2/23/22

Backup hardening vs Ransomware su CryptoLocker

Il backup hardening è un processo che serve a rendere più robusto il backup dei sistemi contro gli attacchi di tipo ransomware basati su CryptoLocker, che dal 2021 sono diventati la tipologia di minaccia più diffusa e più pericolosa.
Fino a qualche anno fa riuscire ad accedere in modo fraudolento a sistemi di terzi, era un gioco, una sfida. Oggi è un business che muove miliardi di euro.  
Se in passato, nella maggior parte dei casi, era richiesta un’azione umana, spesso con un’esca uguale per tutti, oggi la strategia è diversa: si accede all’infrastruttura target per studiarla prima e attaccarla poi.

Lo sviluppo delle criptovalute ha dato un ulteriore boost a queste dinamiche, consentendo lo scambio di denaro in modo assolutamente anonimo.
Spesso l’obiettivo
di questo tipo di attacchi sono le grandi aziende: lo dimostra il fatto che periodicamente vengono portati alla ribalta attacchi subiti da aziende di queste dimensioni (ricordiamo, per esempio, Sacmi, Regione Lazio, Geox, Enel, Enac, Luxottica, Campari, SIAE, San Carlo).

Le aziende piccole e medie non possono disinteressarsi del problema

La strategia della speranza, di immaginare che, siccome si è "piccoli", non si faccia gola alle organizzazioni cybercriminali non è vincente.
Le grandi aziende hanno una capacità di investimento in termini di sicurezza IT molto maggiore rispetto alle aziende medio-piccole, eppure rimangono comunque vittime di attacchi. Le misure di prevenzione degli attacchi, dunque, non bastano. È sempre necessario disporre di un piano di ripristino basato su una politica di backup sicura, specificamente progettata per resistere ad attacchi di tipo ransomware CryptoLocker.
Solitamente il backup viene effettuato su sistemi NAS (anche se le librerie di backup a nastri stanno vivendo una rinascita); a volte si effettua anche un backup complementare su una seconda NAS, magari dislocata a distanza dalla prima e - nel migliore dei casi - si effettua in aggiunta un backup in cloud.  
Ma da un punto di vista infrastrutturale, per chi è posizionato all'interno della LAN, la NAS e il cloud sono accessibili facilmente (per esempio si faccia riferimento alla fase di Credential harvesting, ovvero alla raccolta delle credenziali, nell’immagine sopra) e quindi i backup in essi contenuti sono altrettanto facilmente eliminabili.  

Quali contromisure si possono adottare perché un attacco CryptoLocker non elimini anche i backup?

  1. Lo spostamento delle NAS su un segmento di rete non direttamente accessibile dalla LAN, ma solo dai server di backup.
  1. L'hardening dell'accesso ai server di backup, per esempio tramite l'utilizzo di sistemi di multi-factor authentication (MFA).
  1. L’implementazione di un backup di secondo livello su un Cloud con accesso hardened e limitato ai server di backup.
  1. Ma il vero cavallo di troia contro i CryptoLocker è rappresentato dalle soluzioni cloud di storage immodificabile, ovvero soluzioni per cui un oggetto memorizzato non può essere eliminato o sovrascritto per un determinato periodo di tempo.


Noi di NSI - Think Outside the Box crediamo che la tecnologia abiliti l’innovazione e supportiamo le aziende nell'implementazione di progetti di backup hardening, in particolare progetti di backup in cloud su storage immodificabile specificamente pensati contro i CryptoLocker.

Scrivici se vuoi conoscere meglio cosa possiamo fare!

Daniele Mazza, Chief of IT Services

Condividi l'articolo su

Vuoi rimanere in contatto con NSI?