ransomware monti
Immagine di Chiara Passarelli
Chiara Passarelli

Cos’è e come puoi proteggerti da un attacco ransomware?

Il ransomware è una delle minacce informatiche più temute e diffuse degli ultimi tempi. Scopriamo insieme le sue caratteristiche e le misure di prevenzione utili a mettere in sicurezza i tuoi asset e evitare danni aziendali.
Indice dei contenuti

Il rapporto Clusit 2023 sulla sicurezza ICT in Italia ha rivelato che il numero di Cyber Attacchi nel nostro paese sta aumentando. Nel 2022 è stato evidenziato un aumento del 168,6% rispetto all’anno precedente. Per questo motivo, il tema della sicurezza informatica è divenuto centrale per molte aziende.

Le vulnerabilità dei sistemi informatici e i rischi di cyber security sono sempre più disparati. Tra questi, il ransomware è una delle minacce informatiche più temute e diffuse degli ultimi tempi.

Nel 2022, sono stati rilevati oltre 74,3 milioni di tentativi di attacchi ransomware: un aumento del 20% rispetto al 2021. Questo aumento testimonia come i livelli di competenze e attenzione sulla sicurezza informatica siano ancora troppo bassi. Inoltre, risulta necessario adottare delle misure di sicurezza contro attacchi informatici che possono incidere in modo negativo sulla sicurezza delle informazioni aziendali.

L’obiettivo del ransomware è quello di estorcere denaro alla vittima tramite accessi non autorizzati ai dati. L’impatto che questi attacchi possono avere sulle aziende è sia economico che reputazionale. Per questo, il tema della prevenzione deve essere al primo posto.

Cos’è il ransomware?

Il termine ransomware, nella sua traduzione dall’inglese, deriva da ransom, che vuol dire “riscatto”.

Il ransomware è un malware che impatta la disponibilità dei dati della vittima. Una volta cifrati, i file non sono più accessibili all’utente che può recuperarli pagando all’aggressore un riscatto, solitamente in criptovalute.

All’apertura del file, alla vittima comparirà un avviso con la richiesta di riscatto e le istruzioni per procedere al pagamento. Nel caso in cui la vittima non pagasse il riscatto richiesto dall’attacker entro il tempo concesso, i dati non sarebbero più accessibili e andrebbero persi. 

Questo tipo di attacco informatico può avere conseguenze sulle aziende. I dati evidenziano che oltre un incidente su quattro mira ad estorcere denaro alle vittime. Tra gli altri impatti: furto dati (19%), raccolta credenziali (11%), perdita dati (11%) e reputazione del brand (9%). 

ransomw
Gli impatti degli attacchi ransomware sulle aziende

PC Cyborg: il primo ransomware della storia

Il primo attacco ransomware della storia risale al 1989 ed è noto come PC Cyborg. Dopo aver iniettato il malware tramite floppy disk, il funzionamento del computer veniva bloccato da una schermata che comunicava la scadenza della licenza di un software. Per riportare la situazione alla normalità venivano chiesti 189 dollari, da inviare a Panama via posta.

Il PC Cyborg è stato diffuso in maniera limitata poiché le persone ad usare un personal computer erano poche. Da allora, questi virus si sono evoluti, diventando sempre più sofisticati.

Esempi di ransomware

Gli attacchi ransomware possono colpire enti nei più disparati settori a livello mondiale. Tramite questo attacco informatico, l’utente malevolo ha la possibilità di limitare l’accesso a informazioni sensibili. Risulta, quindi, necessario conoscere i diversi tipi di ransomware, come WannaCry, CryptoLocker, NotPetya e Bad Rabbit.

WannaCry

WannaCry è un ransomware che prende di mira i computer provvisti di sistema operativo Microsoft Windows, sfruttandone le vulnerabilità. L’attacker codifica i file, per poi chiedere il pagamento in criptovaluta, promettendo il recupero dei dati compromessi.

CryptoLocker

Il CryptoLocker è il primo ransomware dell’era moderna. Apparso su internet per la prima volta alla fine del 2013, è stato uno dei primi ransomware a richiedere il pagamento del riscatto in bitcoin. La sua diffusione è avvenuta per mezzo di email malevole contenenti allegati che infettano i sistemi operativi Windows.

NotPetya

NotPetya è considerato uno degli attacchi ransomware più distruttivi. Invece di cifrare i file archiviati negli hard disk, NotPetya sostituisce mediante il suo payload il Master Boot Record (MBR) nella tabella delle partizioni con uno modificato. Questo tipo di ransomwere è stato definito wiper poiché, dopo aver colpito il sistema, non è in grado di recuperarlo. 

Bad Rabbit

Bad Rabbit è stato diffuso principalmente in Russia e Ucraina, prendendo di mira aziende del settore media e informazione. Nella maggior parte dei casi, la sua diffusione è avvenuta attraverso un aggiornamento fasullo di Flash player, che gli utenti, ignari della minaccia, accettavano di installare.

I vettori di infezione usati dai ransomware

La maggior parte dei casi di infezione ha inizio a causa della poca conoscenza dell’argomento da parte degli utenti, che spesso vengono ingannati da email di phishing. Esistono anche altri percorsi di infezione, tra questi:

  1. Come preannunciato, il più diffuso è l’email di phishing. In questo caso, viene sfruttata la scarsa attenzione degli utenti per invitarli a cliccare su un link o a scaricare un file contenente il malware. Attraverso questa tecnica vengono veicolati oltre il 75% dei ransomware.
  2. Attraverso la navigazione su siti compromessi, il cosiddetto drive-by download. I cybercriminali violano il sito visitato da potenziali vittime per sferrare il proprio attacco.
  3. Il software malevolo è presente su un supporto rimovibile, come una chiavette USB. Questa tecnica fa leva sulla curiosità umana: la chiavetta USB, o un altro supporto, contenente il malware viene lasciata in un luogo incustodito. Attirando la curiosità della vittima, la chiavetta verrà inserita nel computer all’interno del quale sarà infiltrato il malware.
  4. All’interno di software scaricati dalle vittime, ad esempio programmi gratuiti.
  5. Attacchi attraverso il Remote Desktop, tramite cui l’utente malevolo può ottenere le credenziali di accesso al sistema e iniettare il ransomware.
  6. Attraverso lo sfruttamento di vulnerabilità.

Come proteggersi dai ransomware

Per difendersi da un attacco ransomware, è necessario un approccio di difesa proattivo, che sia in grado di rilevare le vulnerabilità prima che vengano sfruttate da un attacker. 

L’uso di un Cloud Storage consente di mitigare i rischi legati ad attacchi ransomware. In questo caso, infatti, è possibile recuperare la copia di backup e accedere di nuovo ai dati.

Per affrontare in modo proattivo attacchi ransomware, è possibile attuare ulteriori azioni.  

  • Spesso il ransomware sfrutta le vulnerabilità del software per sferrare l’attacco iniziale. Per questo, è essenziale valutare spesso la presenza di eventuali vulnerabilità sull’intera superficie di attacco. In particolare, risulta utile valutare web app, infrastruttura di accesso remoto, servizi esposti pubblicamente e dispositivi OT. 
  • Un ransomware può attaccare diversi servizi, come il Remote Desktop o il servizio di AD (Active Directory). Per questo, è necessario assicurarsi che qualunque software che accetta connessioni da Internet non abbia vulnerabilità che consentano agli attacker di aumentare i propri privilegi. 
  • L’attacco dell’AD consente all’utente malevolo l’escalation dei privilegi, al fine di bloccare i dati presenti sul server. Grazie all’analisi del server, è possibile impedire in modo proattivo la diffusione di attacchi ransomware tramite AD. 
  • Per gestire in modo proattivo un attacco ransomware, è importante conoscere le vulnerabilità dei server. Attraverso la scansione ransomware, è possibile testare il grado di vulnerabilità dei sistemi IT, mettendo in sicurezza applicativi e architetture IT. In questo modo, è possibile ridurre il cyber risk e preservare la Business Continuity. 
  • Infine, è necessaria un’attività di misurazione e controllo. Ciò richiede la scelta di metriche chiave. Una di queste consiste nel valutare la frequenza di analisi della salute dei server. Inoltre, potrebbero essere utili: il monitoraggio del processo di patching e la misurazione dell’efficacia nel porre rimedio alle vulnerabilità che possono mettere a rischio i sistemi informatici. 

Il nostro servizio di scansione ransomware 

Il tema della cyber security diventa sempre più importante per ogni azienda.

Uno dei sistemi più affidabili per prevenire attacchi ransomware consiste nell’analisi dell’asset strategico aziendale, ad esempio il sito web o il progetto IT.

In Seeweb offriamo un servizio di scansione e analisi, che può rilevare l’eventuale vulnerabilità del tuo asset strategico ai ransomware.

La valutazione viene effettuata in tempi brevi e con un investimento minimo. Nel grafico che segue vengono mostrati gli step attraverso cui scoprire se i tuoi asset sono vulnerabili o meno. Per saperne di più puoi scaricare il PDF cliccando qui.

Ransomware traduzione
Gli step attraverso cui scoprire se i tuoi asset sono vulnerabili ai ransomware.

Articoli correlati:
  1. Ransomware sempre più diffuso: cos’è e come ti proteggi?
  2. Anatomia di un attacco Botnet
  3. Cloud sicuro: l’antincendio HI-FOG per proteggerti da rischi fisici
  4. Attacco Man-In-The-Middle: ARP Poison
  5. Internet delle cose: come cambierà la vostra vita
  6. WordPress – Attacco brute force su xmlrpc.php

CONDIVIDI SUI SOCIAL

Altri articoli da non perdere

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

+ 22 = 28