paralleli-awingu

Corel acquisisce Awingu per accelerare la sua offerta di spazio di lavoro remoto sicuro. Leggi di più

Cosa sono gli attacchi ransomware e perché sono in aumento?

Il numero di attacchi informatici aumenta ogni giorno. In particolare, gli attacchi ransomware sono in continuo aumentoNon passa giorno senza che la stampa parli di un nuovo attacco ransomware e di una violazione dei dati. Ma cos'è esattamente il ransomware e quali tipi esistono? Come avvengono gli attacchi ransomware e cosa si può fare per prevenirli? In questo blog post daremo una risposta a tutte queste domande.

Utente ransomware hackerato
Una richiesta di pagamento da parte di un ransomware: questo è un messaggio che vi non vogliono vedere.

Cosa sono gli attacchi ransomware?

Il ransomware è un tipo di software dannoso (malware), che viene utilizzato dai criminali informatici per criptare una (porzione di) dati del dispositivo, rendendoli non più accessibili. Per riottenere l'accesso, i criminali chiedono il pagamento di un grosso riscatto prima di fornire la chiave di decrittazione o disattivare la schermata di blocco. Ma, naturalmente, è meglio attenuare le possibilità di essere attaccati piuttosto che pagare il riscatto.

Per esercitare una maggiore pressione sulle vittime in merito alla richiesta di riscatto, gli hacker possono utilizzare un software ransomware specifico che non solo cripta i file, ma cerca anche dati sensibili e invia queste informazioni all'hacker. Durante questo tipo di attacco malware, I gruppi di ransomware spesso passano molto tempo inosservati nel sistema operativo.mentre cerca i dati più preziosi da sfruttare. Se poi le aziende non vogliono pagare il riscatto, l'attaccante del malware spesso minaccia di pubblicare online i dati rubati, con conseguenze disastrose.

Chi sono gli obiettivi degli attacchi ransomware?

In generale, chiunque può diventare bersaglio di attacchi ransomware. Tuttavia, se si considerano le più recenti violazioni di dati nel solo 2022, è chiaro che gli hacker si concentreranno su organizzazioni che lavorano con molti file personali e dati sensibili, grandi gruppi di utenti ed eventualmente piccoli team IT (come nel settore dell'istruzione o della sanità). Inoltre, tendono a prendere di mira anche i soggetti industriali, in quanto le interruzioni dei loro processi informatici pongono problemi rilevanti per la catena di approvvigionamento dell'azienda.

Quali sono i tipi di attacchi ransomware?

Viene utilizzata un'ampia gamma di varianti di ransomware, ma diamo un'occhiata a quelle più comuni:
  • Crypto ransomware o 'encryptors': Questo tipo di malware è forse il più famoso. Un criminale informatico cripta i file e conserva la chiave di decrittazione, per la quale è necessario pagare un riscatto. Esempi notevoli sono CryptoLocker, GoldenEye, WannaCry, ...
  • Locker ransomware: Questa variante del ransomware blocca le funzioni di base del computer. Non avrete accesso al vostro dispositivo e vedrete solo una schermata di blocco o un popup con il messaggio che i vostri file e le vostre applicazioni sono inaccessibili e che dovrete pagare una certa somma di denaro per potervi accedere nuovamente.
  • Spaventoso: Un tipo di malware progettato per spaventare o manipolare le persone a visitare pagine web o a scaricare software infestato da malware. Ciò avviene utilizzando tattiche di social engineering e annunci popup. L'obiettivo è far credere agli utenti di dover acquistare o scaricare un software (che in realtà è dannoso). Alcuni esempi di scareware sono: PC Protector, SpySheriff, Antivirus360, ...
  • Doxware: Con questo termine ci riferiamo in particolare ai ransomware che vengono utilizzati per ottenere dati personali. Compromettono la privacy dei dipendenti ottenendo l'accesso a foto e file sensibili, dopodiché minacciano di rilasciare i dati. Spesso gli aggressori prendono deliberatamente di mira vittime specifiche per questo tipo di attacco.
  • Ransomware come servizio (RaaS): Si tratta di un modello di business per i criminali informatici. Chiunque, anche senza saper codificare, può acquistare strumenti sul mercato nero e utilizzarli per eseguire attacchi ransomware. Gli strumenti sono ospitati e gestiti da collettivi di hacker. I fornitori di RaaS ben noti sono REvil, DarkSide, Maze, ...
Ransomware ha bloccato il computer
L'obiettivo del ransomware è bloccare i vostri dati e farvi pagare per la chiave.

Come avvengono gli attacchi ransomware?

Gli operatori di ransomware cercano di accedere alla rete o al sistema dell'azienda con diverse tecniche. Molto spesso cercano di farlo tramite persone dell'organizzazione, ma possono anche tentare di infettare direttamente i sistemi. Il seguente elenco evidenzia alcuni dei modi più comuni in cui avvengono gli attacchi ransomware.

  • Phishing: I criminali inviano ai dipendenti della vostra organizzazione un'e-mail che contiene un link o un allegato dannoso. Può darsi che il link rimandi a un sito web che ospita un file o un codice ostile o che l'allegato abbia una funzionalità di download incorporata. Se uno dei dipendenti dell'azienda fa clic o apre il contenuto delle e-mail di phishing, è possibile che venga installato un software dannoso e che il ransomware infetti i sistemi.
  • Rete non sufficientemente protetta: Se agite in modo proattivo per proteggere la vostra rete, i criminali informatici possono tentare di sfruttare molteplici vulnerabilità e vettori di attacco per entrare e far agire il loro software dannoso.
  • Aprire RDP: L'utilizzo di RDP senza alcuna misura di sicurezza è un aspetto che piace ai criminali informatici, che possono sfruttare le sue debolezze. In questo modo ottengono l'accesso al sistema aziendale. I ricercatori hanno trovato 25 vulnerabilità (!) in alcuni dei client RDP più diffusi (FreeRDP, il client RDP integrato di Microsoft, ...) utilizzati dalle aziende nel 2020.
  • Connessioni VPN non sicure: Tunnel VPN direttamente dai dispositivi dei vostri dipendenti alla vostra rete. Insieme a RDP, il Centro nazionale per la sicurezza informatica del Regno Unito ha identificato la VPN come uno dei maggiori fattori di rischio per un attacco ransomware.perché il software dannoso del dispositivo client può entrare nella rete aziendale da remoto.

Esempi di grandi attacchi ransomware nel 2022

Ogni giorno un'altra grande organizzazione è vittima di un attacco ransomware. Alcune vittime recenti sono state:

  • Sistemi di governo in Costa Rica (maggio 2022): Il cyberattacco ha preso di mira i sistemi che vanno dalla riscossione delle imposte ai processi di importazione ed esportazione attraverso l'agenzia doganale. Inoltre, hanno avuto accesso anche al sistema delle risorse umane dell'ente previdenziale e del Ministero del Lavoro. Il cartello di Conti ha chiesto molti soldi per l'attacco. Nel frattempo, hanno iniziato a pubblicare le informazioni rubate perché stanchi di aspettare il riscatto.
  • Florida International University (aprile 2022): Violazione dei dati che ha colpito le informazioni sensibili di studenti e docenti. Dietro l'attacco c'è BlackCat.
  • Associazione scozzese per la salute mentale (marzo 2022): L'organizzazione sanitaria è stata presa di mira da una banda di ransomware che ha colpito i sistemi informatici. Oltre 12 GB di dati personali e sensibili sono trapelati online. Dietro l'attacco c'era la banda del ransomware RansomEXX.
  • KP Snacks (febbraio 2022): Gli hacker della banda Conti sono riusciti a rubare molti documenti sensibili, come campioni di estratti conto delle carte di credito, fogli di calcolo con i dati personali dei dipendenti e accordi riservati... Hanno pubblicato online un numero ancora maggiore di questi dati dopo non aver ricevuto in tempo il riscatto.
  • Moncler (gennaio 2022): All'inizio dell'anno, il gigante della moda italiana di lusso è stato vittima di una violazione dei dati a seguito di un attacco da parte della banda di ransomware BlackCat. In seguito, l'azienda ha spiegato che diversi dati erano stati colpiti. I dati non riguardavano solo i clienti, ma anche i dipendenti attuali e precedenti, i fornitori e i partner commerciali.


Questi sono solo una manciata di migliaia di esempi (pubblicamente noti). Gli attacchi ransomware non sono limitati a determinati settori o Paesi. Senza le giuste misure di sicurezza, tutti possono diventare vittime di ransomware.

Banda di ransomware Conti
Il famigerato collettivo di hacker Conti Group è all'origine di molti degli attacchi ransomware dell'anno scorso.

Perché gli attacchi ransomware sono in aumento?

Passaggio al lavoro ibrido e a distanza

Gli attacchi ransomware sono in aumento, poiché i gruppi di ransomware continuano ad adattare le loro tecniche in questo mondo digitale in continua evoluzione. Con l'accelerazione del lavoro da remoto e il passaggio al lavoro ibrido, i malintenzionati non si concentrano solo sulle organizzazioni in generale, ma prendono di mira anche gli individui per ottenere l'accesso ai sistemi operativi, ai file e alle applicazioni delle aziende.

Sempre più persone lavorano al di fuori delle reti dell'ufficio. Molte aziende hanno creato una soluzione di lavoro remoto in modo rapido, perché sorprese dalla pandemia mondiale. Tuttavia, in molti casi le aziende hanno scelto soluzioni poco sicure (ad esempio, aprendo endpoint RDP o facilitando VPN "nude"). Il risultato è stato quello di creare delle lacune nella difesa della cybersicurezza, rendendole un facile bersaglio per le minacce informatiche.

Vantaggi finanziari per il gruppo di ransomware

Un'altra ragione dell'aumento è che un numero maggiore di gruppi criminali vede il vantaggio degli attacchi ransomware, poiché le aziende tendono (nella maggior parte dei casi) a pagare il riscatto. Per loro può essere una rapida vincita di denaro. Rubare e minacciare di far trapelare i dati ha funzionato bene per queste bande di ransomware, quindi vediamo un chiaro spostamento dalla negazione dei dati all'estrazione dei dati. Vediamo come evitare di farli diventare ricchi.

Le migliori pratiche per prevenire gli attacchi e la diffusione del ransomware

Nessuno vuole pagare il riscatto o vuole avere file e dati criptati, giusto? Quindi, come possono le organizzazioni prevenire questi attacchi ransomware? Come ci si può difendere? Abbiamo elencato per voi alcune best practice per la protezione da ransomware:

  • Informate e formate i vostri dipendenti:
    • Gli amministratori IT non dovrebbero fare clic su link sconosciuti o aprire allegati di posta elettronica dannosi e dovrebbero sempre utilizzare password forti con MFA abilitato.
    • Facilitare la formazione sulla sicurezza per i vostri dipendenti. I punti precedenti sono più difficili da applicare ai dipendenti, quindi è fondamentale sensibilizzarli e formarli all'igiene della sicurezza informatica.
    • Le e-mail di phishing e gli attacchi di social engineering sono tecniche ancora molto diffuse tra i criminali informatici per colpire i singoli individui e farli entrare nel sistema informatico dell'organizzazione. Assicuratevi che i vostri dipendenti siano a conoscenza di queste pratiche in modo da poterle riconoscere e contrastare quando si trovano di fronte a un tentativo.
  • Backup dei dati:
    • Eseguire regolarmente il backup di file e applicazioni.
    • Assicuratevi di proteggere anche i backup dei dati offline e verificate che non siano collegati in modo permanente ai computer e alle reti di cui stanno eseguendo il backup.
  • Segmentazione della rete:
    • Se avete un sistema infetto, assicuratevi che il malware non possa diffondersi a un altro sistema informatico segmentando le reti di produzione e quelle generiche.
    • In questo modo, se qualcuno utilizza un computer infetto e infetta una delle reti più piccole, è possibile cercare di isolare il ransomware prima che si diffonda ulteriormente.
    • In questo modo il team IT ha più tempo per rimuovere il ransomware senza che si diffonda nell'intera organizzazione.
  • Rivedere le impostazioni della porta:
    • Le porte RDP aperte sono uno dei modi più comuni in cui vengono avviati gli attacchi ransomware. L'utilizzo della porta RDP 3389 "nuda" per consentire l'accesso remoto ai dipendenti significa aprire la porta agli hacker e dire: "Benvenuti, da questa parte per favore!".
    • Un'altra porta che viene spesso presa di mira è la porta 445 del Server Message Blocked.
  • Limitare i privilegi di accesso degli utenti:
    • Per bloccare l'ingresso del ransomware, definire accuratamente le autorizzazioni degli utenti.
    • Impostate le limitazioni alle applicazioni, ai desktop e ai file a cui possono accedere.
    • Aggiungere livelli di sicurezza in linea con il modello Zero Trust, poiché non ci si può fidare di nessuno, anche se si tratta di un dipendente autorizzato. Assicuratevi di avere il controllo su ciò che ogni utente o gruppo di utenti può accedere o fare.

Cosa fare se si è vittima di un attacco ransomware

Cosa potete fare se siete vittime di un attacco ransomware? Vediamo i modi più comuni per riprendersi da un'infezione ransomware.

  • Fare non pagare un riscatto: Innanzitutto, mantenete la calma e non abbiate fretta di pagare il riscatto. Ciò incoraggerà solo i criminali a continuare a farlo. (E come potete essere sicuri che gli aggressori del ransomware vi restituiranno i vostri dati dopo che avete pagato)?
  • Identificare la fonte del ransomware: Cercate di scoprire qual è stato il punto di ingresso del ransomware. Parlate con i vostri utenti per scoprire chi ha avvertito i primi segni dell'attacco.
  • Isolare le macchine infette: Non è sempre possibile conoscere la velocità di diffusione del ransomware, ma scollegate tutti i dispositivi dalla rete il prima possibile. Questo può contribuire a ridurre l'impatto di un'infezione da ransomware a livello aziendale.
  • Segnalare l'attacco alle autorità: Si tratta di un reato e dovreste denunciarlo alla polizia. La polizia potrebbe essere in grado di aiutarvi in quanto ha accesso a risorse più potenti per questo tipo di reato.
  • Ripristino dei dati: Se si eseguono regolarmente backup dei dati, è possibile utilizzare i file di backup off-site o cloud per ripristinare i dati. Per questo motivo è necessario disporre di una strategia di backup dei dati, in modo da poter procedere rapidamente senza perdere troppo tempo. Tuttavia, fate attenzione perché alcuni ransomware potrebbero essere presenti da mesi nei vostri sistemi e quindi anche nei vostri backup. È sempre consigliabile eseguire una soluzione anti-malware sui backup per verificarlo.

In che modo Awingu può aiutare a prevenire i ransomware?

Awingu sui dispositivi

Awingu è uno spazio di lavoro unificato che consente a un'azienda di abilitare un accesso remoto sicuro a file server, applicazioni e desktop per i propri dipendenti. I nostri clienti lo utilizzano come ulteriore livello di protezione per proteggere RDP "nudo" e per fornire un'alternativa sicura alle VPN.

Gli utenti possono accedere all'area di lavoro tramite il browser e non è necessario installare nulla sul dispositivo. Quindi, anche se utilizzano un dispositivo infetto, non c'è una connessione diretta alla rete aziendale e non si deve temere un'infezione da ransomware.

Awingu è dotato di diverse funzionalità di sicurezza integrate che vi aiuteranno a proteggere l'accesso:

  • Spazio di lavoro basato su browser
  • MFA incorporato
  • Rilevamento e monitoraggio delle anomalie nel dashboard
  • Crittografia SSL
  • Nessun dato locale sul dispositivo dell'utente finale
  • Controllo granulare dell'utilizzo
  • Consapevolezza del contesto


Per saperne di più su come Awingu può aiutarvi a proteggere la vostra organizzazione dagli attacchi ransomware, clicca qui!

  • https://www.globenewswire.com/news-release/2021/12/23/2357418/0/en/Mimecast-The-Rise-of-Ransomware-During-the-COVID-19-Pandemic.html
  • https://threatpost.com/cybersecurity-best-practices-ransomware/176316/
  • https://www.computerweekly.com/news/252504676/Ransomware-attacks-increase-dramatically-during-2021
  • https://www.pbs.org/newshour/nation/why-ransomware-attacks-are-on-the-rise-and-what-can-be-done-to-stop-them
  • https://www.upguard.com/blog/best-practices-to-prevent-ransomware-attacks
  • https://www.zdnet.com/paid-content/article/how-to-recover-from-a-ransomware-attack/
  • https://www.techtarget.com/whatis/definition/scareware
  • https://www.darkreading.com/attacks-breaches/ransomware-has-evolved-and-its-name-is-doxware
  • https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
  • https://www.csoonline.com/article/3236183/what-is-ransomware-how-it-works-and-how-to-remove-it.html
  • https://www.blackfog.com/the-state-of-ransomware-in-2022/#January
Tabella dei contenuti
Vuoi saperne di più su Awingu?
INIZIA LA TUA PROVA GRATUITA
CONTATTO
paralleli-awingu
SU
PRODOTTO
RISORSE
LEGALE
METTETEVI IN CONTATTO!
Facebook Youtube Twitter

© 2022 - Awingu NV

Questo sito web utilizza i cookie. Leggi la nostra trasparenza politica dei cookie!
Accettare e chiudere