Veeam: i ransomware prendono di mira i backup

Gli attacchi ransomware sono in continua crescita con gli aggressori che hanno ormai sviluppato un fiorente business. L’approccio RaaS (Ransomware-as-a-Service) è diventato particolarmente apprezzato e largamente utilizzato nella comunità dei criminali informatici. Con il termine RaaS ci si riferisce a una forma di distribuzione e gestione dei ransomware secondo la quale gli autori delle minacce forniscono le risorse e gli strumenti necessari per condurre un attacco, mentre gli “affiliati” (o “clienti”) pagano un fisso o una percentuale dei ricavi ottenuti dalle vittime. Di solito l’infezione da ransomware rappresenta l’ultimo o uno degli ultimi stadi di un attacco informatico: gli aggressori chiedono alla vittima di versare un riscatto in denaro per riavere accesso ai dati oppure per evitare che informazioni riservate vengano pubblicate online e rese di pubblico dominio.

Secondo il nuovo Veeam 2023 Ransomware Trends Report, un’azienda su sette vedrà colpiti quasi tutti i suoi dati (>80%) a seguito di un attacco ransomware: ciò in forza di significative lacune di protezione all’interno dell’impresa. Il dato interessante che emerge dall’indagine svolta dai ricercatori di Veeam è che gli aggressori prendono quasi sempre di mira i backup: ciò avviene in oltre il 93% dei casi. Gli archivi di backup contengono infatti informazioni di grande valore per i professionisti e le imprese: sono perciò sempre più di frequente oggetto dell’azione dei ransomware.

Quanto sta accadendo nelle infrastrutture IT delle imprese ci restituisce un’informazione importante: le organizzazioni e i professionisti devono necessariamente investire sulla creazione di backup immutabili, non soggetti all’azione di malware, cancellazioni e modifiche indesiderate, errori umani. Sono tanti i fornitori che mettono a disposizione strumenti efficaci per preservare l’integrità dei dati a riposo: Veeam è uno di loro.

Attaccando la soluzione di backup, gli aggressori eliminano l’opzione di recupero e vogliono indurre le vittime a versare il riscatto richiesto. Sebbene le best practice, come la protezione delle credenziali di backup, l’automazione delle scansioni di rilevamento informatico dei backup e la verifica automatica del ripristino dei backup, siano utili per proteggersi dagli attacchi, la tattica chiave consiste nel garantire che gli archivi di backup non possano essere eliminati o danneggiati.

Come evidenziato in precedenza, quindi, le aziende devono necessariamente concentrarsi sull’immutabilità dei backup. La buona notizia è che, in base alle lezioni apprese da chi ha subito un attacco, l’82% utilizza archivi cloud immutabili, il 64% volumi locali immutabili e soltanto il 2% degli intervistati dichiara di non utilizzare l’immutabilità in almeno un livello della propria soluzione di backup.

Come ha osservato Danny Allan, CTO di Veeam, dobbiamo concentrarci su un’efficace prevenzione dei ransomware e preparazione a un eventuale attacco partendo dalle basi: tra queste, l’adozione di misure di sicurezza adeguate, test sui dati originali e sui backup. Importantissimo è il concetto di air gapping: quando si parla di backup, esso si riferisce alla pratica di sicurezza che implica l‘isolamento fisico dei dati di backup da potenziali minacce. Si ha quindi una netta separazione fisica o logica tra il sistema principale e il sistema di backup, creando una “barriera” che rende i dati di backup inaccessibili da reti o dispositivi esterni.

Il pagamento del riscatto non garantisce il recupero dei dati e il ripristino è delicato

Per il secondo anno consecutivo, la maggioranza (80%) delle organizzazioni intervistate da Veeam ha pagato il riscatto per porre fine a un attacco e recuperare i dati, con un aumento del 4% rispetto all’anno precedente, nonostante il 41% osservi una politica “Do-Not-Pay“. Tuttavia, mentre il 59% ha pagato il riscatto ed è riuscito a recuperare i dati, il 21% ha pagato il riscatto ma ha potuto rimettere le mani sulle informazioni aziendali. Inoltre, solo il 16% delle organizzazioni ha evitato di pagare il riscatto perché è riuscito a recuperare i dati dai backup in autonomia. Purtroppo, la statistica globale delle organizzazioni in grado di recuperare i dati da sole senza pagare il riscatto è in calo rispetto al 19% dell’indagine dello scorso anno.

Particolarmente delicata, tuttavia, è anche la fase di ripristino dei dati: il 44% degli intervistati, racconta Veeam, ha effettuato una forma di controllo isolato per analizzare nuovamente i dati dagli archivi di backup prima di reintrodurli nell’ambiente di produzione. Questo significa che la maggior parte delle organizzazioni (56%) corre il rischio di infettare di nuovo l’ambiente di produzione perché non dispone di un mezzo per garantire la pulizia dei dati durante il ripristino.

Polizze assicurative contro gli attacchi informatici sempre più costose

Come peraltro rilevato anche da altre aziende specializzate, l’assicurazione contro gli attacchi informatici sta diventando sempre più impossibile da sottoscrivere per una larga fetta di soggetti.

Il 21% delle organizzazioni ha dichiarato che il ransomware è attualmente escluso dalle loro polizze e coloro che hanno ancora un’assicurazione contro le aggressioni informatiche hanno visto  aumentare i premi (74%) le franchigie (43%) e i benefici di copertura (10%).

I programmi di risposta agli incidenti dipendono dal backup: l’87% ha un programma di gestione del rischio che guida la propria roadmap di sicurezza ma solo il 35% ritiene che stia funzionando bene, il 52% sta cercando di migliorare la propria situazione mentre il 13% non ha ancora un programma consolidato.

I risultati rivelano che gli elementi più comuni del programma per prepararsi a un attacco informatico sono le copie di backup pulite e la verifica ricorrente che i backup siano recuperabili. Purtuttavia, sebbene molte imprese considerino il ransomware una minaccia concreta e causa di potenziali disastri, capaci di fermare anche la produzione, il 60% degli intervistati dichiara di aver bisogno di miglioramenti significativi o di una revisione completa dei team che si occupano di backup e sicurezza per essere preparati agli scenari più complessi e penalizzanti.

“Come dimostra il nuovo report Veeam, l’aumento esponenziale degli attacchi informatici, in particolare quelli di tipo ransomware, sono un vero e proprio freno alle iniziative strategiche per la digital transformation. Le aziende, indipendentemente dal settore di appartenenza e dalla loro dimensione, dovrebbero assicurarsi di avere in atto una strategia per la protezione dei backup che sia parte di una visione a lungo termine. Prendere in considerazione una soluzione che sia affidabile è l’unico modo per essere resilienti, competitivi e per mantenere il business sempre in funzione“, ha commentato Alessio Di Benedetto, Technical Sales Director Southern Emea, Veeam Software.