I ransomware sono fra gli incubi peggiori di piccole e grandi aziende. Non fanno distinzioni e colpiscono senza pietà alla prima disattenzione.
Incubo per gli amministratori di sistema e paura recondita degli utenti, i ransomware sono in continua evoluzione, sia da un punto di vista tecnologico che per le tecniche impiegate per la loro diffusione.
Tutto ciò è chiaramente sintomo dei continui investimenti effettuati dai cyber criminali in questo ambito, nonché della ovvia redditività che li giustifica.
Cosa sono i ransomware e come funzionano?
I ransomware non sono una tipologia di malware particolarmente recente. Il trojan AIDS, noto anche come PC Cyborg, ne fu infatti il capostipite nel lontano 1989. Creato dal biologo Joseph Popp, veniva introdotto nei sistemi tramite l’utilizzo di un floppy disk chiamato AIDS Information Introductory Diskette, inviato per posta alle potenziali vittime.
Il malware andava a sovrascrivere AUTOEXEC.BAT, che veniva quindi utilizzato per tenere traccia del numero di reboot del computer. Una volta che tale numero avesse raggiunto 90, AIDS procedeva a rendere il sistema inutilizzabile cifrando tutti i nomi dei file presenti su C:.
Il malware procedeva infine alla richiesta di riscatto, proponendo un rinnovo di licenza e richiedendo di contattare PC Cyborg Corporation per il pagamento di $189 presso un post office box a Panama.
Se pensiamo ai ransomware moderni, non possiamo che ricordare Cryptolocker. Comparso nel tardo 2013, era in grado di infettare sistemi Windows, cifrando tutti i dati presenti sull’elaboratore, con lo scopo di chiedere un riscatto per la decifratura.
Ciò che accomuna i ransomware è tuttavia il fatto che la diffusione ed il successo degli stessi dipenda da azioni compiute dagli utenti. Dal floppy inviato per posta nel 1989 sino all’allegato inviato per email nel 2021.
Cryptolocker si diffonde tramite email, sfruttando le tipiche tecniche di spoofing: un messaggio di posta elettronica che pare essere lecito, un allegato, un file exe mascherato da PDF o un file contenente macro, un utente che apre l’allegato e attiva le suddette macro, l’infezione che inizia.
Il cardine e punto focale di questa tipologia di attacchi è che la vittima deve essere attiva e deve compiere un errore: il ransomware non è generalmente in grado di infettare autonomamente il sistema senza un’interazione da parte dell’utente.
Nel 1989 all’utente era richiesto di inserire un floppy, un device fisico all’interno del proprio elaboratore e di eseguirne i contenuti. Nel 2021 all’utente viene invece richiesto di aprire un file. Ciò che conta è che, comunque, nella maggior parte dei casi è sempre richiesta un’interazione umana perché l’attacco abbia successo.
Qual è la situazione degli attacchi ransomware oggi?
Nel corso del 2021 si è assistito nuovamente ad un incremento del numero complessivo delle varianti di ransomware e dei metodi di distribuzione, che sono divenuti più ordinati e metodici.
I trend indicano tuttavia come gli attacchi perpetrati tramite ransomware siano in continua diminuzione. Ciò non deve essere letto come un dato positivo, in quanto, come indicato anche da Proofpoint nel whitepaper “The 2021 Ransomware Survival Guide”, gli attacchi sono più mirati, portano più profitto agli attaccanti e causano un maggiore danno economico alle vittime.
L’Europol afferma inoltre che fino a quando i ransomware saranno in grado di dare ai cyber criminali un facile reddito, essi saranno sempre tra i principali metodi di attacco utilizzati.
Perché quindi, nonostante siano trascorsi molti anni dalla nascita dei ransomware, questi sono ancora così diffusi?
Le principali ragioni sono le seguenti:
- i cyber criminali possono utilizzare canali anonimi (i.e. valuta digitale) per ricevere il pagamento del riscatto richiesto alle vittime
- gli attaccanti hanno numerosi metodi di distribuzione, inclusa la compromissione degli ambienti aziendali
- un ampio pool di target fa molto affidamento sull’IT, ma dispone di difese deboli o obsolete e politiche di backup non adeguate
- gli attaccanti sono migliorati nella scelta dei target e nella predisposizione delle proprie tattiche
Proofpoint afferma che la maggior parte delle aziende non è preparata per un attacco ransomware. Sebbene il 66% degli intervistati in un sondaggio Ponemon sia d’accordo che la minaccia posta dai ransomware sia “molto grave”, solo il 13% è convinto che la propria azienda possa prevenirlo.
Il ransomware compromette sistemi e dati, ma gli attacchi prendono di mira le persone, come la maggior parte degli attacchi informatici. Ecco perché la lotta al ransomware richiede un approccio incentrato sulle persone.
Come possiamo proteggre le reti?
Sebbene non sia ovviamente possibile fornire la ricetta per la soluzione di tutti i problemi, alcuni accorgimenti possono limitare l’impatto di un eventuale attacco ransomware.
Proofpoint ci indica alcune fasi in cui possiamo intervenire:
- prima dell’attacco:
- mettere in campo politiche efficaci di backup e restore
- applicare patch e update
- mettere in campo programmi di awareness continuativi per gli utenti
- investire in soluzioni che mettano le persone al centro e siano in grado di mantenere i livelli di sicurezza elevati anche quando gli utenti compiono errori
- durante l’attacco:
- contattare immediatamente le forze dell’ordine
- disconnettere dalla rete gli elaboratori compromessi
- avere un piano di risposta pronto
- non fare affidamento sui tool di decifratura ransomware
- ripristinare dai propri backup
- dopo l’attacco:
- ripulire l’ambiente colpito, verificando con attenzione la presenza di minacce nascoste
- effettuare una review degli eventi e valutare la propria preparazione in vista del successivo attacco
- verificare l’awareness degli utenti
- rinforzare le proprie difese con soluzioni che vadano a colmare i gap sfruttati per la compromissione
Proofpoint viene in nostro aiuto termite Proofpoint Security Awareness Training.
I ransomware richiedono una qualche forma di interazione da parte dell’utente. Assicurarsi che gli utenti sappiano come reagire di fronte a una minaccia reale, preparandoli con una formazione mirata, è un primo passo fondamentale per proteggersi.
L’approccio unico di Proofpoint, incentrato sulle persone, riduce il successo degli attacchi di phishing e delle infezioni di malware fino al 90%.
Infatti, la soluzione Proofpoint permette di:
- Identificare i rischi a cui l’azienda è esposta
- Cambiare i comportamenti scorretti degli utenti, sensibilizzando alla security
- Ridurre l’esposizione ai rischi
- Si integra con i piani di business intelligence
Per maggiori informazioni su come proteggere la vostra organizzazione da attacchi ransomware potete scrivere a sales@aditinet.it.