Le statistiche più recenti dimostrano che i modelli di ransomware sono in continuo mutamento e sviluppo ed è sempre più complesso difendersi se non si è agito per tempo giocando sulla prevenzione.
Il volume degli attacchi ransomware rimangono stabili nonostante l’aumento dei livelli di protezione.
Il coinvolgimento del governo è un’altra tendenza significativa che può potenzialmente modificare il modo in cui vengono gestiti gli attacchi ransomware. Entro il 2025, Gartner prevede che il 30% dei Paesi del mondo approverà probabilmente leggi sul pagamento dei ransomware.
Ciò suggerisce che anche lo sconto tipico sui pagamenti dei ransomware sta crescendo. Secondo le più recenti osservazioni sul ransomware, le vittime dovrebbero prevedere uno sconto sui pagamenti del riscatto compreso tra il 20% e il 25%, con alcuni sconti fino al 60%.
Table of Contents
Come funzionano gli attacchi Ransomware
Il ransomware è un tipo particolare di software che limita o impedisce agli utenti di accedere ai propri dati sul computer per costringerli a pagare i creatori. I crittografi e gli screen locker sono le due forme più comuni di ransomware. I crittografi, come suggerisce il nome, criptano i dati su un dispositivo, rendendo il materiale inutilizzabile senza la chiave di decrittazione.
Gli screen locker escludono gli utenti dalle loro schermate. D’altra parte, gli screen locker non fanno altro che impedire l’accesso al sistema da parte degli utenti, visualizzando una schermata di “blocco” e sostenendo che il sistema è crittografato.
Spesso le vittime vengono informate su una schermata di blocco, una funzione condivisa da screen locker. I malcapitati devono quindi acquisire una criptovaluta, come Bitcoin, e inviarla ai criminali per pagare il prezzo del riscatto. I clienti che hanno pagato il riscatto ricevono la chiave di decrittazione e hanno la possibilità di tentare di decrittare i propri dati.
Dopo il pagamento del riscatto, la decriptazione è stata segnalata come riuscita da diverse fonti, anche se in misura variabile. Ciò significa che la decriptazione non è assicurata. Ci sono situazioni in cui le chiavi non vengono mai restituite alla vittima. Anche dopo il pagamento del riscatto e il rilascio dei dati, alcuni attacchi continuano a installare malware sul sistema informatico.
Il ransomware crittografico ha inizialmente preso di mira i computer personali, ma ora ha spostato la sua attenzione sugli utenti aziendali. Ciò è dovuto al fatto che le aziende spesso pagano più delle persone per sbloccare i sistemi essenziali e riavviare le normali attività aziendali.
Le e-mail dannose sono generalmente il punto di ingresso per gli attacchi ransomware o i virus che colpiscono le aziende. Una persona inconsapevole apre un allegato dannoso o clicca su un URL violato, mettendosi a rischio.
In seguito, viene installato un agente ransomware che cripta tutti i file importanti memorizzati sul computer della vittima e le eventuali condivisioni di file associate. Dopo che i dati sono stati crittografati, il ransomware mostra sul dispositivo infetto un messaggio che descrive l’accaduto e fornisce istruzioni su come pagare i criminali informatici. Il ransomware promette alle vittime di ricevere un codice per sbloccare i dati se pagano il riscatto.
Chi è in pericolo e rischia di subire un attacco ransomware
Qualsiasi computer o gadget collegato a Internet rischia di diventare la prossima vittima di un ransomware. Poiché il ransomware indaga sia sul dispositivo locale che su qualsiasi dispositivo di archiviazione collegato alla rete, la presenza anche di un dispositivo suscettibile aumenta il rischio di infezione per l’intera rete locale.
Se la rete locale appartiene a un’azienda, il ransomware può criptare dati e documenti essenziali, ponendo fine alle operazioni commerciali e alla produttività.
Se un dispositivo deve essere connesso a Internet, deve avere gli aggiornamenti di sicurezza software più recenti e deve avere installato un software anti-malware in grado di identificare il ransomware e bloccarlo. I sistemi operativi ormai obsoleti e non più supportati, come Windows XP, rappresentano una minaccia molto più grave.
Quali sono gli effetti del ransomware sulle aziende
Se un’azienda viene infettata da un ransomware, la conseguente riduzione della produzione e la perdita di dati possono costare migliaia di dollari. Gli aggressori che hanno accesso ai dati possono ricattare le vittime affinché paghino un riscatto, minacciando di far trapelare i dati e di rendere pubblica una violazione dei dati se non ottengono il pagamento. Se un’azienda non effettua i pagamenti in modo tempestivo, può andare incontro a ulteriori conseguenze negative, come un marchio danneggiato o un’azione legale.
La prima misura da adottare è il contenimento, poiché il ransomware interrompe la produttività. Una volta completata la procedura di contenimento, l’azienda può scegliere se ripristinare i dati dai backup o pagare il riscatto. Le indagini a volte includono le forze dell’ordine, ma l’identificazione degli autori del ransomware richiede ricerche approfondite, che rallentano il processo di ripristino. La vulnerabilità può essere identificata attraverso l’analisi delle cause principali, ma eventuali ritardi nel ripristino si ripercuotono sulla produttività e sul reddito aziendale.
Perché il ransomware sta diventando così diffuso?
Gli attori delle minacce hanno incrementato l’uso del phishing come conseguenza del crescente numero di persone che lavorano da casa. Il phishing è il principale vettore di diffusione delle infezioni ransomware. I dipendenti, compresi gli utenti con bassi e alti privilegi, sono i destinatari delle e-mail di phishing. L’e-mail non è solo accessibile, ma anche semplice da utilizzare, il che la rende un mezzo adatto ai criminali informatici per diffondere il ransomware.
Gli utenti sono abituati ad aprire i file inviati come allegati alle e-mail, poiché i documenti vengono tipicamente trasmessi tramite questo mezzo. Dopo che la macro dannosa ha completato la sua esecuzione, il ransomware viene scaricato sul dispositivo locale e quindi il payload viene inviato. Poiché è così semplice diffondere il ransomware tramite e-mail, si tratta di una delle forme più diffuse di attacco malware.
La disponibilità di kit di malware è un altro fattore che ha giocato un ruolo nella proliferazione degli attacchi ransomware. Questi kit di exploit cercano nei dispositivi le vulnerabilità del software, quindi infettano ulteriormente il dispositivo distribuendo altro malware e creando campioni di malware su richiesta.
Chi sono i criminali dietro i ransomware
Gli attacchi di natura più sofisticata possono avvalersi di ransomware scritti da autori che costruiscono le proprie versioni. La base di codice di una versione di ransomware esistente viene utilizzata dalle varianti, che modificano un numero sufficiente di routine per cambiare sia il payload che il meccanismo di attacco. Gli sviluppatori di ransomware sono in grado di personalizzare il loro software in modo che possa svolgere qualsiasi attività e utilizzare qualsiasi cifratura a loro scelta.
Gli aggressori non sono necessariamente i creatori dei loro attacchi. Alcuni creatori di ransomware vendono o concedono in licenza il loro software a terzi per poterlo utilizzare. I clienti possono noleggiare il ransomware utilizzando un modello noto come malware-as-a-service (MaaS), che richiede di autenticarsi attraverso un dashboard prima di lanciare la propria campagna. Di conseguenza, gli aggressori non sono necessariamente sviluppatori esperti o specialisti di malware. Ci sono anche persone che pagano gli autori di ransomware per affittare il loro software.
Perchè non dovremmo MAI pagare le richieste del ransomware
Dopo aver terminato la crittografia dei dati, il ransomware fornisce all’utente una schermata in cui lo informa che i suoi file sono stati crittografati e la somma di denaro richiesta per decifrarli. Nella maggior parte dei casi, alla vittima viene concesso un certo periodo di tempo per pagare il riscatto prima che l’importo venga aumentato. Inoltre, gli aggressori minacciano di divulgare le aziende e di rendere di dominio pubblico il fatto che sono state colpite dal ransomware.
Se si paga il riscatto, il pericolo più significativo è che non si otterranno mai le chiavi crittografiche per sbloccare i dati. Sebbene i professionisti della sicurezza siano concordi nell’affermare che il pagamento del riscatto dovrebbe essere evitato per impedire agli autori dell’attacco di ottenere ulteriori vantaggi finanziari, molte aziende non hanno altra scelta. I creatori di ransomware chiedono che i pagamenti vengano effettuati in bitcoin o altre criptovalute decentralizzate, poiché questo tipo di transazione non può essere annullata.
Il software dannoso mostrerà un messaggio all’utente, informandolo di ciò che è accaduto ai suoi dati e fornendo indicazioni per effettuare il pagamento. Poiché il ransomware potrebbe potenzialmente spostarsi su altri siti di rete e cercarvi file importanti, gli amministratori devono agire rapidamente. Per rispondere efficacemente al ransomware, si possono adottare alcune misure fondamentali. Ma dobbiamo necessariamente tenere presente che in genere è necessaria l’assistenza di un esperto per determinare la causa principale, eseguire la pulizia e indagare sull’incidente.
Come intervenire se si è vittime di un attacco ransomware
Scoprite quali sistemi sono stati colpiti. È necessario compartimentare i sistemi in modo che non abbiano effetti sull’ambiente circostante. Come parte del processo di contenimento, questa procedura contribuirà a ridurre la quantità di danni all’ambiente.
Nel caso in cui sia indispensabile, scollegare i sistemi e spegnerli. Poiché il ransomware si propaga così rapidamente attraverso le reti, tutti i sistemi devono essere isolati dalla rete, spegnendoli o bloccandone l’accesso.
Il ripristino della funzionalità dei sistemi deve essere la priorità assoluta. Questo garantisce che i sistemi più importanti vengano ripristinati per primi. Nella maggior parte dei casi, la priorità è determinata dall’effetto sulla produzione e sul reddito.
Eliminare dalla rete qualsiasi traccia del pericolo. Poiché gli aggressori potrebbero sfruttare le backdoor, l’eliminazione deve essere gestita da un professionista del settore affidabile. Per eseguire un’analisi delle cause principali che identifichi la vulnerabilità e tutti i sistemi colpiti, l’esperto deve avere accesso ai registri.
Richiedete una valutazione professionale dell’ambiente per valutare i potenziali miglioramenti della sicurezza. Non è raro che le persone colpite da ransomware cadano vittima del software dannoso una seconda volta. È possibile sfruttare vulnerabilità non ancora scoperte.
I nuovi pericoli del ransomware
Gli autori trasformano continuamente il loro codice in nuove varianti. Gli amministratori e i creatori di software anti-malware devono rimanere aggiornati su queste nuove tecnologie per rilevare tempestivamente le minacce e impedirne la diffusione nella rete. Di seguito sono elencati alcuni nuovi pericoli:
- Caricamento laterale dei file DLL.
Il malware utilizza spesso DLL e servizi che imitano l’aspetto di operazioni autentiche nel tentativo di eludere il rilevamento. - Server Web come bersaglio.
Quando si utilizza un ambiente di hosting condiviso, è possibile che il malware si diffonda a tutti i siti web ospitati sul server. Le e-mail di phishing sono il principale vettore di infezione per i ransomware come Ryuk, che prendono di mira i siti web ospitati. - Il phishing nella sua forma tradizionale è meno efficace dello spear phishing. Invece di distribuire malware a migliaia di obiettivi, gli aggressori effettuano una ricognizione sui possibili obiettivi per l’accesso alla rete con privilegi elevati. In questo modo gli aggressori possono evitare di sprecare tempo e risorse.
- Gli utenti possono lanciare attacchi utilizzando il ransomware-as-a-service (RaaS), che non richiede alcuna competenza in materia di sicurezza informatica. L’aumento del numero di attacchi ransomware è stato attribuito all’adozione di RaaS.
In che modo lo smart working contribuisce al dilagare degli attacchi Ransomware
Il lavoro da remoto è un fattore chiave che contribuisce all’aumento del numero di attacchi che utilizzano il ransomware. L’epidemia da Covid-19 ha dato vita a un nuovo approccio di conduzione degli affari su scala mondiale. È molto più probabile che le minacce abbiano successo contro una forza lavoro che opera da casa.
Gli utenti domestici non dispongono della sicurezza informatica di livello aziendale necessaria per proteggersi da attacchi sofisticati e molti di questi utenti mescolano insieme apparecchiature personali e professionali. I computer personali infettati da malware possono potenzialmente infettare anche le apparecchiature aziendali collegate in rete, poiché il ransomware cerca nella rete i dispositivi vulnerabili.
Come possiamo rilevare e prevenire la diffusione del ransomware
L’impostazione di backup e l’esecuzione di test su di essi, oltre all’implementazione della protezione ransomware nelle soluzioni di sicurezza, è la procedura standard per proteggersi dagli attacchi ransomware. La prima linea di difesa è costituita da misure di sicurezza come i gateway di protezione delle e-mail, mentre gli endpoint stessi sono la seconda linea di difesa.
I sistemi di rilevamento delle intrusioni, noti anche come IDS, sono in grado di identificare il ransomware command-and-control per generare un allarme nel caso in cui un sistema ransomware contatti un server di controllo. Sebbene la formazione degli utenti sia estremamente importante, è solo una delle numerose linee di protezione da adottare per scongiurare il ransomware. Di solito si attiva una volta che il ransomware inviato tramite e-mail di phishing è stato consegnato con successo.
L’accumulo di Bitcoin può servire come piano di riserva nel caso in cui altre tattiche di prevenzione del ransomware risultino inefficaci. Ciò avviene più frequentemente in situazioni in cui i clienti o gli utenti dell’organizzazione colpita rischiano di subire danni immediati.
Il ransomware rappresenta una minaccia unica per gli ospedali e le altre istituzioni del settore alberghiero, perché può mettere in pericolo la vita dei pazienti o impedire alle persone di entrare o uscire dalla struttura.