Cosa sono i ransomware e come difendere i nostri dati

Cosa sono i ransomware e come difendere i nostri dati

8 Novembre 2021| News

Cosa sono i ransomware? Si tratta di minacce informatiche che infettano il sistema e richiedono il pagamento di un riscatto per il ripristino dello stesso.

Tutti i file presenti all'interno dell'infrastruttura di rete vengono crittografati così da essere illeggibili per il vero proprietario. I file vengono sbloccati solo previo pagamento.

Secondo il rapporto Clusit del 2021, i ransomware nel 2018 rappresentavano il 23% dei malware. Una cifra cresciuta al 46% nel 2019, arrivando al 67% nel 2020. Si stima, dunque, che due attacchi informatici su tre siano di questa natura.

Le minacce sono cresciute notevolmente nel 2021, con campagne di supply chain profondamente radicate, che mirano al controllo dei sistemi informatici e causano effetti di lunga durata. Gli hacker, criminali sempre più scaltri, continuano ad attaccare prevalentemente amministrazioni locali, scuole e aziende private. Nel dettaglio:

• Gli attacchi alle imprese hanno costituito il 57% delle minacce ransomware tra agosto 2020 e luglio 2021, in aumento del 18% rispetto al periodo precedente.
• Il trend di crescita riguarda principalmente attacchi mirati per colpire la supply chain, per raggiungere più vittime con un solo attacco.
• Le cifre per i vari riscatti sono in crescita. Basti pensare che, ad oggi, si stima una richiesta media di circa 10 milioni di dollari.
• Nonostante gli attacchi si siano diversificati geograficamente, il 44% delle vittime ha sede negli Stati Uniti.
• Il ransomware si è trasformato in un attacco a doppia estorsione, dove i cybercriminali non si limitano a chiedere un rimborso per la chiave di decrittazione ma estraggono le informazioni sensibili dell'azienda e minacciano di rilasciarle sul dark web se le richieste di riscatto non vengono esaudite.

Durante la pandemia da Covid-19, i criminali informatici hanno massimizzato le proprie attività, sfruttando le vulnerabilità dovute all'incremento del remote working e all'utilizzo di dispositivi personali da parte di dipendenti in smart working. Una situazione senza precedenti, che ha portato gli attacchi di social engineering verso una moltitudine di lavoratori ignari.

Come si "prende" un ransomware?

I pattern di attacco si stanno evolvendo alla velocità della luce. Dalle email di phishing, che invitano a cliccare su un link, si passa a vettori più complessi.

1. le mail di phishing rappresentano oltre il 75% delle tecniche di attacco, ben nascosti sotto forma di messaggi familiari o di email da parte di colleghi di lavoro (tecnica nota come spoofing)
2. usando un supporto rimovibile come una chiavetta USB contenente un software malevolo, questa tecnica fa leva sul fattore umano, sulla curiosità
3. attraverso la navigazione su siti compromessi. In questo caso i criminali sfruttano la visita delle potenziali vittime e, sotto forma di call to action o banner pubblicitari, indirizzano i malcapitati su siti malevoli dove avverrà il download del file infetto
4. attraverso remote desktop. In questo caso si tratta di vulnerabilità con furto di credenziali per accedere al server attraverso RDP e prenderne il controllo. Una volta ottenuto l'accesso, infatti, i criminali saranno in grado di rubare credenziali, dati e tanto altro
5. sfruttando programmi scaricati. Ad esempio, mediante l'utilizzo di programmi gratuiti che ci consentono di crackare software molto costosi (programmi Adobe, videogames…), il file che andremo a scaricare sarà un .exe con all'interno una brutta sorpresa
6. mediante lo sfruttamento di vulnerabilità presenti sul sistema o sui diversi software utilizzati.

Come difendere i dati da un attacco ransomware?

La prima cosa da fare per difendersi da un attacco di rete è una presa di coscienza, di consapevolezza: nessuna azienda, nessun settore, può ritenersi immune da queste minacce.

In uno scenario che vede attacchi in continua mutazione, sempre più evoluti, con aziende "costrette" ad adattarsi al contesto generale supportando i dipendenti in modalità remota, è necessario affrontare ogni task garantendo sicurezza come servizio distribuito, con controlli costanti sulla rete e i singoli endpoint, prioritizzando le diverse situazioni e imparando a gestire il rischio con maggior fiducia.

È importante farsi trovare pronti, scegliendo partner affidabili specializzati nell'Incident Response, per sviluppare piani di risposta e prevenzione. Nel dettaglio:

1. evitando situazioni che possano portare alla perdita delle credenziali, implementando funzionalità anti phishing per la posta elettronica e per tutti gli strumenti di collaborazione
2. proteggendo gli accessi e le applicazioni d'uso
3. mantenendo attivo un backup dei dati, rimanendo aggiornati con le migliori soluzioni di protezione per identificare preventivamente gli asset critici e implementare le capacità interne di disaster recovery
4. adottando servizi con tecnologie di AI e Autonomous Response per combattere il ransomware, intraprendendo azioni mirate a prevenire e contenere le minacce, senza interrompere le attività.

Continuare a lavorare senza rischi non è più un optional, ne va della prosecuzione stessa del business.

Per scoprire come difenderti dagli attacchi, partecipa al nostro evento, qui tutti i dettagli