Il rapporto Clusit, l’Associazione Italiana per la Sicurezza Informatica, relativo allo scorso ottobre ha messo in luce un fenomeno preoccupante, ossia l’incremento dell’attività dei ransomware con richiesta di riscatto. “È stata osservata una crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa tipologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operatività quotidiana”.
- Cos’è un ransomware
La parola ransomware indica una specifica categoria di malware che rende inaccessibili i dati dei computer attaccati e chiede un riscatto (in inglese ransom) per ripristinarli. Lo scopo finale, dunque, è l’estorsione di denaro attraverso la crittografia di file per renderli inutilizzabili.
I passaggi tipici di un attacco ransomware prevedono una prima compromissione del sistema o server di controllo per installare il malware che, poi, prenderà il controllo della macchina crittografando i dati con il ransomware. A quel punto sullo schermo comparirà un messaggio con la nota di riscatto, richiesto sotto forma di criptovaluta con una vera e propria guida al pagamento.
Il pagamento del riscatto non garantisce la restituzione della chiave di decrittografia, con conseguenti perdite finanziarie e di dati. È quindi sempre preferibile affidarsi alla ricostruzione del sistema e al backup dei dati per ripristinare le proprie operazioni IT. Inoltre, le ricerche recenti dimostrano che le organizzazioni che hanno pagato vengono attaccate di nuovo, o ricontattate dopo alcuni mesi con la richiesta di un altro pagamento per mantenere segreti i dati rubati.
Quali sono i vettori di infezione?
Le e-mail di pishing sono la modalità più diffusa; circa il 75 % dei ransomware viene veicolato attraverso e-mail che invitano a cliccare su qualche link, spesso mascherate in modo che risultino inviate da un cliente.
Altri vettori possono essere banner pubblicitari che linkano a siti malevoli, diversi da quelli originali dove avverrà il download del malware (drive by download).
Qualunque sia il vettore di infezione, resta il fatto che gli attacchi ransom sono considerati oggi dai governi come veri e propri attacchi di terrorismo, considerando i gravi danni che hanno causato ai sistemi operativi di amministrazioni locali, forze dell’ordine, istituzioni scolastiche e altro ancora.
Qualunque azienda può essere bersaglio di un attacco ransomware. Non esiste un modo per evitarli o aggirarli, l’unica protezione è la prevenzione.
- 3 passaggi per proteggere i dati aziendali
Proteggere le credenziali
Gli attacchi ransomware spesso iniziano con un’email di pishing per acquisire le credenziali dell’amministratore o dell’utente.
È essenziale, dunque, implementare un meccanismo di sicurezza delle email che includa l’intelligenza artificiale e avvisi quando vengano rilevate attività dannose. Ciò include anche la formazione degli operatori che va continuamente aggiornata perché questo tipo di attacchi diventano sempre più sofisticati. Infine, bisogna scegliere una soluzione di sicurezza delle e-mail che consenta il rilevamento proattivo delle minacce e automatizzi la riparazione.
- Mettere in sicurezza le applicazioni web
Le applicazioni web, sempre più utilizzate con il passaggio al lavoro a distanza, spesso presentano delle vulnerabilità che possono essere sfruttate per avere accesso ai dati. Bisogna, dunque, proteggere le applicazioni web con soluzioni di sicurezza specifiche sia per quanto riguarda la vulnerabilità che l’accesso agli utenti, per esempio utilizzando l’autenticazione a più fattori e la verifica continua dell’identità di utenti e dispositivi. Infine, è necessario impedire i movimenti laterali sulla rete, utilizzando un firewall con segmentazione della rete e servizi di sicurezza avanzati.
- Eseguire il back up dei dati
Il back-up automatizzato e continuo dei dati è fondamentale. Gli hacker crittografano i dati e chiedono un riscatto. Una risposta semplice ed efficace per rimettere in moto l’intera organizzazione è proprio poter contare su un back-up in locale oppure on cloud.
Una soluzione di back-up completa ed efficiente deve garantire un archivio non modificabile dal criminale che riesca ad accedervi, un’autenticazione a più fattori per l’accesso, la conservazione di una copia su un cloud ospitato su una rete isolata e la replica on-premise e in cloud su un’altra posizione.
- Cosa fare se si è sotto attacco ransomware
Il consiglio è sempre e comunque di non cedere mai al ricatto anche qualora si disponesse delle risorse per pagarlo.
Infatti, come abbiamo già sottolineato, non vi è alcuna garanzia che gli hacker ripristineranno i dati una volta ottenuto il riscatto.
Pertanto, bisogna essere preparati all’eventualità di essere attaccati e predisporre un piano strategico e di difesa aggiornato regolarmente.
Per una maggiore sicurezza dei dati e dei sistemi informatici della tua azienda, puoi fare affidamento sulle soluzioni offerte dal nostro team.
Contattaci per una consulenza digitale e tecnologica. Studieremo per te un piano per proteggere la tua rete e impedire ai virus come i ransomware di compromettere e divulgare i tuoi dati.
