Aggiornamenti recenti Settembre 18th, 2024 10:52 AM
Mar 10, 2022 Trend Micro Approfondimenti, Attacchi, Ransomware: La serie 0
Il ransomware è una tipologia d’attacco di cui sentiamo parlare sempre più spesso ultimamente. I criminali criptano e quindi rendono illeggibili i dati salvati nei computer della vittima per poi richiedere un riscatto in cambio delle chiavi che servono a far tornare leggibili i dati.
Spesso, però, prima di criptare i dati, i criminali ne fanno una copia che scaricano sui loro computer. Questa copia serve da minaccia aggiuntiva.
In caso la vittima non voglia pagare per riavere i dati, i criminali minacciano di pubblicarli, causando un grave danno di immagine presso i suoi clienti. Sempre più aziende in tutto il mondo cadono vittime di questi attacchi e le richieste economiche, oltre ad altri danni a essi legati, sono molto onerose.
Dato che l’attacco blocca l’accesso ai dati dell’azienda per interromperne l’operatività, viene da pensare che basterebbe avere un backup per evitare di pagare il riscatto, ma nella realtà dei fatti non è così semplice.
Gastone Nencini, Country Manager di Trend Micro Italia, commenta: “Il backup è l’elemento fondamentale per cercare di recuperare i dati in quei casi in cui l’attacco abbia devastato l’infrastruttura a livello tale da rendere impossibile ogni ripristino, ma deve esser gestito in maniera corretta. Un backup online 24 ore su 24 all’interno di una rete, per esempio, è assolutamente vulnerabile a un attacco ransomware. Il malware, infatti, una volta installatosi all’interno della rete inizia a distribuirsi e se nel corso di questo processo trova la macchina di backup o il sistema di backup, anch’essi vengono criptati”.
Negli attacchi più sofisticati, la ricerca dei backup è mirata: i criminali vanno ad analizzare l’infrastruttura di rete per capire se i backup sono online e come poterli compromettere.
Risulta quindi importante difendere anche i backup da questo tipo di attacco tramite procedure e software adatti a gestire la situazione. Per farlo è importante anche capire come i ransomware arrivino a colpire le aziende.
Alex Galimi, Sales Engineer di Trend Micro Italia, ci spiega che “i canali che vengono utilizzati per veicolare il ransomware sono molteplici e tra i più diffusi possiamo sicuramente citare la posta elettronica, che viene usata per inviare un primo malware che diventa ransomware solo in un secondo momento.”
“Di vettori” – continua Galimi – “ce ne sono però molti altri, tra cui possiamo citare le vulnerabilità ancora sconosciute di sistemi operativi o applicativi esposti su Internet di dispositivo connessi a periferiche esterne. In linea generale qualsiasi momento in cui ci sia un punto di contatto tra il dispositivo e il resto dell’infrastruttura è un potenziale rischio”.
Una volta che questa tipologia di attacco, che può arrivare sia dall’interno sia dall’esterno dell’azienda, ha colpito, bisogna decidere se conviene pagare il riscatto che viene chiesto o se sia meglio agire in altro modo.
“Pagare il riscatto non porta garanzie e non porta a nessun tipo di vantaggio perché abbiamo visto nel corso degli anni che, nonostante i gruppi e le organizzazioni criminali citino dei codici etici, non mancano i casi in cui i dati non vengono restituiti” – prosegue Alex Galimi.
“I rischi sono veramente molti, tra cui quello di non recuperare i dati e che gli strumenti forniti non siano effettivamente di aiuto per ripristinare la situazione.
Uno dei fattori più critici è inoltre il fatto che l’organizzazione criminale può lasciare all’interno della nostra infrastruttura delle porzioni di malware, delle backdoor, che gli saranno utili in futuro per lanciare nuovi attacchi oppure per rivendere le informazioni al mercato nero e quindi lucrare ulteriormente su questa situazione”.
Nel rispondere a una richiesta di riscatto bisogna prima di tutto ricordarsi che si ha a che fare con dei criminali, quindi non è detto che rispetteranno l’accordo: possono semplicemente prendere il denaro e sparire nel nulla lasciando la vittima senza le chiavi di decriptazione.
Rimane poi, in ogni caso, il problema di proteggere l’infrastruttura. È necessario capire come i cybercriminali si sono fatti largo tra le difese informatiche per evitare che altri seguano la stessa strada o che gli stessi si ripresentino a distanza di mesi. Per fortuna, le tecnologie per proteggere l’azienda ed evitare di arrivare a subire un attacco ransomware non mancano: basta implementarle nel modo corretto.
“Le soluzioni di protezione aiutano a proteggere e a bloccare oggetti o minacce informatiche tradizionali. Un attacco di questo tipo, che spesso viene studiato e viene architettato ad hoc per le organizzazioni, richiede l’impiego di tecnologie che garantiscano visibilità e controllo. Quindi parliamo di tecnologie XDR per la rilevazione e la risposta a un attacco informatico avanzato che, per sua natura, si muove trasversalmente all’interno dell’infrastruttura. Non colpisce quindi l’end-point o il server ma tutta l’organizzazione, muovendosi lateralmente.
Con XDR si ha la possibilità di poter rintracciare e recuperare tutte le attività svolte dalle controparti malevole e poi andare ad orchestrare la risposta all’incidente da un’unica piattaforma” – conclude Alex Galimi.
Lug 19, 2024 0
Giu 21, 2024 0
Giu 10, 2024 0
Apr 23, 2024 0
Set 18, 2024 0
Set 13, 2024 0
Set 06, 2024 0
Set 05, 2024 0
Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Set 05, 2024 0
Cresce il numero di minacce informatiche contro il settore...Set 05, 2024 0
Gli attacchi di furto di account (account takeover) sono...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...