Il ransomware è una delle maggiori minacce per le aziende di oggi e, con i nuovi attacchi che si susseguono ogni giorno, il rischio può sembrare schiacciante. Ma cos'è effettivamente il ransomware e come possono proteggersi le aziende? In questo articolo daremo uno sguardo approfondito al ransomware, spiegando in modo semplice che cos'è e come funziona.
Leggi altri articoli sui ransomware:
- Ransomware: come fornire un prezioso livello di protezione alle e-mail
- Ransomware: come proteggere la tua azienda dagli attacchi
- Ransomware: la necessità di proteggere l'anello più debole
- Ransomware: il gioco del gatto e del topo
Che cos'è un ransomware?
Il ransomware è un tipo di attacco informatico che cerca di criptare, vietare o limitare fortemente l'accesso ai dati, al dispositivo o all'intero sistema della vittima fino a quando non viene soddisfatta una richiesta di riscatto e i dati dell'utente non vengono ripristinati. I danni causati possono essere gravi e diffusi. Nel 2017 il più grande attacco ransomware mai avvenuto, WannaCry, ha colpito più di 230.000 computer in 150 Paesi diversi.
Oggi il ransomware è molto diffuso e il problema è stato esacerbato dall'attuale tendenza al lavoro ibrido. Tra gennaio 2020 e giugno 2021, si prevede un'incredibile cifra di 71 miliardi di attacchi ransomware in tutto il mondo. Sebbene nessuno sia al sicuro, le PMI sono diventate sempre più un obiettivo interessante per gli attacchi. Questo perché, pur detenendo molti dati finanziari e dei clienti di valore, spesso non dispongono delle solide misure di sicurezza impiegate dalle grandi aziende. Ad aggravare la situazione c'è anche il fatto che, non vedendosi come potenziali bersagli, sono meno propense a eseguire il backup dei propri dati.
Sebbene si siano viste diverse varianti di ransomware dalla sua comparsa nel 1989, in generale si possono suddividere in quattro tipi principali:
- Screen locker ransomware, che blocca l'accesso al dispositivo attraverso un blocco dello schermo.
- PIN locker ransomware, che modifica il codice PIN del dispositivo, rendendone inaccessibile il contenuto e le funzionalità.
- Disk coding ransomware, che cripta l'MBR (Master Boot Record) e/o le strutture critiche del file system, impedendo l'accesso al sistema operativo.
- Crypto-ransomware, che cripta i file sul disco
Come funziona tecnicamente?
Poiché i dipendenti sono passati a lavorare da casa e ad accedere ai sistemi e ai servizi aziendali interni tramite Remote Desktop Protocol (RDP) e la tendenza dei dipendenti a portare i propri dispositivi al lavoro (BYOD) è in aumento, i criminali informatici hanno sfruttato questo vettore per diffondere ransomware e altre minacce dannose. Tuttavia, questo non è l'unico vettore utilizzato. Anche le campagne di malspam e di phishing, che trasmettono documenti equivoci, macro dannose, collegamenti ipertestuali dannosi e file binari di botnet, sono molto diffuse.
Ci sono poi criminali informatici che eseguono schemi di ransomware as a service (RaaS) per ottenere l'accesso a un computer tramite vulnerabilità note e poi spostarsi lateralmente attraverso la rete, prima di decidere dove criptare. Altri conducono attacchi alla catena di fornitura per accedere a interi ecosistemi IT. Impadronendosi delle piattaforme dei provider di servizi gestiti (MSP) e degli strumenti di produttività più diffusi, gli attori delle minacce possono scatenare il ransomware su più reti in scala.
Come funziona psicologicamente?
Il ransomware agisce mettendo sotto pressione i suoi obiettivi. Può trattarsi di danni alla reputazione, interruzioni dell'attività o persino sanzioni legali e finanziarie. La sua efficacia ha portato centinaia di milioni di dollari a finire sui conti dei criminali informatici. I recenti riscatti, come i 70 milioni di dollari richiesti da Sodinokibi nell'attacco a Kaseya o i 40 milioni di dollari pagati da CNA, dimostrano la portata del problema nel 2021.
Purtroppo, questo ha portato a un circolo vizioso. L'afflusso di ingenti somme nelle casse delle bande di ransomware consente loro di sviluppare ulteriormente il modello di business RaaS e di coinvolgere numerosi nuovi affiliati.
Non diventare un numero
Il ransomware trasforma uno sfortunato incidente malware in una guerra psicologica che mira a costringere le vittime ad agire contro la loro volontà e i loro interessi. Per rendersi conto di essere diventati una vittima in genere non ci vuole molto. Il ransomware di solito informa l'utente della sua presenza subito dopo aver colpito i suoi dispositivi, visualizzando una nota di riscatto sullo schermo, aggiungendo un file di testo alle cartelle interessate o cambiando l'estensione dei file crittografati. Gli operatori raramente rimangono nell'ombra a lungo.
Assicuratevi di non diventare una statistica. Come per molte altre cose nella vita, prevenire è meglio che curare. Per ridurre al minimo il rischio di ransomware, assicuratevi di non prendere scorciatoie e di implementare una soluzione di sicurezza completa.