Ransomware

Cos’è il ransomware?

Il ransomware è una preoccupazione sempre presente per le organizzazioni. Secondo una ricerca ESG, il 75% delle organizzazioni ha subito attacchi ransomware negli ultimi 12 mesi e il 10% subisce attacchi giornalieri.Enterprise%20Strategy%20Group.%20%E2%80%9C2023%20Ransomware%20preparedness%3A%20Lighting%20the%20way%20to%20readiness%20and%20mitigation%E2%80%9D.%20Settembre%202023. La diffusione del ransomware è in aumento dato che le organizzazioni si concentrano sempre più sulle decisioni data-driven e vedono i dati aziendali come preziosa proprietà intellettuale (IP). Oltre a crittografare i dati, alcuni aggressori sottraggono anche informazioni e minacciano di metterle a disposizione di altri utenti malintenzionati, aumentando la pressione sul pagamento di un riscatto.

Il ransomware è un business enorme. Molti autori delle minacce sono gruppi criminali organizzati. Solo pochi anni fa il valore del settore del ransomware era stimato in 14 miliardi di dollari. Woodward%2C%20M.%20%E2%80%9CRansomware%20statistics%3A%20How%20bad%20are%20ransomware%20attacks%20in%202024%3F%E2%80%9D%20Search%20Logistics.%20Aggiornato%20a%20febbraio%202025.

Alcuni attacchi ransomware iniziano inducendo un utente ad aprire un file, spesso un allegato di posta elettronica, che comporta il download di codice dannoso, che quindi si diffonde tramite la rete. Altri sfruttano le vulnerabilità nei sistemi operativi, i punti deboli nei sistemi di protezione fisica o gli exploit software per accedere a una rete e radicarsi all'interno del sistema.

La prima minaccia ransomware su larga scala ha avuto inizio a settembre 2013 con la diffusione di CryptoLocker, un malware di tipo “cavallo di Troia” che spingeva gli utenti a scaricare un file che poi infettava i loro sistemi ed eseguiva la scansione della rete alla ricerca di ulteriori sistemi e file da crittografare. A maggio 2014, a seguito di un'operazione congiunta delle forze dell'ordine e delle agenzie di sicurezza, il Trojan CryptoLocker è stato disinnescato. Tuttavia, ne circolano ancora molte imitazioni.

Dopo CryptoLocker, sono state sviluppate molte altre famiglie di ransomware. Tra quelle più comuni figurano Conti, Maze (Egregor), Sodinokibi (REvil), TorrentLocker, WannaCry, Petya (NotPetya), Ryuk e MegaCortex. Indipendentemente dal nome, il loro scopo è lo stesso: estorcere fondi alle vittime in cambio della decrittografia dei loro file e dati.

I nuovi schemi ransomware-as-a-service (RaaS) che consentono a chiunque abbia competenze informatiche di base e accesso a Internet di entrare nel business del ransomware stanno contribuendo a incentivare una crescita significativa di questo tipo di attacchi. L'autore del ransomware mette a disposizione di altri criminali informatici risorse, come tool di crittografia, comunicazioni con le vittime e riscossione dei riscatti, in cambio di una percentuale sugli stessi.

Molti degli attacchi ransomware attuale possono essere difficili da rilevare perché sono sempre più nascosti agli amministratori di sistema e alle protezioni endpoint. Pertanto, gli aggressori ottengono una persistenza a lungo termine sul dispositivo e, a loro volta, la capacità di infliggere danni a loro piacimento. Il tempo medio di permanenza del ransomware è di 24 giorni. Di conseguenza, gli aggressori hanno tutto il tempo e l’opportunità di accedere ai dati di un'organizzazione e manometterli.

A questi aggressori serve solo un utente che usi password poco complesse o che faccia clic su un collegamento contenuto in un'email di phishing per mettere a rischio l'intera rete aziendale. L'implementazione di corsi di sensibilizzazione sulla sicurezza per i dipendenti è un passo importante per molte aziende, perché contribuisce a ridurre il rischio di ingresso di ransomware nelle loro reti. Questi corsi di formazione devono essere aggiornati a cadenza regolare man mano che le tecniche di attacco si evolvono.

Il modo migliore per proteggersi dal malware che sfrutta le vulnerabilità del software è mantenere aggiornati i sistemi operativi e le applicazioni critiche con tutte le patch e gli aggiornamenti. Il monitoraggio della rete, la protezione con password, l'autenticazione a più fattori (MFA) e le misure di sicurezza degli endpoint sono tecnologie e tattiche utili per ridurre il profilo di minaccia di un'organizzazione.

Sebbene la scoperta della crittografia dei dati e la richiesta di riscatto possano essere i segnali più visibili di un ransomware, si verificano alla fine di un attacco. Se le organizzazioni riescono a individuare precocemente i segnali di un attacco ransomware, possono riuscire a fermarlo e prevenire ulteriori danni. Utilizza i sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) per monitorare i flussi di traffico di rete in entrata e in uscita e bloccare le attività sospette e dannose. Se viene rilevata una potenziale minaccia, i tool IDS/IPS possono distribuire le informazioni al riguardo nell'intero ecosistema di sicurezza per ulteriori azioni di protezione.

Poiché è impossibile eliminare completamente la minaccia di un attacco ransomware, adottare una solida strategia di backup può contribuire ad accelerare il ripristino di un'organizzazione sotto attacco, con interruzioni minime delle operazioni. Questi backup devono essere separati dalla rete per impedire l'accesso al malware, poiché la maggior parte dei ransomware tenterà anche di crittografare i backup.

Molti degli attacchi ransomware attuale possono essere difficili da rilevare perché sono sempre più nascosti agli amministratori di sistema e alle protezioni endpoint. Pertanto, gli aggressori ottengono una persistenza a lungo termine sul dispositivo e, a loro volta, la capacità di infliggere danni a loro piacimento. Il tempo medio di permanenza del ransomware è di 24 giorni. Di conseguenza, gli aggressori hanno tutto il tempo e l’opportunità di accedere ai dati di un'organizzazione e manometterli.

A questi aggressori serve solo un utente che usi password poco complesse o che faccia clic su un collegamento contenuto in un'email di phishing per mettere a rischio l'intera rete aziendale. L'implementazione di corsi di sensibilizzazione sulla sicurezza per i dipendenti è un passo importante per molte aziende, perché contribuisce a ridurre il rischio di ingresso di ransomware nelle loro reti. Questi corsi di formazione devono essere aggiornati a cadenza regolare man mano che le tecniche di attacco si evolvono.

Il modo migliore per proteggersi dal malware che sfrutta le vulnerabilità del software è mantenere aggiornati i sistemi operativi e le applicazioni critiche con tutte le patch e gli aggiornamenti. Il monitoraggio della rete, la protezione con password, l'autenticazione a più fattori (MFA) e le misure di sicurezza degli endpoint sono tecnologie e tattiche utili per ridurre il profilo di minaccia di un'organizzazione.

Poiché è impossibile eliminare completamente la minaccia di un attacco ransomware, adottare una solida strategia di backup può contribuire ad accelerare il ripristino di un'organizzazione sotto attacco, con interruzioni minime delle operazioni. Questi backup devono essere separati dalla rete per impedire l'accesso al malware, poiché la maggior parte dei ransomware tenterà anche di crittografare i backup.

• Phishing tramite email: tra i più diffusi vettori di ransomware si annovera il phishing tramite email. Gli aggressori inviano email che sembrano provenire da un mittente attendibile. In genere, in questi messaggi si tenta di convincere il destinatario a inserire le credenziali personali su una pagina web contraffatta o a scaricare un file contenente malware.
• RDP (Remote Desktop Protocol): RDP (Remote Desktop Protocol) è un protocollo Microsoft che consente agli utenti di connettersi da remoto ed eseguire comandi su un sistema. La sicurezza RDP è essenzialmente basata sul fatto che gli utenti abbiano password complesse e univoche e purtroppo questo non avviene sempre nella realtà. Gli aggressori possono facilmente violare le credenziali RDP o acquistare nomi utente e password violati sul dark web per ottenere l'accesso a un sistema.
• Vulnerabilità del software: le vulnerabilità del software forniscono un altro metodo di distribuzione comune del ransomware. Il software che non è stato aggiornato può creare lacune nelle architetture di sicurezza e fornire libero accesso alle intrusioni di malware. Queste vulnerabilità sono un bersaglio relativamente facile per gli aggressori in quanto non è necessario che violino o raccolgano in altro modo le credenziali.

Purtroppo, nemmeno i sistemi e le procedure di sicurezza migliori sono in grado di garantire una protezione completa contro gli attacchi ransomware. Per rilevare e difendersi nelle prime fasi, ripristinare le operazioni e ridurre al minimo la potenziale perdita di dati in caso di attacco avvenuto con successo, è necessario un approccio alla sicurezza a più livelli e un piano completo di backup e ripristino dei dati.

Una soluzione iperconvergente HPE SimpliVity consolida l'infrastruttura IT e semplifica sia la strategia di protezione dei dati, sia il processo di ripristino, soprattutto nelle aziende dove è necessario il supporto di più sedi distaccate. Queste soluzioni offrono funzioni integrate, come la protezione dei dati integrata, che contribuiscono a ridurre il carico e garantiscono una protezione più efficace in tutta l'azienda, nelle filiali e nelle sedi distaccate (ROBOs). Le efficienze dei dati consentono di eseguire backup più frequenti, per una protezione quasi continua, periodi di conservazione più lunghi e ripristini più rapidi. In caso di infezione da ransomware, è possibile ripristinare in modo semplice e rapido una macchina virtuale con tutti i suoi dati, riducendo al minimo i downtime di sistema, le interruzioni di business e le perdite di ricavi.

HPE StoreOnce è un'appliance (o macchina virtuale) di backup appositamente realizzata che include gli archivi di HPE StoreOnce Catalyst per isolare i dati critici dagli autori di ransomware con la massima efficacia. Gli aggressori non possono quindi influire sui dati senza ricorrere a interazioni fisiche dirette che alla fine distruggono parte o tutto l'hardware stesso. Anche se l'hardware viene distrutto in un'unica posizione a causa di un malware o di una calamità naturale, l'implementazione più avanzata degli archivi di HPE StoreOnce Catalyst (implementazione distribuita) proteggerebbe i dati mission-critical isolandoli con la massima efficienza dalle linee di comunicazione tradizionali e dai set di comandi sfruttati dagli autori di ransomware.

HPE Zerto Software garantisce protezione dei dati continua (CDP) basata su journal e ripristino senza eguali per dati e applicazioni virtualizzati e containerizzati dall'edge al cloud. La piattaforma di HPE Zerto Software garantisce la flessibilità necessaria a proteggere i cloud di ogni tipo da qualsiasi punto di vista, indipendentemente dal fatto che siano privati, pubblici o cloud-native. La sua architettura a scalabilità orizzontale può proteggere petabyte di dati e migliaia di macchine virtuali. La soluzione solo software copia ogni modifica dei dati, indipendentemente dall'hardware sottostante, senza rallentare i sistemi di produzione.

La rete basata sull'AI e incentrata sulla sicurezza di HPE Aruba Networking fornisce una base comune zero trust che i team addetti alla sicurezza e alle reti possono utilizzare per potenziare le iniziative aziendali basate su IoT e intelligenza artificiale senza sacrificare la protezione della cybersicurezza. 

HPE Aruba Networking Central monitora la rete per rilevare attività dannose, attraverso le firme di intelligence sulle minacce IDS/IPS per ispezionare il traffico di rete e rilevare modelli che corrispondono alla kill chain del ransomware, generare eventi di minaccia e, se consentito dagli amministratori della sicurezza, eliminare i pacchetti di dati dannosi. Queste funzionalità forniscono un ulteriore livello di protezione che analizza attivamente la rete, fornisce segnali e agisce in base a regole sui flussi di traffico per prevenire le minacce come il ransomware in tempo reale. I webhook in HPE Aruba Networking Central possono anche essere configurati per inviare una notifica a HPE Zerto Software per un'azione preventiva.

Per contrastare gli attacchi basati su malware prima che possano propagarsi, una funzionalità sandbox all’interno di HPE Aruba Networking SSE consente alle organizzazioni di testare i file sospetti in un ambiente virtuale sicuro e di distruggere i file dannosi prima che causino danni.