Che cos'è il ransomware?

Il ransomware è un tipo di malware che trattiene i dati degli utenti per ottenere un riscatto, bloccando l'accesso o minacciando di pubblicare i dati se non vengono soddisfatte le richieste.

Con la crescita delle nostre interazioni e della nostra dipendenza dai sistemi digitali, cresce anche il valore dei nostri dati sensibili. E mentre alcuni criminali informatici sono più interessati a rubare i dati per venderli o usarli per scopi personali, altri si accontentano di tenerli in ostaggio. Quando un attore di minaccia esterno prende il controllo del sistema, dei dati, delle applicazioni ecc. di un utente e poi tenta di ricattarlo affinché paghi per riprendere il controllo, si parla di attacco ransomware.

Purtroppo, questo tipo di crimine informatico è fin troppo comune: solo nel 2020, l'Internet Crime Complaint Center dell'FBI ha ricevuto quasi 2.500 segnalazioni di attacchi ransomware, con perdite rettificate pari a oltre 29,1 milioni di dollari. E il rischio continua a crescere: le segnalazioni di ransomware a livello globale sono aumentate di oltre il 700% nel periodo 2019-2020. In effetti, nel maggio del 2021, in risposta a questo crescente pericolo per i cittadini, le aziende e i dipartimenti governativi americani, il presidente Biden ha emesso un ordine esecutivo (Improving the Nation's Cybersecurity), che contiene dettagli, politiche federali e best practice per offrire una maggiore protezione dai pericoli del ransomware.

Purtroppo, proteggere un'organizzazione dalla crescente minaccia del ransomware non è sempre semplice. Gli attacchi di questo tipo stanno diventando sempre più sofisticati e non si limitano a colpire i dati di superficie. Al contrario, i nuovi ransomware sono progettati per acquisire e trattenere i dati di backup e persino prendere il controllo delle funzioni di amministrazione di alto livello. Questi attacchi sono spesso realizzati come singolo componente di una strategia più ampia, con l'obiettivo di compromettere completamente i sistemi critici.

Allo stesso modo, gli attori di minaccia stessi degli attacchi stanno diventando più sofisticati: non sono dei singoli criminali informatici che operano con risorse limitate, ma sono piuttosto gruppi organizzati e ben finanziati, team di spionaggio industriale sostenuti da aziende e persino agenzie governative straniere ostili.

Data l'ubiquità e la diversità di questi attacchi informatici, le aziende di tutto il mondo rischiano seriamente di diventare vittime di questo racket delle estorsioni dell'era digitale.

Come qualsiasi altro malware, il ransomware può entrare nella rete in diversi modi, ad esempio attraverso un allegato di un'e-mail di spam, utilizzando credenziali rubate, tramite un collegamento Internet non sicuro, attraverso un sito Web compromesso o persino nascosto come parte di un pacchetto software scaricabile. Alcune forme di ransomware utilizzano strumenti incorporati di social engineering per cercare di ingannare l'utente e indurlo a concedere l'accesso amministrativo, mentre altre tentano di aggirare completamente l'autorizzazione sfruttando le falle di sicurezza esistenti.

Una volta all'interno della rete, il software si installa, eseguendo una serie di comandi in background. Spesso si tratta di violare gli account amministrativi critici che controllano i sistemi, come le console di amministrazione di backup, Active Directory (AD), Domain Name System (DNS) e archiviazione. Il malware attacca quindi la console di amministrazione di backup, consentendo all'aggressore di disattivare o modificare i processi di backup, cambiare i criteri di archiviazione e individuare più facilmente i dati sensibili che potrebbero essere presi in ostaggio.

In genere, a questo punto, il malware inizia a criptare alcuni o tutti i file. Una volta che i file sono stati protetti contro l'accesso, il malware informa l'utente che i suoi dati sono tenuti in ostaggio per un riscatto e che dovrà soddisfare le richieste per riottenere l'accesso. In altri tipi di malware (spesso chiamati leakware), l'aggressore può minacciare di rendere pubblici alcuni tipi di dati sensibili se non viene pagato il riscatto. Spesso i dati non vengono solo crittografati, ma anche copiati e rubati per essere utilizzati in future attività criminali.

Come già accennato, l'uso del ransomware negli attacchi informatici è in aumento. Questa esponenziale escalation può essere attribuita a una serie di fattori diversi:

Maggiore disponibilità

Sono lontani i tempi in cui i criminali informatici dovevano possedere le conoscenze tecniche necessarie per creare i propri programmi malware. Oggi i mercati online di ransomware vendono kit, programmi e ceppi di malware, consentendo a qualsiasi potenziale criminale di accedere facilmente alle risorse necessarie per iniziare a operare.

Accessibilità multipiattaforma

Un tempo gli autori di ransomware erano limitati in termini di piattaforma da colpire e dovevano creare versioni specifiche per ogni piattaforma aggiuntiva. Oggi, gli interpreti generici (programmi in grado di tradurre rapidamente il codice da un linguaggio di programmazione a un altro) consentono ai ransomware di essere affidabili su qualsiasi tipo di piattaforma.

Miglioramento delle tecniche

Le nuove tecniche non solo facilitano l'introduzione di malware nei sistemi, ma consentono anche di fare più danni una volta entrati. Ad esempio, i moderni programmi di ransomware possono essere in grado di criptare l'intero disco, piuttosto che singoli file, bloccando di fatto l'accesso al sistema.

Purtroppo non esiste un unico approccio alla sicurezza di rete che protegga completamente l'organizzazione da ogni tipo di attacco ransomware. Al contrario, le strategie anti-ransomware più efficaci consistono nel tenere pienamente conto dell'infrastruttura IT esistente e delle sue eventuali falle, nello stabilire solide procedure di backup e di autenticazione e nel promuovere un cambiamento culturale all'interno dell'organizzazione finalizzato a una maggiore consapevolezza della sicurezza.

Per iniziare, considera i seguenti passi:

Come le aziende possono difendersi dal ransomware

Utilizzare metodi efficaci di backup dei dati

È necessario eliminare i semplici protocolli di condivisione di rete durante il backup dei dati e implementare funzioni di sicurezza valide per proteggere i dati di backup e le console di amministrazione dagli attacchi. In questo modo si potrà garantire la disponibilità di copie di dati non corrotti da utilizzare all'occorrenza.

Impiegare un software di sicurezza aggiornato

Quando viene identificato un nuovo malware, i fornitori di software di sicurezza e altri fornitori aggiornano i loro prodotti e sistemi per contrastare questi attacchi. Purtroppo, a volte le organizzazioni non adottano le ultime patch di sicurezza, diventando pertanto vulnerabili alle minacce conosciute. Occorre dunque controllare regolarmente la presenza di nuovi aggiornamenti e installarli non appena sono disponibili.

Navigare in sicurezza

Bisogna creare e distribuire in tutta l'organizzazione politiche Internet che descrivano nel dettaglio le best practice e le misure di sicurezza che i dipendenti devono seguire quando sono online. Ad esempio, non permettere mai ai dipendenti di svolgere attività aziendali o di accedere a sistemi sensibili mentre si trovano in una rete Wi-Fi pubblica. Provvedi a formare tutto il personale interessato su queste politiche e a definire piani di risposta da seguire in caso di esposizione a malware.

Installare la multifactor authentication

È opportuno proteggere gli account amministrativi da accessi e controlli non autorizzati utilizzando l'autenticazione a due (o più) fattori e configurando gli account in modo che forniscano solo i privilegi di sistema minimi necessari per impostazione predefinita.

Creare un ambiente di ripristino isolato

In primo luogo, inserire il recupero da ransomware nella strategia generale di ripristino in caso di disastro. Creare, quindi, un ambiente di ripristino isolato (IRE): un centro dati separato e chiuso in cui le copie dei dati possono essere tenute al sicuro dall'accesso esterno. Infine includere l'IRE in tutti i test di ripristino in caso di disastro.

Informarsi

La conoscenza e la consapevolezza sono alcune delle armi più efficaci dell'arsenale anti-ransomware: è necessario tenerle sempre aggiornate seguendo i professionisti e gli esperti di sicurezza sui social media, controllando regolarmente le sezioni di consulenza sui rischi e i siti di consulenza e aggiornandosi sulle notizie rilevanti.

Se si è vittima di un attacco ransomware, non bisogna cedere alle richieste dei criminali. In caso contrario, l'utente e la sua organizzazione verranno identificati come vittime consenzienti, che incoraggiano i criminali a continuare a prenderli di mira. Nella maggior parte dei casi, le aziende che pagano per riavere i propri dati o file non ricevono mai una chiave di crittografia funzionante. Al contrario, gli aggressori continuano ad aumentare le loro richieste finché l'azienda colpita non smette di pagare. Inoltre, pagando i ricattatori, si finanzia la loro attività criminale e si espongono altre organizzazioni o individui allo stesso rischio.

Se ti accorgi di essere vittima di un ransomware, agisci rapidamente seguendo questi passaggi:

Isolare i dispositivi o i sistemi infetti

Il ransomware entra in una rete infettando un singolo dispositivo o sistema, ma questo non significa necessariamente che rimanga in quel punto. Il ransomware può, infatti, diffondersi facilmente attraverso la rete. Pertanto, la prima cosa da fare quando si scopre un ransomware è scollegare il sistema infetto e isolarlo dal resto della rete. Se si riesce a farlo abbastanza rapidamente, è possibile che si riesca a contenere il malware in un'unica posizione, semplificando il resto del lavoro.

Rimuovere dalla rete i dispositivi o i sistemi sospetti

Proprio come i vigili del fuoco rimuovono le sterpaglie e gli alberi dal percorso di un incendio incontrollato, è necessario prendere dei provvedimenti per fermare un'eventuale diffusione del ransomware scollegando e isolando qualsiasi altro sistema che potrebbe essere stato esposto al rischio di infezione, tra cui tutti i dispositivi che sembrano comportarsi in modo anomalo, compresi quelli che non vengono utilizzati localmente. Per ostacolare ulteriormente la diffusione, disattiva tutte le opzioni di connettività wireless.

Valutare i danni

Dopo aver isolato i file sospetti dalla rete, è necessario valutare l'entità del danno. Determina quali sistemi sono stati effettivamente colpiti, cercando i file crittografati di recente (spesso con nomi di estensioni strane). Osserva attentamente le condivisioni crittografate in ogni dispositivo: se un dispositivo ha più condivisioni degli altri, potrebbe essere il punto di ingresso originale del ransomware nella rete. Spegni questi sistemi e dispositivi e crea un elenco completo di tutti gli elementi che potrebbero essere stati colpiti (compresi dischi rigidi esterni, dispositivi di archiviazione di rete, sistemi basati su cloud, desktop, laptop, dispositivi mobili e altri apparecchi in grado di eseguire o trasmettere il ransomware).

Individuare la fonte

Come menzionato nel punto precedente, controllare se i dispositivi colpiti presentano un numero elevato di azioni di crittografia può aiutare a individuare il "paziente zero". Altri metodi per individuare la fonte del ransomware includono la verifica di eventuali notifiche antivirus che precedono direttamente l'infezione e l'analisi di azioni sospette dell'utente (come fare clic su un link sconosciuto o aprire un'e-mail di spam). Una volta individuata la fonte, la bonifica diventa molto più semplice.

Identificare il ransomware

Contrastare efficacemente un attacco ransomware dipende spesso dalla capacità di identificare esattamente la varietà di ransomware in questione. Esistono diversi modi per identificare il ransomware. La nota inclusa nell'attacco (quella con cui si chiede di inviare denaro per sbloccare i file) può effettivamente identificare direttamente il ransomware. Si può anche cercare l'indirizzo e-mail associato alla nota per scoprire il tipo di ransomware utilizzato da questo particolare attore dell'attacco e i passi che altre organizzazioni hanno intrapreso dopo essere state infettate. Infine, in rete sono disponibili siti e strumenti che aiutano a identificare i tipi di ransomware, ma prima di sceglierne uno è necessario fare una ricerca approfondita; in caso contrario si rischia di scaricare uno strumento inaffidabile e di conseguenza introdurre altro malware nel sistema già compromesso.

Contattare le forze dell'ordine

Una volta bloccato il ransomware, l'utente deve contattare le forze dell'ordine. In molti casi, questo approccio è molto più che un semplice protocollo: secondo i termini di alcune leggi sulla privacy dei dati, l'utente può essere obbligato a presentare un rapporto entro un periodo di tempo prestabilito per qualsiasi violazione dei dati subita dalla sua azienda e il mancato rispetto di questo obbligo potrebbe comportare multe o altre sanzioni. Ma anche se non ha l'obbligo legale di contattare le forze dell'ordine, farlo dovrebbe essere una priorità assoluta. Innanzitutto, le agenzie che si occupano di criminalità informatica hanno probabilmente accesso a un'autorità, a risorse e a un'esperienza più adeguate a risolvere questo tipo di problemi e possono aiutare l'azienda a ritornare più rapidamente alla normalità.

Esaminare i dati di backup

Una volta "spento l'incendio", è il momento di iniziare a riparare i sistemi. Idealmente, se si dispone di dati di backup non corrotti, si dovrebbe essere in grado di ripristinarli facilmente. Verifica attentamente che tutti i dispositivi siano privi di ransomware e altre forme di malware, quindi ripristina i dati. Tieni presente che i moderni attacchi ransomware spesso prendono di mira i backup dei dati, pertanto è necessario accertarsi che i dati siano integri prima di ripristinarli.

Cercare opzioni di decrittazione

Se non si dispone di un backup dei dati o se i dati stessi sono stati danneggiati, l'opzione migliore è quella di cercare una soluzione di decrittazione. Come accennato in precedenza, facendo qualche ricerca è possibile trovare online una chiave di decrittazione che consenta di ripristinare l'accesso e il controllo.

Ricostruire

Sia che si ripristinino i dispositivi, che si trovi una soluzione di decrittazione o che si accetti semplicemente che i dati sensibili siano andati perduti per sempre, il passo finale sarà sempre lo stesso: ricostruire e ripartire. Ma tornare ai livelli di produttività precedenti all'attacco può essere un processo costoso e lungo anche nel migliore dei casi. Tuttavia, è importante assicurarsi di aver acquisito una migliore comprensione delle minacce che incombono sulla propria organizzazione e un'idea più chiara di come difendersi da esse.

Nella difesa e nella risposta agli attacchi ransomware, il tempo può essere la risorsa più preziosa. ServiceNow, leader nella gestione dell'IT e nell'automazione dei workflow, consente di ottimizzare il tempo a disposizione, con funzionalità di controllo e monitoraggio chiare e centralizzate. Con ServiceNow è possibile eliminare le falle di sicurezza prima che possano essere sfruttate, identificare le attività di rete sospette, reagire alle violazioni tempestivamente e rimediare più rapidamente agli attacchi ransomware e di altro tipo con soluzioni di risposta di sicurezza automatizzate.

Proteggi la tua organizzazione dal ransomware e da altri elementi di attacco con il monitoraggio continuo di una risposta automatizzata. Per saperne di più sul ransomware, scopri come ServiceNow può aiutare la tua azienda a gestire le situazioni impreviste.

Inizia a usare ServiceNow Governance, Risk, and Compliance

Gestisci il rischio e la resilienza in tempo reale con ServiceNow.

Contatti
Demo