Il ruolo dell'intelligenza artificiale e del machine learning nella protezione dal ransomware

Il ransomware è una minaccia universale: ogni azienda di qualsiasi dimensione, settore e paese è a rischio. È una pessima notizia. Ma ce n'è una peggiore: le minacce sono sempre più complesse, sofisticate e di ampia portata. I criminali informatici sviluppano di continuo nuove tattiche e sfruttano nuove tecnologie per sferrare attacchi sempre più efficaci.

Secondo il Report Acronis sulle minacce digitali, nel 2022 il 30,6% di tutte le e-mail ricevute è risultato essere spam e l'1,6% di queste conteneva malware o link di phishing. Il phishing è stato il vettore utilizzato nel 76% degli attacchi andati a segno, e circa l'8% degli endpoint ha tentato di accedere a URL pericolosi. Inoltre, gli attacchi stanno accelerando: l'X-Force Threat Intelligence Index di IBM Security per il 2023 rivela una riduzione del 94% nel tempo medio necessario per mettere in atto un attacco ransomware. Se per compiere un attacco nel 2019 ci volevano due mesi, nel 2021 bastavano meno di quattro giorni.

Inoltre gli autori delle minacce agiscono in modo sempre più sofisticato, affinando le loro tecniche e strategie e adottando l'intelligenza artificiale (AI) e il machine learning (ML) per migliorare l'efficacia e l'impatto delle intrusioni. Adesso gli attacchi ransomware vanno ben oltre la crittografia e includono attacchi doppi e tripli, che possono assumere la forma di esfiltrazioni dei dati con la successiva estorsione per la loro restituzione, nonché la segnalazione a clienti e partner della fuga di dati, in modo da incrementare la pressione esercitata sull'azienda che deve pagare il riscatto.

Tutte le nuove strategie, quali l'utilizzo di strumenti di AI generativa come ChatGPT, la creazione di e-mail di phishing in grado di ingannare persino il dipendente più diffidente e l'utilizzo del ML per migliorare l'efficienza degli attacchi, complicano sia la prevenzione che la protezione dal ransomware. Le aziende devono avere l'astuzia di ricorrere all'AI e al ML per contrastare le minacce ransomware in continua evoluzione.

Purtroppo, le soluzioni anti-ransomware e anti-malware tradizionali non sono in grado di contrastare le moderne minacce informatiche in maniera efficace. Siccome sfruttano la corrispondenza delle firme (che non è in grado di identificare minacce zero-day sconosciute), non sono capaci di rilevare l'intrusione iniziale di minacce note. Le soluzioni anti-malware faticano a riconoscere le minacce che fanno uso di esfiltrazione e crittografia per acquisire informazioni critiche.

Tutte le aziende che continuano ad affidarsi solamente alle soluzioni anti-ransomware e anti-malware tradizionali mettono a rischio se stesse, i clienti e i partner. Le minacce ransomware moderne richiedono un approccio più completo e stratificato. Adottando tecnologie avanzate che sfruttano l'intelligenza artificiale, il machine learning e l'analisi comportamentale, puoi ottenere una migliore protezione contro le minacce informatiche di oggi, sempre più sofisticate e in continua evoluzione.

Il machine learning e l'intelligenza artificiale sono componenti cruciali della protezione dal ransomware moderna, poiché consentono di rilevare i modelli di comportamento sospetti anziché limitarsi a confrontare la firma di un'istanza di malware con quelle di un database di minacce note. Senza questo approccio comportamentale, nessuna misura anti-malware è in grado di identificare correttamente le migliaia di istanze di malware zero-day generate quotidianamente dagli hacker.

Il machine learning consente di rilevare informazioni sugli exploit non noti rifacendosi ai dati delle interazioni precedenti e attuali con il sistema come riferimento per il comportamento sicuro. Dal momento in cui le organizzazioni raccolgono sempre più dati, questo approccio consente di rilevare le minacce zero-day in maniera più affidabile.

Secondo il report X-Force Threat Intelligence di IBM Security, gli algoritmi di machine learning hanno un tasso di precisione dell'85% quando si tratta di rilevare gli attacchi ransomware con l'analisi dei pattern del traffico di rete, il che può ridurre notevolmente il rischio di perdite di dati e interruzioni operative.

Adottando soluzioni anti-ransomware con AI e ML integrati, le aziende traggono vantaggio dalla capacità della tecnologia di "imparare" e adattarsi. Con il passare del tempo, i sistemi sono in grado di sviluppare una base di riferimento per il comportamento previsto e di metterla a confronto con dati e comportamenti nuovi e cambiati. Con un contesto sufficiente, la protezione dal ransomware basata su AI e ML è in grado di stabilire se un comportamento non previsto è sicuro o meno.

Gli hacker sfruttano strumenti di AI generativa come ChatGPT per aumentare le probabilità di successo dei loro attacchi. Ad esempio, alcune tattiche consentono di far sembrare ancora più autentiche e attendibili le e-mail di phishing, cercare automaticamente le vulnerabilità nelle applicazioni e migliorare l'orchestrazione degli attacchi in più fasi.

Ci siamo chiesti quanti danni sia in grado di arrecare ChatGPT e... abbiamo deciso di chiederglielo. Ecco cosa ha detto in risposta alla seguente domanda:

L'AI generativa, come ChatGPT, può essere utilizzata in modo improprio dai criminali informatici al fine di migliorare l'efficienza di vari attacchi, tra cui quelli ransomware. Non posso intraprendere o supportare attività illegali o dannose, ma posso aiutarti a comprendere il modo in cui l'AI generativa potrebbe essere sfruttata in questi scenari.

1. Social engineering: i criminali informatici possono usare l'AI generativa per simulare agenti di conversazione realistici, come i chatbot, per ingannare e manipolare persone ignare del rischio. Imitando risposte e comportamenti umani, questi agenti di AI sono in grado di trarre in inganno gli utenti, portandoli a rivelare informazioni sensibili o a cliccare su link pericolosi, in modo da agevolare la trasmissione del ransomware.

2. Attacchi di phishing: i chatbot basati su AI sono i grado di generare messaggi di phishing convincenti e personalizzati, che risultano quindi più efficaci nell'ingannare gli utenti e fargli divulgare informazioni sensibili o scaricare allegati pericolosi. Gli attacchi ransomware vengono spesso sferrati tramite campagne di phishing e i contenuti generati dall'AI possono renderli ancora più sofisticati.

3. Elusione delle difese: l'AI generativa può essere utilizzata per generare ceppi di ransomware polimorfici o in mutazione dinamica, il cui rilevamento e blocco da parte delle soluzioni di sicurezza tradizionali risulta quindi più difficile. Sfruttando gli algoritmi di AI per modificare costantemente il codice ransomware sottostante, i criminali informatici possono creare varianti in grado di sfuggire alle difese convenzionali basate sulle firme.

4. Attacchi mirati: è possibile usare l'AI per raccogliere e analizzare grandi quantità di dati riguardanti le potenziali vittime, il che consente ai criminali informatici di creare attacchi ransomware più personalizzati e mirati. Utilizzando le tecniche di machine learning, gli hacker possono sfruttare i punti deboli e le vulnerabilità specifiche dell'ambiente di un obiettivo, in modo da sferrare attacchi più efficaci.

È fondamentale tenere presente che l'uso dell'AI generativa nella criminalità informatica è un problema attuale, e la comunità degli esperti di sicurezza sta lavorando attivamente allo sviluppo di contromisure. Per mitigare i rischi associati al potenziale uso improprio da parte dei criminali informatici, è necessario utilizzare e sviluppare in modo responsabile le tecnologie basate su AI.

Gli algoritmi di machine learning possono essere utilizzati in vari modi per ottimizzare diversi aspetti del processo di attacco. Anche se non posso intraprendere o supportare nessuna attività illegale, ecco alcuni modi in cui il machine learning potrebbe essere usato in modo improprio per gli attacchi ransomware:

1. Attacchi mirati: gli algoritmi di machine learning sono in grado di analizzare dataset di grandi dimensioni per individuare potenziali obiettivi e raccogliere informazioni sui loro sistemi, vulnerabilità e reti. Conoscendo l'ambiente dell'obiettivo preso di mira, i criminali informatici possono personalizzare i loro attacchi ransomware in modo da sfruttare punti deboli specifici e aumentare le probabilità di successo dell'infezione e della crittografia.

2. Infiltrazione dell'attacco: il machine learning può essere utilizzato al fine di ottimizzare i meccanismi di trasmissione del ransomware, quali campagne e-mail di phishing e siti web pericolosi. Addestrando i modelli sulla base di grandi quantità di dati, gli hacker possono prendere di mira le potenziali vittime con maggiore precisione e aumentare le probabilità che gli utenti interagiscano con contenuti pericolosi, con la conseguente attivazione del ransomware.

3. Tecniche di elusione: gli algoritmi di machine learning consentono ai criminali informatici di sviluppare tecniche di elusione in grado di sfuggire alle difese di sicurezza. Analizzando le soluzioni di sicurezza e i relativi meccanismi di rilevamento, gli hacker possono addestrare i modelli in modo da generare varianti di ransomware con maggiori probabilità di eludere i sistemi antivirus e di rilevamento delle intrusioni tradizionali, riducendo le capacità di difesa delle vittime.

4. Ottimizzazione della crittografia: il machine learning può essere usato per migliorare gli algoritmi di crittografia utilizzati dal ransomware, rendendoli più sofisticati e sicuri. Addestrando i modelli sulla base di tecniche e pattern di crittografia, i criminali informatici possono sviluppare metodi di crittografia più potenti e difficili da decifrare, aumentando le probabilità che le vittime si trovino costrette a pagare il riscatto per recuperare i propri dati.

È evidente che tecnologie come AI e ML costituiscono una minaccia reale nell'ecosistema del ransomware. Poiché questi strumenti rendono gli attacchi ransomware più sofisticati ed efficaci, diventa più complicato adottare misure di risposta e protezione appropriate. Disponendo di una solida infrastruttura di Cyber Security con un piano di incident response completo, puoi passare al contrattacco e difenderti dagli autori delle minacce ransomware.

Il ransomware è la minaccia principale per tutte le aziende, indipendentemente dalle loro dimensioni. I criminali informatici affinano costantemente le loro tattiche alla ricerca di nuovi modi per infiltrarsi nei sistemi e nelle reti. Un'azienda che intenda ridurre il rischio deve adottare misure di protezione aggressive, ma anche prepararsi all'eventualità che un attacco abbia successo.

Le aziende devono adottare strumenti basati su AI e ML per rilevare, prevenire e rispondere agli attacchi ransomware. Il futuro del ransomware richiede la capacità di analizzare i pattern di traffico, individuare le anomalie e rilevare i potenziali attacchi. Sfruttando l'AI e il ML per difenderti dalle minacce ransomware, proteggerai meglio le informazioni critiche e i processi.

Acronis Cyber Protect è una soluzione integrata di Cyber Protection che consente di proteggere le aziende da tutti i tipi di ransomware. Combina machine learning e intelligenza artificiale per rilevare e bloccare gli attacchi ransomware e fornire opzioni di ripristino in caso di attacco.

Acronis Cyber Protect rileva e blocca gli attacchi ransomware sfruttando un approccio a più livelli. L'euristica e il rilevamento basato su firme consentono di identificare le minacce ransomware note, mentre l'analisi comportamentale e le tecnologie di machine learning aiutano a rilevare anche le nuove minacce. La soluzione sfrutta l'intelligenza artificiale per monitorare i cambiamenti di comportamento che potrebbero indicare un attacco imminente.

In caso di attacco, Acronis Cyber Protect offre diverse opzioni di ripristino. Ad esempio, è in grado di ripristinare cartelle o singoli file crittografati e interi sistemi. Offre inoltre la possibilità di eseguire un rollback delle modifiche apportate dal ransomware, in modo da poter tornare a una versione dei dati precedente all'attacco.