Ransomware
Cos’è il ransomware?
Il ransomware è un tipo di attacco informatico progettato per accedere a un sistema e crittografare i file contenuti in questo. I file non possono essere decrittografati senza una chiave privata che gli aggressori promettono di svelare solo pagando un riscatto.
Perché il ransomware sta diventando più comune?
La diffusione del ransomware è in aumento dato che le organizzazioni si concentrano sempre più sulle decisioni data-driven e vedono i dati aziendali come preziosa proprietà intellettuale (IP). Oltre a crittografare i dati, alcuni aggressori sottraggono anche informazioni e minacciano di metterle a disposizione di altri utenti malintenzionati, aumentando la pressione sul pagamento di un riscatto.
Come vengono risolti gli attacchi ransomware?
Purtroppo, gli aggressori raramente forniscono la chiave di decrittografia dopo il pagamento del riscatto, privando le vittime sia dell'importo del riscatto, sia dei loro dati. Si stima che il ransomware avrà un costo di 265 miliardi di dollari all'anno entro il 2031 e si prevedono inoltre nuovi attacchi nei confronti di aziende, consumatori o dispositivi ogni due secondi.
Esempi di ransomware
Alcuni attacchi ransomware iniziano inducendo un utente ad aprire un file, spesso un allegato di posta elettronica, che comporta il download di codice dannoso che infetta la rete. Altri sfruttano le vulnerabilità nei sistemi operativi, i punti deboli nei sistemi di protezione fisica o gli exploit software per accedere a una rete e radicarsi all'interno del sistema.
La prima minaccia ransomware su larga scala è stata introdotta a settembre 2013 con l'emergere di CryptoLocker, un malware si tipo “cavallo di Troia” che spingeva gli utenti a scaricare un file che successivamente ha infettato la loro rete. A maggio 2014, a seguito di un'operazione congiunta delle forze dell'ordine e delle agenzie di sicurezza, il Trojan CryptoLocker è stato disinnescato. Tuttavia, ne circolano ancora molte imitazioni.
Dopo CryptoLocker, sono state sviluppate molte altre famiglie di ransomware. Tra quelle più comuni figurano Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk e MegaCortex. Indipendentemente dal nome, il loro scopo è lo stesso: estorcere fondi alle vittime in cambio della decrittografia dei loro file e dati.
I nuovi schemi ransomware-as-a-service (RaaS) che consentono a chiunque abbia competenze informatiche di base e accesso a Internet di entrare nel business del ransomware stanno contribuendo a incentivare una crescita significativa di questo tipo di attacchi. L'autore del ransomware mette a disposizione di altri criminali informatici risorse, come tool di crittografia, comunicazioni con le vittime e riscossione dei riscatti, in cambio di una percentuale sugli stessi.
Cosa puoi fare per proteggerti dagli attacchi ransomware?
Molti degli attacchi ransomware attuale possono essere difficili da rilevare perché sono sempre più nascosti agli amministratori di sistema e alle protezioni endpoint. Pertanto, gli aggressori ottengono una persistenza a lungo termine sul dispositivo e, a loro volta, la capacità di infliggere danni a loro piacimento. Il tempo medio di permanenza del ransomware è di 24 giorni. Di conseguenza, gli aggressori hanno tutto il tempo e opportunità sufficienti per accedere ai dati di un'organizzazione e manometterli.
A questi aggressori serve solo un utente che usi password poco complesse o che faccia clic su un collegamento contenuto in un'email di phishing per mettere a rischio l'intera rete aziendale. L'implementazione di corsi di sensibilizzazione sulla sicurezza per i dipendenti è un passo importante per molte aziende, perché contribuisce a ridurre il rischio di ingresso di ransomware nelle loro reti. Questi corsi di formazione devono essere aggiornati a cadenza regolare man mano che le tecniche di attacco si evolvono.
Il modo migliore per proteggersi dal malware che sfrutta le vulnerabilità del software è mantenere aggiornati i sistemi operativi e le applicazioni critiche con tutte le patch e gli aggiornamenti. Il monitoraggio della rete, la protezione con password, l'autenticazione a più fattori (MFA) e le misure di sicurezza degli endpoint sono tecnologie e tattiche utili per ridurre il profilo di minaccia di un'organizzazione.
Poiché è impossibile eliminare completamente la minaccia di un attacco ransomware, adottare una solida strategia di backup può contribuire ad accelerare il ripristino di un'organizzazione sotto attacco, con interruzioni minime delle operazioni. Questi backup devono essere separati dalla rete per impedire l'accesso al malware, poiché la maggior parte dei ransomware tenterà anche di crittografare i backup.
Come si diffonde il ransomware?
Il panorama delle minacce ransomware si fa sempre più ampio man mano che gli utenti accedono sempre più alle applicazioni e ai carichi di lavoro aziendali critici da un numero crescente di luoghi: uffici domestici, installazioni sul campo, punti vendita, impianti di produzione, stanze d'ospedale e altre sedi all'edge. E più dispositivi connessi che compongono l'Internet of Things (IoT) condividono i dati tra di loro sulle reti aziendali senza interazione umana. Con l'ampliamento degli sforzi di trasformazione digitale, le vulnerabilità della sicurezza diventano più evidenti e rappresentano una minaccia maggiore per le aziende.
Sebbene le varianti di ransomware siano estese e in evoluzione, in genere utilizzano uno o più dei tre vettori di attacco primari per ottenere l'accesso a una rete.
Phishing tramite email
Trai i più diffusi vettori ransomware, si annovera il phishing tramite email. Gli aggressori inviano email che sembrano provenire da un mittente attendibile. In genere, in questi messaggi si tenta di convincere il destinatario a inserire le credenziali personali su una pagina web contraffatta o a scaricare un file contenente malware.
RDP (Remote Desktop Protocol)
RDP (Remote Desktop Protocol) è un protocollo Microsoft che consente agli utenti di connettersi da remoto ed eseguire comandi su un sistema. La sicurezza RDP è essenzialmente basata sul fatto che gli utenti abbiano password complesse e univoche e purtroppo questo non avviene sempre nella realtà. Gli aggressori possono facilmente violare le credenziali RDP o acquistare nomi utente e password violati sul dark web per ottenere l'accesso a un sistema.
Vulnerabilità del software
Le vulnerabilità del software forniscono un altro metodo di distribuzione comune del ransomware. Il software che non è stato aggiornato può creare lacune nelle architetture di sicurezza e fornire libero accesso alle intrusioni di malware. Queste vulnerabilità sono un bersaglio relativamente facile per gli aggressori in quanto non è necessario che violino o raccolgano in altro modo le credenziali.
In che modo HPE può aiutarti a proteggerti dal ransomware?
Purtroppo, nemmeno i sistemi e le procedure di sicurezza migliori sono in grado di garantire una protezione completa contro gli attacchi ransomware. Per ripristinare le operazioni e ridurre al minimo la potenziale perdita di dati in caso di attacco, è necessario un piano completo di backup e ripristino dei dati.
Una soluzione iperconvergente HPE SimpliVity consolida l'infrastruttura IT e semplifica sia la strategia di protezione dati, sia il processo di ripristino, soprattutto nelle aziende dove è necessaria l'assistenza in più sedi distaccate. Queste soluzioni offrono funzioni integrate, come la protezione dei dati integrata, che contribuiscono a ridurre il carico e garantiscono una protezione più efficace in tutta l'azienda, nelle filiali e nelle sedi distaccate (ROBOs). Le efficienze dei dati consentono di eseguire backup più frequenti, per una protezione quasi continua, periodi di conservazione più lunghi e ripristini più rapidi. In caso di infezione da ransomware, è possibile ripristinare in modo semplice e rapido una macchina virtuale con tutti i suoi dati, riducendo al minimo i downtime di sistema, le interruzioni di business e le perdite di ricavi.
HPE StoreOnce è un'appliance (o macchina virtuale) di backup appositamente realizzata che include gli archivi di HPE StoreOnce Catalyst per isolare i dati critici dagli autori di ransomware con la massima efficienza. Gli aggressori non possono quindi influire sui dati senza ricorrere a interazioni fisiche dirette che alla fine distruggono parte o tutto l'hardware stesso. Anche se l'hardware viene distrutto in un'unica posizione a causa di un malware o di una calamità naturale, l'implementazione più avanzata degli archivi di HPE StoreOnce Catalyst (implementazione distribuita) protegge i dati mission-critical isolandoli con la massima efficienza dalle linee di comunicazione tradizionali e dai set di comandi sfruttati dagli autori di ransomware.
Zerto, un’azienda Hewlett Packard Enterprise, garantisce protezione continua dei dati (CDP, Continuous Data Protection) basata su un diario di registrazione e ripristino senza eguali per dati e applicazioni virtualizzati e containerizzati dall'edge al cloud. La piattaforma di Zerto garantisce tutta la flessibilità necessaria per proteggere i cloud di ogni tipo da qualsiasi punto di vista, indipendentemente dal fatto che siano privati, pubblici o cloud native. La sua architettura a scalabilità orizzontale può proteggere petabyte di dati e migliaia di macchine virtuali. La soluzione solo software copia ogni modifica dei dati, indipendentemente dall'hardware sottostante, senza rallentare i sistemi di produzione.