Il ransomware è uno dei maggiori problemi di sicurezza su Internet e una delle più grandi forme di crimine informatico che le organizzazioni devono affrontare oggi. Il ransomware è una forma di software dannoso, il malware, che crittografa file e documenti su qualsiasi cosa da un singolo PC fino a un'intera rete, inclusi i server. Le vittime vengono spesso lasciate con poche scelte; possono riottenere l'accesso alla loro rete crittografata pagando un riscatto ai criminali dietro il ransomware, oppure eseguire il ripristino dai backup o sperare che ci sia una chiave di decrittazione liberamente disponibile.
Alcune infezioni ransomware iniziano con qualcuno all'interno di un'organizzazione che fa clic su quello che sembra un allegato innocente che, una volta aperto, scarica il payload dannoso e crittografa la rete.
Altre campagne di ransomware molto più grandi utilizzano exploit e difetti del software, password violate e altre vulnerabilità per ottenere l'accesso alle organizzazioni che utilizzano punti deboli come server con connessione Internet o accessi desktop remoto per ottenere l'accesso. Gli aggressori cercheranno segretamente attraverso la rete finché non controlleranno il più possibile, prima di crittografare tutto ciò che possono.
Inizialmente il problema era legato al fatto che file e documenti vitali, reti o server venivano improvvisamente crittografati diventando inaccessibili. Successivamente il problema si è evoluto in quanto dopo essere attaccato con ransomware di crittografia dei file, i criminali annunciano sfacciatamente che stanno tenendo in ostaggio i tuoi dati aziendali finché non pagherai un riscatto per riaverli, mettendo quindi a rischio la reputazione aziendale.
Potrebbe sembrare troppo semplice, ma funziona, a tal punto che il direttore dell'agenzia di intelligence britannica GCHQ Jeremy Fleming ha avvertito che la minaccia del ransomware "sta crescendo a un ritmo allarmante".
Ma partiamo dall’inizio ...
Qual’è la storia dei ransomware?
Sebbene il ransomware sia esploso negli ultimi anni, non è un fenomeno nuovo: il primo esempio di quello che ora conosciamo come ransomware è apparso nel 1989.
Conosciuto come AIDS o PC Cyborg Trojan, il virus è stato inviato alle vittime, principalmente nel settore sanitario, su un floppy disc. Il ransomware ha contato il numero di volte in cui il PC è stato avviato: una volta raggiunto 90, ha crittografato la macchina e i file su di essa e ha chiesto all'utente di 'rinnovare la licenza' con 'PC Cyborg Corporation' inviando $ 189 o $ 378 a un ufficio postale scatola a Panama.
Come si sono evoluti?
Questo primo ransomware era relativamente semplice: utilizzava la crittografia di base che per lo più cambiava solo i nomi dei file, rendendolo relativamente facile da superare.
E’ stato l’origine che ha dato il via a un nuovo ramo della criminalità informatica, che lentamente, ma inesorabilmente, è cresciuto a portata di mano - e ha davvero preso piede nell'era di Internet. Prima di iniziare a utilizzare la crittografia avanzata per prendere di mira le reti aziendali, gli hacker prendevano di mira gli utenti Internet generici con ransomware di base.
Una delle varianti di maggior successo è stata "ransomware della polizia", che ha cercato di estorcere le vittime sostenendo che il PC era stato crittografato dalle forze dell'ordine. Lo schermo dell’utente veniva bloccato con una richiesta di riscatto che lo avvertiva del fatto che avesse commesso attività online illegale, rischiando la prigione.
Il trucco continuavo avvisando la vittima che se pagava una multa, la "polizia" avrebbe lasciato scorrere la violazione e avrebbe ripristinato l'accesso al computer consegnando la chiave di decrittazione. Ovviamente, questo non aveva niente a che fare con le forze dell'ordine: si trattava di criminali che sfruttano persone innocenti.
Sebbene con poco successo, queste forme di ransomware spesso si sovrapponevano semplicemente al loro messaggio di "avviso" sul display dell'utente e il riavvio della macchina poteva eliminare il problema e ripristinare l'accesso a file che non erano mai stati realmente crittografati.
I criminali hanno imparato da questo e ora la maggior parte degli schemi di ransomware utilizza la crittografia avanzata per bloccare veramente un PC infetto e i file su di esso.
Quali sono i principali tipi di ransomware?
Il ransomware è in continua evoluzione, con nuove varianti che appaiono continuamente in circolazione e rappresentano nuove minacce per le aziende. Tuttavia, ci sono alcuni tipi di ransomware che hanno avuto molto più successo di altri.
La famiglia di ransomware più prolifica nel corso del 2021 finora è Sodinokibi, che ha afflitto organizzazioni in tutto il mondo da quando è emerso nell'aprile 2019.
Conosciuto anche come REvil, questo ransomware è stato responsabile della crittografia delle reti di un gran numero di organizzazioni di alto profilo, tra cui Travelex e uno studio legale di New York con clienti famosi.
La banda dietro Sodinokibi è ben organizzata e dedica molto tempo a gettare le basi per un attacco, muovendosi furtivamente attraverso la rete compromessa per garantire che possa essere crittografato tutto il possibile prima che l'attacco ransomware venga lanciato.
È noto che coloro che stanno dietro a Sodinokibi chiedono pagamenti per milioni di dollari in cambio della decrittografia dei dati. E dato che gli hacker spesso ottengono il pieno controllo della rete, quelle organizzazioni che si rifiutano di pagare il riscatto dopo essere cadute vittime di Sodinokibi si trovano anche davanti al problema della divulgazione delle informazioni raccolte e quindi il problema del gestione della reputazione.
Sodinokibi non è l'unica campagna ransomware che minaccia di far trapelare dati dalle vittime come ulteriore leva per estorcere il pagamento; bande di ransomware come Conti, Doppelpaymer ed Egregor sono tra coloro che minacciano di pubblicare informazioni rubate se la vittima non paga.
Nuove famiglie di ransomware stanno emergendo continuamente mentre altre scompaiono improvvisamente o passano di moda, con nuove varianti che emergono costantemente nei forum clandestini.
Ad esempio, Locky era una volta la forma più nota di ransomware, avendo creato scompiglio all'interno delle organizzazioni di tutto il mondo per tutto il 2016, diffondendosi tramite e-mail di phishing. Locky ha avuto successo perché quelli dietro di esso hanno aggiornato regolarmente il codice per evitarne il rilevamento. Lo hanno persino aggiornato con nuove funzionalità, inclusa la possibilità di presentare richieste di riscatto in 30 lingue, in modo che i criminali potessero prendere di mira più facilmente le vittime in tutto il mondo. Ad un certo punto Locky ha avuto così tanto successo che era diventato una delle forme più diffuse di malware a sé stante, ma nonostante ciò, meno di un anno dopo sembrava essere scomparso e da allora è rimasto inaudito.
L'anno successivo, è stato Cerber a diventare la forma più dominante di ransomware, rappresentando il 90% degli attacchi ransomware su Windows nell'aprile 2017. Uno dei motivi per cui Cerber è diventato così popolare è stato il modo in cui è stato distribuito come 'ransomware-as-a -service ', che consente agli utenti senza conoscenze tecniche di condurre attacchi in cambio di una parte dei profitti che torna agli autori originali.
Sebbene Cerber sembrasse scomparire entro la fine del 2017, è stato il pioniere del modello "as-a-service" che è popolare con molte forme di ransomware oggi.
Un'altra forma di ransomware di successo nel 2017 e nel 2018 è stata SamSam, che è diventata una delle prime famiglie a diventare famosa non solo per aver addebitato un riscatto di decine di migliaia di dollari per la chiave di decrittazione, ma sfruttando sistemi non protetti con connessione a Internet come mezzo di infezione e diffusione laterale attraverso le reti.
Nel novembre 2018, il Dipartimento di Giustizia degli Stati Uniti ha accusato due hacker che lavoravano dall'Iran di aver creato il ransomware SamSam, che si dice abbia effettuato pagamenti di riscatto per oltre 6 milioni di dollari nel corso di un anno. Poco dopo, SamSam è cessato.
Per tutto il 2018 e il 2019, un'altra famiglia di ransomware che si è rivelata problematica sia per le aziende che per gli utenti domestici è stata GandCrab, che Europol ha descritto come "una delle forme più aggressive di ransomware" all'epoca.
GandCrab operava "as-a-service" e riceveva aggiornamenti regolari, il che significa che anche quando i ricercatori della sicurezza lo hanno crackato e sono stati in grado di rilasciare una chiave di decrittazione, una nuova versione del ransomware con un nuovo metodo di crittografia era apparsa subito dopo.
Con grande successo in particolare per tutta la prima metà del 2019, i creatori di GandCrab hanno improvvisamente annunciato che l'operazione sarebbe stata chiusa, sostenendo di aver guadagnato 2,5 milioni di dollari a settimana affittandola ad altri utenti cyber-criminali. GandCrab è scomparso poche settimane dopo, anche se sembra che gli aggressori avrebbero possano aver spostato la loro attenzione su un'altra campagna; i ricercatori hanno suggerito forti somiglianze nel codice di GandGrab rispetto a Sodinokibi, che tutt’oggi è ancora forte.
Nel frattempo, una delle famiglie di ransomware di maggior successo nel 2020 è stata Maze ransomware, che combinava aggiornamenti regolari al codice malware con minacce di far trapelare informazioni rubate se un riscatto a sei cifre non fosse stato pagato. Il gruppo si è “ritirato” alla fine del 2020, ma si sospetta che alcuni di coloro che stavano dietro al successo di Maze siano passati a lavorare con altre operazioni criminali di ransomware.
Il caso dell’attacco ransomware Colonial Pipeline
Uno degli ultimi attacchi ransomware eclatanti, accaduto giusto questo mese è il caso Colonial Pipeline, che rappresenta il 45% della fornitura di carburante per la costa orientale degli Stati Uniti, che ha temporaneamente chiudere le operazioni.
Benzina, diesel, carburante per aviogetti, olio per il riscaldamento domestico e carburante per le forze armate statunitensi dipendono tutti dall'oleodotto coloniale per il carburante.
Temendo la carenza di rifornimenti a causa dell'incidente, la Federal Motor Carrier Safety Administration (FMCSA) del Dipartimento dei trasporti degli Stati Uniti ha emesso una dichiarazione di emergenza, quindi il trasporto su strada di carburante potrebbe aiutare a soddisfare le richieste di coloro che non sono serviti dal gasdotto chiuso dal ransomware.
Tale è stata l'interruzione causata dall'attacco ransomware che ha paralizzato le operazioni IT dietro la pipeline che il presidente Joe Biden è stato informato al riguardo.
Alcuni rapporti hanno affermato, dietro l’attacco che crittografava la rete IT di Colonial Pipeline ci sia Darkside, un'operazione di ransomware-as-a-service. Darkside è un operatore relativamente poco conosciuto nello spazio dei ransomware prima dell'incidente del Colonial Pipeline, ma l'attacco ha dimostrato che anche se il ransomware non è un "marchio" di alto profilo nei forum clandestini, può comunque causare enormi interruzioni.
Il caso del ransomware WannaCry
In quello che è ancora considerato il più grande attacco ransomware fino ad oggi, WannaCry - noto anche come WannaCrypt e Wcry - ha causato il caos in tutto il mondo in un attacco iniziato venerdì 12 maggio 2017.
Il ransomware WannaCrypt richiede $ 300 in bitcoin per sbloccare i file crittografati, un prezzo che raddoppia dopo tre giorni. Gli utenti sono anche minacciati, tramite una richiesta di riscatto sullo schermo, di eliminare definitivamente tutti i loro file se il riscatto non viene pagato entro una settimana.
Più di 300.000 vittime in oltre 150 paesi sono rimaste vittime del ransomware nel corso di un fine settimana, colpendo aziende, governi e individui in tutto il mondo.
Le organizzazioni sanitarie di tutto il Regno Unito hanno messo fuori servizio i sistemi dall'attacco ransomware, costringendo gli appuntamenti a essere cancellati e portati agli ospedali che dicevano alle persone di evitare di visitare i reparti di emergenza a meno che non fosse del tutto necessario.
Di tutti i paesi colpiti dall'attacco, la Russia è stata quella più colpita, secondo i ricercatori sulla sicurezza, con il malware WannaCry che ha fatto schiantare banche, operatori telefonici e persino sistemi IT russi a supporto dell'infrastruttura di trasporto. Anche la Cina è stata duramente colpita dall'attacco, con 29.000 organizzazioni in totale vittime di questa forma particolarmente viziosa di ransomware.
Altri obiettivi di alto profilo includevano la casa automobilistica Renault, che è stata costretta a fermare le linee di produzione in diverse località poiché il ransomware aveva causato danni ai sistemi.
Il worm ransomware è così potente perché sfrutta una nota vulnerabilità del software chiamata EternalBlue. Il difetto di Windows è uno dei tanti zero-day che apparentemente era noto alla NSA, prima di essere trapelato dal collettivo di hacker Shadow Brokers. Microsoft ha rilasciato una patch per la vulnerabilità all'inizio di quest'anno, ma solo per i sistemi operativi più recenti.
In risposta all'attacco, Microsoft ha intrapreso il passo senza precedenti di rilasciare patch per i sistemi operativi non supportati per proteggersi dal malware.
Da allora i servizi di sicurezza negli Stati Uniti e nel Regno Unito hanno indicato la Corea del Nord come l'autore dell'attacco ransomware WannaCry, con la Casa Bianca che ha ufficialmente dichiarato Pyongyang come la fonte dell'epidemia.
Tuttavia, la Corea del Nord ha definito "assurde" le accuse di essere dietro WannaCry.
A prescindere da chi fosse alla fine dietro WannaCry, se l'obiettivo del programma era quello di fare grandi somme di denaro, fallì: furono pagati solo circa $ 100.000.
Sono passati quasi tre mesi prima che gli aggressori di WannaCry ritirassero finalmente i fondi dai portafogli bitcoin di WannaCry - sono riusciti a vincere un totale di $ 140.000 grazie alle fluttuazioni del valore di bitcoin.
Ma nonostante le patch critiche siano state rese disponibili per proteggere i sistemi da WannaCry e altri attacchi che sfruttano la vulnerabilità delle PMI, un gran numero di organizzazioni apparentemente ha scelto di non applicare gli aggiornamenti.
Si pensa che questo sia il motivo per cui LG ha subito un'infezione da WannaCry ad agosto, tre mesi dopo lo scoppio iniziale. Da allora la società ha affermato di aver applicato le patch pertinenti.
La discarica pubblica dell'exploit EternalBlue dietro WannaCry ha portato vari gruppi di hacker a tentare di sfruttarlo per potenziare il proprio malware. I ricercatori hanno persino documentato come una campagna rivolta agli hotel europei dell'APT28 - un gruppo di hacker russo collegato all'ingerenza nelle elezioni presidenziali statunitensi - stia ora utilizzando la vulnerabilità trapelata della NSA.
Cos'era NotPetya ransomware?
Poco più di un mese dopo lo scoppio del ransomware WannaCry, il mondo è stato colpito da un altro attacco ransomware globale.
Questo attacco informatico ha colpito per la prima volta obiettivi in Ucraina, tra cui la sua banca centrale, il principale aeroporto internazionale e persino l'impianto nucleare di Chernobyl, prima di diffondersi rapidamente in tutto il mondo, infettando organizzazioni in Europa, Russia, Stati Uniti e Australia.
Dopo un po 'di confusione iniziale su cosa fosse questo malware - alcuni hanno detto che era Petya, alcuni hanno detto che era qualcos'altro, da cui il nome NotPetya - i ricercatori della sicurezza sono giunti alla conclusione che l'epidemia fosse dovuta a una versione modificata del ransomware Petya, combinando elementi di GoldenEye - un parente particolarmente vizioso di Petya - e il ransomware WannaCry in malware estremamente potente.
Questa seconda forma di ransomware sfruttava anche lo stesso exploit EternalBlue di Windows che ha fornito a WannaCry le funzionalità simili a worm per diffondersi attraverso le reti (non semplicemente tramite un allegato di posta elettronica come spesso accade) e colpire 300.000 computer in tutto il mondo.
Tuttavia, NotPetya è stato un attacco molto più feroce. L'attacco non solo crittografava i file delle vittime, ma crittografava anche interi dischi rigidi sovrascrivendo il record di riavvio principale, impedendo al computer di caricare il sistema operativo o fare qualsiasi cosa.
Gli aggressori chiedevano un riscatto in bitcoin di $ 300 da inviare a un indirizzo email specifico, che è stato chiuso dall'host del servizio di posta elettronica. Tuttavia, il modo in cui questo ransomware molto sofisticato era apparentemente dotato di funzioni molto semplici e non automatizzate per accettare i riscatti, ha portato alcuni a suggerire che l'obiettivo non fosse il denaro.
Ciò ha portato molti a credere che la nota del ransomware fosse solo una copertura per il vero obiettivo del virus: causare il caos cancellando irrimediabilmente i dati dalle macchine infette.
Qualunque fosse lo scopo dell'attacco, ha avuto un impatto significativo sulle finanze delle organizzazioni che sono state infettate. L'azienda britannica di beni di consumo Reckitt Benckiser ha dichiarato di aver perso 100 milioni di sterline di entrate a causa della caduta vittima di Petya.
Ma si tratta di una perdita relativamente modesta rispetto ad altre vittime dell'attacco: l'operatore di navi di trasporto e rifornimento Maersk e la società di consegna delle merci FedEx hanno entrambe stimato perdite di 300 milioni di dollari a causa dell'impatto di Petya.
Nel febbraio 2018, i governi di Regno Unito, Stati Uniti, Australia e altri hanno dichiarato ufficialmente che il ransomware NotPetya era stato opera dell'esercito russo. La Russia nega qualsiasi coinvolgimento.
Quanto può costare ad un’azienda un attacco ransomware ?
Ovviamente, il costo più immediato associato all'infezione da ransomware, se pagato, è la richiesta di riscatto, che può dipendere dal tipo di ransomware o dalle dimensioni dell’organizzazione.
Gli attacchi ransomware possono variare in termini di dimensioni, ma sta diventando sempre più comune per le bande di hacker richiedere milioni di dollari per ripristinare l'accesso alla rete o evitare di diffondere dati sensibili. E il motivo per cui le bande di hacker sono in grado di chiedere così tanti soldi è, in parole povere, perché molte organizzazioni alla fine pagheranno!
Se la rete è bloccata dal ransomware significa che l'organizzazione non può fare affari: potrebbero perdere grandi quantità di entrate ogni giorno, forse anche ogni ora se la rete non è disponibile. Si stima che l'attacco ransomware NotPetya sia costato alla ditta di spedizioni Maersk fino a 300 milioni di dollari di perdite.
Se un'organizzazione sceglie di non pagare il riscatto, non solo si ritroverà a perdere entrate per un periodo di tempo che potrebbe durare settimane, forse mesi, ma probabilmente si ritroverà a pagare una grossa somma affinché una società di sicurezza entri e ripristini accesso alla rete. In alcuni casi, questo potrebbe anche costare più della richiesta di riscatto, ma almeno in questo caso il pagamento andrà a un'azienda legittima piuttosto che finanziare i criminali… per non parlare delle perdite di immagine e problemi relativi alla gestione della privacy dei dati in caso di loro diffusione.
Oltre a tutto questo, c'è anche il rischio che i clienti perdano la fiducia nell’attività a causa della scarsa sicurezza informatica e portino la loro attività altrove.
Si stima che per tutto il 2020, il ransomware è costato alle aziende di tutto il mondo circa 20 miliardi di dollari, oltre il 75% in più rispetto all'importo del 2019.
Perché un’organizzazione dovrebbe preoccuparsi dei ransomware
Per dirla semplicemente: il ransomware potrebbe rovinare un’azienda. Essere bloccati dai file da malware anche solo per un giorno avrà un impatto sulle entrate. Ma dato che il ransomware porta la maggior parte delle vittime offline per almeno una settimana, o talvolta per mesi, le perdite possono essere significative. I sistemi restano offline per così tanto tempo non solo perché il ransomware blocca il sistema, ma per tutto lo sforzo richiesto per ripulire e ripristinare le reti.
E non è solo l'immediato colpo finanziario del ransomware a danneggiare un'azienda; i consumatori diventano diffidenti nel fornire i propri dati a organizzazioni che ritengono insicure.
I criminali informatici hanno imparato che non sono solo le aziende a diventare obiettivi redditizi per gli attacchi ransomware, con importanti infrastrutture come ospedali e persino strutture industriali che vengono interrotte dal ransomware: interrompere queste reti può avere grandi conseguenze per le persone nel mondo fisico.
In definitiva, gli aggressori sono alla ricerca di un modo semplice per fare soldi e un ospedale che trova la propria rete crittografata con ransomware non può permettersi di compromettere l'assistenza ai pazienti mantenendo la rete offline per settimane per ripristinarla manualmente. Ecco perché, sfortunatamente, molte vittime di ransomware nel settore sanitario pagheranno il riscatto, in particolare quando sono già sopraffatte dall'impatto della pandemia COVID-19.
Anche il settore dell'istruzione è diventato un obiettivo molto comune per le campagne di ransomware. Scuole e università sono diventate dipendenti dall'apprendimento remoto a causa della pandemia di coronavirus e i criminali informatici lo hanno notato. Le reti sono utilizzate potenzialmente da migliaia di persone, molte delle quali utilizzano i propri dispositivi personali e tutto ciò che potrebbe richiedere a un hacker malintenzionato per ottenere l'accesso alla rete è un'e-mail di phishing di successo o il cracking della password di un account.
Perché le PM aziende sono un target per gli attacchi ransomware?
Le piccole e medie imprese sono un obiettivo popolare perché tendono ad avere una sicurezza informatica più scarsa rispetto alle grandi organizzazioni. Nonostante ciò, molte PMI credono erroneamente di essere troppo piccole per essere prese di mira, ma anche un riscatto "più piccolo" di poche centinaia di dollari è ancora altamente redditizio per i criminali informatici.
Perché i ransomware hanno così succeso?
Si potrebbe dire che c'è una ragione fondamentale per cui il ransomware è esploso: perché funziona. Tutto ciò che serve al ransomware per ottenere l'accesso alla tua rete è che un utente sbagli e lanci un allegato e-mail dannoso o riutilizzi una password debole.
Se le organizzazioni non cedessero alle richieste di riscatto, i criminali smetterebbero di usare il ransomware. Ma le aziende hanno bisogno dell'accesso ai dati per funzionare, così tante sono disposte a pagare un riscatto e farla finita.
Nel frattempo, per i criminali è un modo molto semplice per fare soldi. Perché dedicare tempo e sforzi allo sviluppo di codici complessi o alla generazione di carte di credito false da dettagli bancari rubati se il ransomware può comportare pagamenti istantanei di centinaia o addirittura migliaia di dollari da grandi quantità di vittime infette contemporaneamente?
C'è chi sostiene che l'assicurazione informatica stia rendendo il ransomware sempre più un problema. L'assicurazione informatica è una polizza progettata per aiutare a proteggere le organizzazioni dalle ricadute degli attacchi informatici.
Tuttavia, alcune polizze assicurative informatiche copriranno il pagamento del riscatto stesso, portando alcuni esperti di sicurezza informatica ad avvertire che i pagamenti dell'assicurazione informatica che coprono il costo del pagamento del riscatto si aggiungono al problema, perché i criminali informatici sanno che se colpiscono l'obiettivo giusto, verrò pagato.
Cosa hanno a che fare bitcoin e altre cripto-valute con l'ascesa del ransomware?
L'ascesa delle cripto-valute come il bitcoin ha reso facile per i criminali informatici ricevere segretamente pagamenti estorti con questo tipo di malware, senza il rischio che le autorità siano in grado di identificare gli autori.
Il metodo sicuro e non rintracciabile per effettuare pagamenti - alle vittime viene chiesto di effettuare un pagamento a un indirizzo bitcoin - lo rende la valuta perfetta per i criminali che vogliono che le loro attività finanziarie rimangano nascoste.
Le bande criminali informatiche stanno diventando costantemente più professionali: molte offrono persino assistenza ai clienti per le vittime che non sanno come acquisire o inviare bitcoin, perché a che serve fare richieste di riscatto se gli utenti non sanno come pagare? Alcune organizzazioni hanno persino accumulato parte della cripto-valuta nel caso in cui vengano infettati o i loro file siano crittografati e debbano pagare in bitcoin in fretta.
Come si possono prevenire gli attacchi ransomware?
Alza la guardia durante i fine settimana e le vacanze. La maggior parte degli attacchi ransomware si verifica nei fine settimana e nei giorni festivi, quando le persone hanno meno probabilità di essere alla loro attenzione.
Mantieni aggiornate le tue patch. Quando il famigerato attacco WannaCry ha colpito nel maggio 2017, una patch era già disponibile per il difetto EternalBlue sfruttato. Molte organizzazioni non sono riuscite a installarlo, provocando un attacco ransomware che ha colpito più di 200.000 computer in pochi giorni. Assicurati di mantenere i tuoi computer e sistemi aggiornati con le ultime patch, soprattutto quelle considerate critiche.
Educa gli utenti. Formare gli utenti su come identificare ed evitare possibili attacchi ransomware.
Molti di questi attacchi iniziano con un'e-mail di phishing che induce il destinatario a fare clic su un collegamento dannoso. Istruire i dipendenti su questi tipi di e-mail può fermare un attacco prima che sia troppo tardi.
Blocca il ransomware prima che inizi. Gli attacchi ransomware non iniziano con il ransomware, molti iniziano con infezioni da malware. Scansiona la tua rete alla ricerca di malware come Trickbot, Emotet e Dridex in quanto possono aprire la strada al ransomware. Utilizza delle soluzioni avanzate e innovative in grado di prevenire questo generi di attacchi come la Deception di Deceptive Bytes
Quanto tempo ci vuole per riprendersi da un attacco ransomware ?
In poche parole, il ransomware può paralizzare un'intera organizzazione: una rete crittografata è più o meno inutile e non si può fare molto finché i sistemi non vengono ripristinati.
Se la tua organizzazione è ragionevole e dispone di backup, i sistemi possono tornare online nel tempo necessario per ripristinare la funzionalità della rete, sebbene a seconda delle dimensioni dell'azienda, ciò potrebbe variare da poche ore a giorni.
Al di fuori dell'impatto immediato che il ransomware può avere su una rete, può provocare continui problemi finanziari. Ogni volta che è offline è dannoso per un'azienda in quanto significa che in definitiva l'organizzazione non può fornire il servizio per cui si propone e non può fare soldi, ma più a lungo il sistema è offline, più grande può essere.
Se i tuoi clienti vogliono fare affari con te: in alcuni settori, il fatto che tu sia caduto vittima di un attacco informatico potrebbe potenzialmente allontanare i clienti.
Devo pagare un riscatto da ransomware?
C'è chi dice che le vittime dovrebbero semplicemente pagare il riscatto, citando che è il modo più rapido e semplice per recuperare i propri dati crittografati - e molte organizzazioni pagano anche se le forze dell'ordine mettono in guardia contro di esso.
Ma attenzione: se viene fuori la voce che la tua organizzazione è un facile bersaglio per i criminali informatici perché ha pagato un riscatto, potresti trovarti nel mirino di altri criminali informatici che stanno cercando di trarre vantaggio dalla tua debole sicurezza. E ricorda che hai a che fare con i criminali qui e la loro stessa natura significa che potrebbero non mantenere la parola data: non c'è garanzia che tu possa mai ottenere la chiave di decrittazione, anche se ce l'hanno. La decrittazione non è nemmeno sempre possibile: ci sono storie di vittime che effettuano pagamenti di riscatto e non hanno ancora i file crittografati sbloccati.
Ad esempio, un tipo di ransomware rivolto a Linux scoperto all'inizio di quest'anno richiedeva un pagamento bitcoin ma non memorizzava le chiavi di crittografia localmente o tramite un server di comando e controllo, rendendo il pagamento del riscatto inutile nella migliore delle ipotesi.
Si può cadere vittima di ransomware tramite smartphone?
Assolutamente. Gli attacchi ransomware contro i dispositivi Android sono aumentati enormemente, poiché i criminali informatici si rendono conto che molte persone non sono consapevoli che gli smartphone possono essere attaccati e i contenuti (spesso più personali di quelli che conserviamo sui PC) crittografati per il riscatto da codice dannoso. Pertanto, sono emerse varie forme di ransomware Android che affliggono gli utenti mobili.
In effetti, qualsiasi dispositivo connesso a Internet è un potenziale bersaglio per il ransomware, che è già stato visto bloccare le smart TV.
I ransomware e gli IoT
I dispositivi Internet of Things hanno già una scarsa reputazione in termini di sicurezza. Man mano che sempre più di questi si fanno strada sul mercato, forniranno miliardi di nuovi vettori di attacco per i criminali informatici, consentendo potenzialmente agli hacker di tenere in ostaggio la tua casa connessa o la tua auto connessa. Un file crittografato è una cosa, ma che ne dici di trovare una richiesta di riscatto visualizzata sul tuo frigorifero o tostapane intelligente?
C'è anche la possibilità che gli hacker possano infettare dispositivi medici, mettendo direttamente a rischio vite umane.
Nel marzo 2018, i ricercatori di IOActive hanno fatto un ulteriore passo avanti dimostrando come un robot disponibile in commercio potrebbe essere soggetto a un attacco ransomware. Oltre a fare in modo che il robot chiedesse verbalmente il pagamento per tornare alla normalità, i ricercatori gli hanno anche fatto minacce e imprecazioni.
L'NCSC del Regno Unito ha anche avvertito che la crescita delle smart city potrebbe anche essere un bersaglio allettante per gli aggressori informatici e non è difficile immaginare che mantenere i servizi a livello cittadino per un attacco ransomware potrebbe essere molto redditizio per i criminali.
Poiché il ransomware continua ad evolversi, è quindi fondamentale che i tuoi dipendenti comprendano la minaccia che rappresenta e che le organizzazioni facciano tutto il possibile per evitare l'infezione, perché il ransomware può essere paralizzante e la decrittografia non è sempre un'opzione.
Nuove tattiche di estorsione per gli attacchi ransomware: l’estorsione si allarga!
Ora, alcuni aggressori sono passati a una tripla tattica di estorsione con l'intento di spremere ancora più denaro dalle loro attività criminali
Ma una tattica che è iniziata verso la fine del 2020 e che è continuata nel 2021, è questa nuova della tripla estorsione. In questo scenario, i criminali inviano richieste di riscatto non solo all'organizzazione attaccata ma a tutti i clienti, utenti o altre terze parti che potrebbero rimanere danneggiate dai dati trapelati.
In un incidente dello scorso ottobre, la clinica di psicoterapia finlandese Vastaamo, con 40.000 pazienti, è stata colpita da una violazione che ha portato al furto dei dati dei pazienti e a un attacco ransomware. Come previsto, gli aggressori hanno chiesto alla clinica una sana somma di riscatto. Hanno anche inviato un'e-mail direttamente ai pazienti, chiedendo piccole somme di denaro, altrimenti avrebbero trapelato gli appunti della sessione del terapeuta. A causa della violazione e del danno finanziario, Vastaamo è stata costretta a dichiarare fallimento e alla fine ha chiuso la sua attività.
In un altro esempio dello scorso febbraio, il gruppo di ransomware REvil ha annunciato che stava aggiungendo più tattiche al suo doppio stratagemma di estorsione, ovvero attacchi DDoS e telefonate ai partner commerciali della vittima e ai media. Gli attacchi DDoS e le chiamate VoIP con codifica vocale, offerti gratuitamente agli affiliati come parte del business del ransomware-as-a-service del gruppo, sono progettati per esercitare una maggiore pressione sulla società affinché paghi il riscatto.
Le vittime dei cd “third parties”, come clienti aziendali, colleghi esterni e fornitori di servizi, sono fortemente influenzate e danneggiate dalle violazioni dei dati causate da questi attacchi ransomware, anche se le loro risorse di rete non sono prese di mira direttamente. Indipendentemente dal fatto che venga richiesto loro un ulteriore riscatto o meno, sono impotenti di fronte a una tale minaccia e hanno molto da perdere se l'incidente prende una svolta sbagliata. Tali vittime sono un bersaglio naturale per l'estorsione e potrebbero essere sui gruppi di ransomware 'radar d'ora in poi.
Tali vittime sono un bersaglio naturale per l'estorsione e potrebbero quindi entrare nel radar dei gruppi di ransomware.
Kommentare