Ottimo servizio
Ambrogio Corralloni | ottobre 20
Esperienza positiva
Silvio Vitale | settembre 27
ECCEZIONALE!!
Giuseppe Ciminaghi | maggio 28
Written By: Ontrack
Date Published: 24/10/23 7.10
Il ransomware è una forma di software dannoso progettato per bloccare l'accesso a un sistema informatico o per pubblicare i dati della vittima online. L'aggressore chiede un riscatto alla vittima, promettendo - non sempre in modo veritiero - di ripristinare l'accesso ai dati dietro pagamento.
Dagli anni '80, nell'ultimo decennio si è assistito a un aumento di vari Trojan ransomware, ma la vera opportunità per gli aggressori è aumentata dall'introduzione del Bitcoin. Questa criptovaluta permette agli aggressori di raccogliere facilmente denaro dalle loro vittime senza passare attraverso i canali tradizionali.
Un attacco ransomware inizia quando un software dannoso viene scaricato su un dispositivo. Esempi di dispositivi sono laptop, smartphone o computer desktop. Il software dannoso viene normalmente scaricato a causa di un errore dell'utente o di protocolli di sicurezza inadeguati.
(Spear) Mail di Phishing
Il sistema di consegna più comune per il ransomware è un'e-mail di phishing che include un allegato o un link.
Pagine Web infette e Malvertising/Adware
Gli URL infetti sono comunemente utilizzati per distribuire ransomware. Facendo clic su uno di questi link, sia attraverso un'e-mail che un sito web non verificato, è possibile attivare automaticamente il download del ransomware sul disco rigido, noto anche come “drive-by download”. Anche solo visitare il sito senza scaricare nulla può portare a un attacco ransomware.
Punti di accesso remoto (RDP)
Un numero crescente di attacchi sta ottenendo l'accesso a un'azienda che ha punti di accesso remoto aperti ed esposti, come RDP e virtual network computing (VNC). Le credenziali RDP possono essere forzate brutalmente, ottenute da fughe di password o semplicemente acquistate nei mercati clandestini. Mentre in passato i criminali del ransomware creavano un ambiente di comando e controllo per il ransomware e le chiavi di decrittazione, la maggior parte dei criminali ora si rivolge alle vittime con note di riscatto che includono un indirizzo di posta elettronica anonimo, consentendo ai malintenzionati di rimanere meglio nascosti.
Una volta che il ransomware ha infettato un sistema, si impadronisce dei processi critici del dispositivo, alla ricerca di file da crittografare; il malware stravolge tutti i dati presenti sul dispositivo o elimina i file che non riesce a crittografare. Può infettare qualsiasi dispositivo esterno collegato al computer host. Per gli attacchi più sofisticati questo è solo l'inizio di una serie di eventi, come descritto nel framework Cyber Kill Chain® di Lockheed Martin e nella base di conoscenze MITRE ATT&CK®.
Il ransomware è anche chiamato software di estorsione. I criminali informatici utilizzano diverse tattiche per ottenere denaro.
Crittografia dei dati
In molti casi, gli esperti parlano anche di trojan di crittografia, in quanto l'estorsione si basa sul fatto che i dati sono inestricabilmente codificati e inaccessibili all'utente. I criminali informatici promettono quindi di condividere con la vittima la chiave di decrittazione, solo in cambio di denaro.
Furto e esfiltrazione dei dati: leak ware o Dox ware
Un altro tipo di malware è chiamato leak ware o Dox ware. In questo caso l'aggressore minaccia di rilasciare i dati sensibili presenti sul disco rigido della vittima a meno che non venga pagato un riscatto. Spesso si tratta di e-mail e documenti di testo, ma ci sono stati anche casi di varianti mobili in cui sono stati rilasciati messaggi privati, immagini ed elenchi di contatti dai telefoni degli utenti.
Il Dox ware è riconosciuto come un malware più efficace del ransomware, in termini di ottenimento del denaro dalla vittima. Con il ransomware è possibile mantenere backup separati dei dati che non sono più accessibili, ma con il Dox ware, una volta che l'aggressore è in possesso di informazioni che la vittima non vuole siano rese pubbliche, c'è poco da fare a parte pagare.
Blocco
Si sono verificati anche casi in cui il malware visualizza un messaggio in cui si afferma che il “Windows” dell'utente è bloccato. L'utente viene quindi incoraggiato a chiamare un numero di telefono “Microsoft” e a inserire un codice a sei cifre per riattivare il sistema. Il messaggio afferma che la telefonata è gratuita, ma non è vero. Mentre chiama il falso numero “Microsoft”, l'utente accumula costi per le chiamate interurbane.
Wiper
Malware con l'unico obiettivo di distruggere in modo permanente l'accesso ai dati.
Doppia e tripla estorsione
Nel corso del tempo sono emerse nuove tattiche che combinano la crittografia dei dati con il furto di dati (doppia estorsione) e l'esecuzione di un attacco DDoS (distributed denial-of-service) (tripla estorsione).
La minaccia proviene da diversi tipi di attori con motivazioni e livelli di abilità differenti, che variano da attori dello Stato nazionale, criminali, hacktivisti, script kiddies/ricercatori di emozioni e insider. Diversi gruppi di minacce hanno sviluppato molte varianti di ransomware e ne vengono create sempre di nuove. Questi gruppi spesso si specializzano e collaborano.
Alcuni esempi di alcune famose varianti di ransomware sviluppate da questi gruppi negli ultimi anni:
2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (sometimes written “Cl0p”, Royal
2022 BlackBasta
2021 Black cat
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker
Una panoramica completa dei gruppi di minacce e delle varianti è disponibile :
Nel mondo online di oggi, la questione non è se un'organizzazione verrà attaccata, ma quando e quanto sarà preparata.
Se leggete le notizie, avrete notato che organizzazioni di diversi settori e industrie sono state vittime di attacchi ransomware. Dalla sanità alle compagnie aeree, gli aggressori non sembrano avere preferenze su chi prendere di mira, o forse sì?
Di solito un attaccante sceglie un'organizzazione da colpire in base a due fattori:
1. Opportunità
2. Potenziale guadagno finanziario
Opportunità
Se un'organizzazione ha un team di sicurezza ridotto, non dispone di risorse IT e ha una base di utenti che condividono molti file, ad esempio un'università, un aggressore può considerarla un bersaglio facile.
Potenziale guadagno finanziario
Le organizzazioni che hanno bisogno di un accesso immediato ai propri file, ad esempio studi legali o agenzie governative, potrebbero essere più propense a pagare un riscatto in tempi brevi. Le organizzazioni che dispongono di dati sensibili potrebbero anche essere disposte a pagare per non far trapelare la notizia della violazione dei dati.
Si potrebbe pensare che pagare un riscatto per ottenere l'accesso ai propri dati sia già abbastanza grave, ma questo può impallidire rispetto ai costi effettivi dei danni provocati da un attacco. Ulteriori implicazioni includono:
- Danno e distruzione (o perdita) dei dati
- Perdita di produttività
- Interruzione del normale svolgimento dell'attività dopo l'attacco
- Indagini forensi
- Ripristino e cancellazione di dati e sistemi in ostaggio
- Danno alla reputazione
- Formazione dei dipendenti in risposta agli attacchi
Se si tiene conto di quanto sopra, non c'è da stupirsi che i danni da ransomware siano destinati ad aumentare. Quando si parla con gli esperti di criminalità informatica, la maggior parte invita a non pagare i riscatti, poiché finanziare gli aggressori di ransomware non fa altro che contribuire alla creazione di altri ransomware. Ma perché le organizzazioni pagano gli aggressori?
Sebbene il rifiuto di pagare il ransomware sia suggerito per la comunità aziendale in generale, rifiutare di pagare potrebbe non essere la migliore linea d'azione per l'azienda stessa. Quando c'è la possibilità di perdere definitivamente l'accesso a dati vitali, di incorrere in multe da parte delle autorità di regolamentazione o di fallire del tutto, le opzioni per le aziende possono sembrare desolanti. La scelta tra pagare un riscatto relativamente modesto e rimanere in attività o rifiutarsi di pagare per aiutare la comunità imprenditoriale in generale è per la maggior parte dei casi un'opzione non scontata. In alcuni casi di ransomware, il riscatto richiesto è spesso fissato a un punto tale da valere la pena per l'aggressore, ma abbastanza basso da risultare spesso più economico rispetto al pagamento della vittima per ricostruire i dati perduti. A volte vengono anche offerti sconti se la vittima paga entro un certo periodo di tempo, ad esempio 3 giorni.
In quest'ottica, alcune aziende stanno accumulando riserve di Bitcoin appositamente per il pagamento dei riscatti.
Le varianti di ransomware prendono di mira diversi settori aziendali. Chi è a rischio dovrebbe prendere delle precauzioni per ridurre il rischio e gli effetti di un attacco. Uno dei piani più importanti che la vostra organizzazione dovrebbe avere è un Piano di ripristino di emergenza. Se non ne avete uno, è probabile che le conseguenze siano gravi. Molte aziende che subiscono perdite di dati e tempi di inattività di dieci o più giorni dichiarano fallimento entro 12 mesi.
Disaster Recovery Plan
A disaster recovery plan Un piano di disaster recovery descrive vari scenari per riprendere rapidamente il lavoro dopo un disastro, ad esempio un attacco ransomware. Una parte fondamentale del piano di continuità operativa di un'organizzazione dovrebbe consentire un sufficiente recupero IT e la prevenzione della perdita di dati. Un piano di disaster recovery descrive una serie di scenari per riprendere rapidamente il lavoro dopo un disastro, ad esempio un attacco ransomware. Una parte essenziale del piano di continuità operativa di un'organizzazione dovrebbe includere un piano di ripristino in caso di disastro che consenta un sufficiente recupero dell'IT e la prevenzione della perdita di dati.
Ricordate di tenere il piano aggiornato e anche alcune versioni stampate. Perché se si trova su un server o un'unità crittografata, anche il miglior piano di emergenza è inutile. Se non avete un piano di disaster recovery, potete scaricare il nostro modello gratuito qui.
Altre raccomandazioni:
Assicuratevi di avere backup aggiornati: in questo modo, se dovesse succedere qualcosa, il ripristino dei file da un backup è il modo più rapido per riavere accesso ai vostri dati.
Preparatevi a testare regolarmente i backup. Le organizzazioni devono conoscere bene ciò che è memorizzato negli archivi di backup e assicurarsi che i dati più critici siano accessibili se il ransomware dovesse colpire i backup.
Effettuare la formazione degli utenti per garantire che tutti i dipendenti siano in grado di individuare un potenziale attacco. Assicuratevi che i dipendenti siano a conoscenza delle migliori pratiche per evitare di scaricare accidentalmente ransomware o di aprire la rete a estranei.
Implementare le politiche di sicurezza. Utilizzate i più recenti software antivirus, antimalware e di rilevamento degli endpoint e monitorateli costantemente per prevenire le infezioni.
Assicuratevi di avere una scansione e un filtraggio dei contenuti sui vostri server di posta. Esaminate tutte le e-mail in entrata alla ricerca di minacce note e bloccate qualsiasi tipo di allegato che possa costituire una minaccia.
Sviluppare politiche IT che limitino le infezioni su altre risorse di rete. Le aziende devono mettere in atto misure di salvaguardia, in modo che se un dispositivo viene infettato dal ransomware, questo non si diffonda in tutta la rete.
Assicuratevi le risorse dei team di specialisti di incidenti e degli specialisti di recupero dati di Ontrack in tempi tranquilli con accordi di servizio Master per le emergenze.
La comunicazione è fondamentale durante le crisi. Creare indirizzi e-mail da utilizzare in caso di emergenza (per i decisori più importanti) che siano separati dall'ambiente aziendale, ad esempio con un provider di e-mail cloud gratuito come gmx, yahoo ecc. Inseriteli, compresi i dati di accesso, nel piano di emergenza. Anche un gruppo whatsapp aziendale si è rivelato utile per le aziende colpite. Anche un server di condivisione file esterno è utile. Questo accelera e facilita la comunicazione dopo un incidente.
Ridurre l'esposizione al rischio informatico: gestire il ciclo di vita dei dati
La gestione dei dati durante il loro ciclo di vita spesso non viene presa in considerazione da molte organizzazioni. Ma senza una strategia per il ciclo di vita dei dati, un'organizzazione si espone a gravi rischi e costi di sicurezza. Oggi il costo di una protezione inefficace dei dati ha un prezzo “troppo alto”.
Le organizzazioni non devono temere solo gli attacchi ransomware, ma anche le violazioni dei dati, i danni alla reputazione, la perdita di clienti, i tempi di inattività e le multe salate sono tutti rischi potenziali per un'organizzazione che non gestisce in modo efficace il ciclo di vita dei propri dati. Le organizzazioni che si prendono il tempo di investire gli sforzi e le risorse necessarie nella gestione del ciclo di vita dei dati possono ridurre al minimo i rischi e i costi dei loro dati critici per l'azienda in tutte le fasi.
Noi di Ontrack tracciamo e studiamo costantemente i diversi tipi di ransomware. I ransomware cambiano e si sviluppano continuamente, quindi vogliamo assicurarci di osservare e studiare gli ultimi cambiamenti e progressi. Lo studio del ransomware e delle sue forme in continua evoluzione fornisce ulteriori conoscenze ed esperienze, con una maggiore probabilità di recuperare i dati persi a seguito di un attacco. Quando si tratta di dati inaccessibili, è sempre meglio rivolgersi a un esperto. Se vi trovate sotto attacco da parte di un ransomware, contattate un esperto come Ontrack per aiutarvi ad accedere ai vostri dati.
Di seguito sono riportati alcuni esempi di casi di recupero dati da ransomware che abbiamo portato a termine con successo.
Visita la pagina Recupero Ransomware
Italia | Italiano
Locations
Cerca
Torna all'elenco