Aggiornamenti recenti Dicembre 12th, 2024 4:12 PM
Mar 10, 2022 Trend Micro Approfondimenti, Attacchi, Ransomware: La serie 0
Il ransomware è una tipologia d’attacco di cui sentiamo parlare sempre più spesso ultimamente. I criminali criptano e quindi rendono illeggibili i dati salvati nei computer della vittima per poi richiedere un riscatto in cambio delle chiavi che servono a far tornare leggibili i dati.
Spesso, però, prima di criptare i dati, i criminali ne fanno una copia che scaricano sui loro computer. Questa copia serve da minaccia aggiuntiva.
In caso la vittima non voglia pagare per riavere i dati, i criminali minacciano di pubblicarli, causando un grave danno di immagine presso i suoi clienti. Sempre più aziende in tutto il mondo cadono vittime di questi attacchi e le richieste economiche, oltre ad altri danni a essi legati, sono molto onerose.
Dato che l’attacco blocca l’accesso ai dati dell’azienda per interromperne l’operatività, viene da pensare che basterebbe avere un backup per evitare di pagare il riscatto, ma nella realtà dei fatti non è così semplice.
Gastone Nencini, Country Manager di Trend Micro Italia, commenta: “Il backup è l’elemento fondamentale per cercare di recuperare i dati in quei casi in cui l’attacco abbia devastato l’infrastruttura a livello tale da rendere impossibile ogni ripristino, ma deve esser gestito in maniera corretta. Un backup online 24 ore su 24 all’interno di una rete, per esempio, è assolutamente vulnerabile a un attacco ransomware. Il malware, infatti, una volta installatosi all’interno della rete inizia a distribuirsi e se nel corso di questo processo trova la macchina di backup o il sistema di backup, anch’essi vengono criptati”.
Negli attacchi più sofisticati, la ricerca dei backup è mirata: i criminali vanno ad analizzare l’infrastruttura di rete per capire se i backup sono online e come poterli compromettere.
Risulta quindi importante difendere anche i backup da questo tipo di attacco tramite procedure e software adatti a gestire la situazione. Per farlo è importante anche capire come i ransomware arrivino a colpire le aziende.
Alex Galimi, Sales Engineer di Trend Micro Italia, ci spiega che “i canali che vengono utilizzati per veicolare il ransomware sono molteplici e tra i più diffusi possiamo sicuramente citare la posta elettronica, che viene usata per inviare un primo malware che diventa ransomware solo in un secondo momento.”
“Di vettori” – continua Galimi – “ce ne sono però molti altri, tra cui possiamo citare le vulnerabilità ancora sconosciute di sistemi operativi o applicativi esposti su Internet di dispositivo connessi a periferiche esterne. In linea generale qualsiasi momento in cui ci sia un punto di contatto tra il dispositivo e il resto dell’infrastruttura è un potenziale rischio”.
Una volta che questa tipologia di attacco, che può arrivare sia dall’interno sia dall’esterno dell’azienda, ha colpito, bisogna decidere se conviene pagare il riscatto che viene chiesto o se sia meglio agire in altro modo.
“Pagare il riscatto non porta garanzie e non porta a nessun tipo di vantaggio perché abbiamo visto nel corso degli anni che, nonostante i gruppi e le organizzazioni criminali citino dei codici etici, non mancano i casi in cui i dati non vengono restituiti” – prosegue Alex Galimi.
“I rischi sono veramente molti, tra cui quello di non recuperare i dati e che gli strumenti forniti non siano effettivamente di aiuto per ripristinare la situazione.
Uno dei fattori più critici è inoltre il fatto che l’organizzazione criminale può lasciare all’interno della nostra infrastruttura delle porzioni di malware, delle backdoor, che gli saranno utili in futuro per lanciare nuovi attacchi oppure per rivendere le informazioni al mercato nero e quindi lucrare ulteriormente su questa situazione”.
Nel rispondere a una richiesta di riscatto bisogna prima di tutto ricordarsi che si ha a che fare con dei criminali, quindi non è detto che rispetteranno l’accordo: possono semplicemente prendere il denaro e sparire nel nulla lasciando la vittima senza le chiavi di decriptazione.
Rimane poi, in ogni caso, il problema di proteggere l’infrastruttura. È necessario capire come i cybercriminali si sono fatti largo tra le difese informatiche per evitare che altri seguano la stessa strada o che gli stessi si ripresentino a distanza di mesi. Per fortuna, le tecnologie per proteggere l’azienda ed evitare di arrivare a subire un attacco ransomware non mancano: basta implementarle nel modo corretto.
“Le soluzioni di protezione aiutano a proteggere e a bloccare oggetti o minacce informatiche tradizionali. Un attacco di questo tipo, che spesso viene studiato e viene architettato ad hoc per le organizzazioni, richiede l’impiego di tecnologie che garantiscano visibilità e controllo. Quindi parliamo di tecnologie XDR per la rilevazione e la risposta a un attacco informatico avanzato che, per sua natura, si muove trasversalmente all’interno dell’infrastruttura. Non colpisce quindi l’end-point o il server ma tutta l’organizzazione, muovendosi lateralmente.
Con XDR si ha la possibilità di poter rintracciare e recuperare tutte le attività svolte dalle controparti malevole e poi andare ad orchestrare la risposta all’incidente da un’unica piattaforma” – conclude Alex Galimi.
Ott 22, 2024 0
Ott 07, 2024 0
Lug 19, 2024 0
Giu 21, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 06, 2024 0
Dic 05, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 12, 2024 0
Il team di sicurezza di Oasis ha scoperto una...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...