Proteggersi è importante

Quanto sono pericolose le ultime minacce Ransomware?

11 minuti di lettura

Il Ransomware è una delle più comuni minacce informatiche che colpiscono le aziende. Nonostante tutti siano consapevoli del danno che i ransomware possono causare, i cyber-criminali dietro ogni attacco tentano di scoprire i punti deboli delle reti che vanno ad attaccare. Gli attacchi contro i database, servizi web e smartphone sono in crescita.

Quali risposte troverai in questo articolo? 
  • Quanto costano i ransomware alla tua azienda

  • Come si sono evolute le tecniche ransomware nel tempo

  • I danni più comuni causati dagli attacchi ransomware

  • Cosa può fare l’amministratore IT per prevenirli

Anche se hai già incrementato la protezione dei tuoi dati, la tua azienda potrebbe aver bisogno di implementare altre misure di sicurezza per affrontare nuove varianti di ransomware che tentano di raggiungerti ogni giorno. Una PMI su cinque è stata vittima di un attacco ransomware nel 2019 e anche durante la pandemia da COVID-19 si sono verificati nuovi tipi di attacchi. Secondo il rapporto Cybersecurity Ventures sui costi globali dei danni causati dal ransomware, nel 2020 gli attacchi ransomware hanno preso di mira una azienda ogni 11 secondi. 

 

Anche se gestisci la protezione dei tuoi dispositivi contro gli attacchi, potresti ancora perdere la battaglia, subendo attacchi attraverso vulnerabilità prive di patch che possono essere sfruttate dal malware. Un Remote Desktop Protocol (RDP) scarsamente protetto, troppi servizi online aperti contemporaneamente, sistemi operativi privi di patch o versioni obsolete di soluzioni di sicurezza: tutti questi sono fattori di rischio che devono essere affrontati il ​​prima possibile.

 

Le aziende spesso usano sistemi di sicurezza obsoleti che potrebbero aver perso degli strati di protezione necessari a respingere gli attacchi ransomware.

Per essere sicuri di aver fatto tutto il possibile, devi scegliere soluzioni potenti e che proteggano a più strati. Inoltre, soluzioni di sicurezza IT efficienti necessitano di investimenti. Se il consiglio di amministrazione della tua azienda non è ancora convinto ad alzare il budget dedicato alla sicurezza, di seguito troverai alcune motivazioni da tenere seriamente in considerazione. Sentiti libero di condividerle con i tuoi superiori.

Il costo del ransomware sta crescendo

Tra le notizie, leggiamo di attacchi ransomware quasi quotidianamente. Questi attacchi mancano spesso di etica e compassione. E’ particolarmente evidente nei casi di ospedali paralizzati da attacchi ransomware durati settimane proprio durante la pandemia di coronavirus. 

 

Negli ultimi anni i costi derivanti da attacchi ransomware sono incrementati drammaticamente. Nel 2017, il ransomware WannaCry è stato in grado di infettare più di 200.000 macchine nel mondo. Un’altra grande epidemia è stata condotta solo poche settimane dopo dal gruppo TeleBots, che ha scatenato il loro datawiper, simile ad un ransomware, chiamato NotPetya. Questo attacco è iniziato in Ucraina e ha colpito le maggiori banche, società di servizi e telecomunicazioni, ma si è anche riversato nelle reti di aziende globali distruggendo, irrimediabilmente, i dati.

 

La forma più diffusa di ransomware – cryptoransomware – cifra i file utente archiviati su disco e le condivisioni di rete. Vale la pena notare che nessuna azienda è troppo piccola per questo tipo di attacco informatico. Un sondaggio condotto da Infrascale su oltre 500 manager delle PMI, ha rilevato che il 46% degli intervistati era già stato colpito da attacchi ransomware. Tra questi, il 73% ha ammesso di aver pagato il riscatto per recuperare i propri dati.

 

Semplificando, i ransomware causano enormi danni alle economie e alle aziende. Un altro esempio – il caso dell’amministrazione di Baltimora, che è stata colpita da un ransomware – si è conclusa con il pagamento di $ 10 milioni per il recupero dei dati e altri $ 8 milioni in entrate perse.

 

Comuni, università, aeroporti e ospedali sono spesso colpiti perché sono un obiettivo facile e spesso con sistemi vulnerabili e mal configurati. Le richieste di pagamento, in questi casi, sono spesso nell’ordine di centinaia di migliaia, se non addirittura milioni, di sterline.

 

Inoltre, c’è una zona grigia di aziende che non riportano gli attacchi, tentando di evitare sanzioni da parte delle autorità o di non danneggiare la loro reputazione; oltre a ciò, spesso sono reticenti ad ammettere di aver avuto una falla nei loro sistemi di sicurezza. Sfortunatamente per alcune aziende, coloro che organizzano gli attacchi ransomware spesso pubblicano i nomi delle loro vittime e persino fanno trapelare i dati nel dark web. Questo forza molte aziende a riconoscere l’incidente e a negoziare con gli hacker. Con i ransomware, così come con gli altri malware, la prevenzione è la miglior difesa – ed è anche uno dei requisiti richiesti dalle autorità. 

Gli attacchi stanno diventando sempre più aggressivi

Come sono cambiati i metodi di attacco negli ultimi anni? Beh, i cybercriminali evolvono sempre più le loro tecniche di attacco, implementando alcune innovazioni.

 

Prima che i ransomware iniziassero a colpire le organizzazioni, gli hacker erano soliti utilizzare email di spam, colpendo caselle di posta delle aziende in modo massivo. Se le vittime fossero state compromesse, veniva chiesto loro di pagare poche centinaia di dollari per vedere i dati decriptati – cosa che a volte non accadeva. 

 

Tuttavia, un tale "modello di business" non ha portato molto profitto e gli aggressori hanno dovuto modificare la loro strategia. Oggi, questi gruppi altamente organizzati si rivolgono principalmente a servizi configurati in modo errato e trovano le loro vittime tramite gli accessi da remoto. I criminali inoltre hanno iniziato a muoversi attraverso negoziazioni individuali, per cui ad ogni azienda è chiesto di pagare un prezzo differente. Per migliorare l’efficacia della loro distribuzione, questi gruppi iniziano ad usare le botnet per distribuire i loro attacchi. 

 

Anche le richieste inviate dai cybercriminali sono cambiate. Precedentemente, erano messaggi corti con qualche informazione generale, ad esempio istruzioni per pagare £300 in un portafoglio bitcoin. Adesso gli hacker inviano le loro richieste attraverso file nel tuo computer, che ti conducono a cliccare direttamente nelle loro landing page o ad utilizzare i loro indirizzi email per negoziare il prezzo da pagare per riavere i tuoi dati decifrati. Per mantenere comunque il loro anonimato, vengono utilizzate solitamente landing page presenti nel dark web. 

 

Un altro grande trend è apparso nel  Novembre 2019, quando la banda di ransomware Maze ha iniziato a “doxare” le proprie vittime invece di crittografarne solo i loro dati. Il Doxing è una tecnica in cui i criminali rubano informazioni sensibili e minacciano di pubblicarli. Ciò fornisce agli aggressori una leva finanziaria, poiché le possibili multe che vengono inflitte ai sensi della legislazione sulla protezione dei dati, come il GDPR, possono essere ingenti, per non parlare del danno reputazionale o della possibile perdita di know-how.

 

Non sorprende che, dal momento che questa tecnica si è dimostrata così efficace, molte altre bande di ransomware abbiano seguito l'esempio e la stiano utilizzando oggi. 

I Ransomware Trends che hanno caratterizzato il panorama della sicurezza informatica nel 2020 
Non sorprende che le porte aperte, in particolare il Remote Desktop Protocol (RDP), siano state un vettore chiave per gli attacchi ransomware. Gli hacker hanno eseguito attivamente attacchi di brute-force su RDP, ma hanno anche utilizzato altre vulnerabilità presenti in diverse soluzioni – Pulse Secure o Citrix VPN – per violare le reti aziendali.
Gli attacchi Ransomware sono diventati i più diffusi. Oltre a crittografare e rubare i tuoi dati, gli aggressori ora potrebbero anche lanciare un attacco DDoS contro il tuo sito Web, aumentando la pressione per pagare.
Le bande di ransomware non permetteranno alle organizzazioni di nascondere la violazione per salvare la propria reputazione. Al contrario – per rendere pubblica la vergogna, i nomi delle vittime compaiono su siti di dark web e, se le aziende colpite si rifiutano di collaborare, anche i dati rubati verranno diffusi. 
Per aumentare la pressione, alcuni gruppi ransomware minacciano tramite le stampanti aziendali le loro vittime. Ciò significa che gli aggressori prendono il controllo di tutte le stampanti disponibili nella rete dell'azienda in modo da stampare più volte la richiesta di riscatto
Dall'agosto 2020, le bande di ransomware hanno subito a loro volta “chiamate a freddo”, effettuate tramite call center dedicati che, attraverso questa azione, cercano di evitare il pagamento dei riscatti richiesti. Alcune società di sicurezza informatica però ritengono che le bande di ransomware probabilmente ora stiano utilizzando lo stesso gruppo di call center per attività di outsourcing.

Le perdite causate dai ransomware potrebbero distruggere la tua azienda

Il costo di un ransomware non si conclude con il pagamento. Costi aggiuntivi emergono, ad esempio, dalla perdita di produttività o dai tempi di inattività per l’azienda. I disastrosi risultati e le perdite finanziarie possono essere debilitanti per l‘azienda.

 

Una volta che il ransomware colpisce, può essere molto difficoltoso ricostruire il giusto livello di sicurezza del sistema IT e ricostruire anche il giusto livello di reputazione dell’azienda. Dovresti dover spender centinaia di milioni di sterline e centina di ore di lavoro per rimediare e non è detto che riuscirai a recuperare totalmente le perdite subite. Tutti i tuoi progetti sono sospesi finché non sarai in grado di proteggere i tuoi sistemi e accedere ai file di cui hai bisogno. 

 

Un nuovo trend sta facendo diventare gli incidenti ransomware sempre più pericolosi: è la combinazione dei dati criptati con l'esfiltrazione dei dati.

Gli aggressori non solo cifrano i dati e, quindi, negano l'accesso, ad esempio, a prototipi o brevetti o ricerche su cui sta lavorando l’azienda, ma possono anche esfiltrare e vendere tali informazioni sui mercati del dark web. Inoltre, oltre alla compromissione dei dati, la tua organizzazione potrebbe essere multata per non aver protetto i dati sensibili dei propri dipendenti e clienti. 

 

Per quanto riguarda la portata di questo "business", in un'intervista per un blog tecnologico russo OSINT, gli sviluppatori di ransomware Sodinokibi hanno affermato di aver guadagnato oltre $ 100 milioni in un anno. Gli operatori del ransomware Ryuk hanno guadagnato ancora di più. Si stima che le aziende di tutto il mondo che vengono colpite e, seguendo le istruzioni, pagano il riscatto, hanno permesso alla banda di Ryuk di ricevere circa $ 150 milioni in bitcoin. 



Cosa puoi fare da amministratore IT per prevenire i ransomware? 
Non aspettare che venga visualizzata una richiesta di riscatto sullo schermo. Invece, proteggi il tuo RDP utilizzando password complesse e un sistema di autenticazione a più fattori.

Esegui regolarmente il backup dei dati e dei sistemi operativi e mantieni offline almeno un backup completo dei dati più preziosi. 

Mantieni aggiornati tutti i software e le app, inclusi i sistemi operativi. Utilizza una soluzione di sicurezza affidabile e multilivello, applicando le patch indicate e che sia configurata correttamente per garantire la migliore protezione contro il ransomware. 
Per ridurre il numero di probabilità di attacco, avvicinandosi il più possibile allo zero, aggiungi un altro livello difensivo: una soluzione di sandboxing basata su cloud. La tecnologia sandbox esamina i file sospetti in un ambiente controllato, al di fuori della tua rete. 
Ultimo ma non meno importante, educa i tuoi dipendenti a conoscere e comprendere le minacce informatiche che potrebbero incontrare.