienti o progetti riservati, informazioni personali come password e numeri di carta di credito: più i dati sono sensibili, meglio è. L’85 per cento dei leader dell’industria considerano il danno d’immagine l’impatto più significativo di un attacco cyber. L’arrivo di Doxware dimostra come i criminali informatici siano bravi ad adattarsi alle nuove opportunità di mercato e abbiano una varietà di armi a disposizione per provocare danni. Nel frattempo, gli strumenti legacy di sicurezza si limitano ancora a difendere le reti dentro i confini aziendali e a concentrarsi nella ricerca dei “known bad”. A meno che questi nuovi attacchi non siano bloccati in una fase precoce, mineranno inevitabilmente la reputazione aziendale. Dal momento che questi “trust attacks”, cioè gli attacchi che minano la reputazione, aumentano costantemente, la salvaguardia della reputazione è diventata una componente essenziale della sicurezza informatica. Per proteggere il proprio brand e l’affidabilità, le aziende devono poter evolvere al passo con il panorama di minacce che cambiano rapidamente, proteggendo in modo proattivo i propri asset da attacchi informatici subdoli e furtivi. Quando si tratta di ransomware, pagare il riscatto non è un’opzione priva di rischio, perché non c’è alcuna garanzia che chi attacca poi decripti i dati. Allo stesso modo, affidarsi a un dump di dati pubblici via Doxware è altrettanto sconsigliabile. L’alternativa migliore è individuare la minaccia non appena comincia a manifestarsi. In Darktrace ci imbattiamo ogni giorno in nuovi malware. Il motivo per cui possiamo fermarli arriva dall’approccio di rilevazione. Non stiamo cercando una specifica ‘signature’ o un ceppo di ransomware pre-identificato. Al contrario, la tecnologia apprende e ri-apprende costantemente quello che sembra normale; quando viene lanciato un nuovo tipo di malware, non dobbiamo provare a rincorrerlo. Lo individuiamo immediatamente. Ecco un esempio di come un attacco ransomware ha bypassato il perimetro aziendale in una realtà non-profit in California, come sia stato rilevato in pochi minuti, consentendo al team di sicurezza di bloccarlo prima che infettasse un secondo computer.
|
