Scarica LastPass Freedownload
Blog
Ultime novità
Blog
Ultime novità
Novità del settore
LastPass per amministratori
LastPass Labs
Aggiornamenti sul prodotto
Trucchi e suggerimenti
bg
Suggerimenti sulla sicurezza

Il ransomware: cos’è? Introduzione per professionisti

LastPassJune 20, 2024
Il ransomware: cos’è? Introduzione per professionisti

Ransomware

È una routine che ormai dai per scontata: prendi il tuo smartphone per controllare le e-mail o aprire una delle tue app di lavoro. Questa volta, però, ti si presenta un messaggio inaspettato: i tuoi dati e l’accesso al tuo dispositivo sono tenuti in ostaggio. Puoi pagare il riscatto o rischiare le conseguenze.

Eccoti nel mondo dei ransomware: una forma di attacco informatico che può colpire indistintamente singole persone e intere organizzazioni.

Il ransomware: cos’è?

Se non hai ancora subito un ransomware, il rischio è sempre presente, soprattutto in quanto molti di noi usano dispositivi mobili sia per scopi personali che professionali.

Definizione e spiegazione di ransomware

Che cos’è un ransomware e perché è pericoloso? Come altre forme di software dannosi (o malware), l’attacco ha inizio penetrando le difese di sicurezza del dispositivo e della rete.

Al posto di rubare semplicemente i dati, tuttavia, i responsabili dell’attacco criptano i file e ti impediscono di usare il dispositivo.

Gli hacker chiedono quindi un riscatto in cambio del ripristino dell’accesso al dispositivo e la decrittografia dei file. Altrimenti, potrebbero minacciarti di rubare, far trapelare o persino eliminare i dati.

Solitamente, il messaggio descrive come pagare il riscatto, ad esempio un account e-mail anonimo, e se dev’essere in una criptovaluta come i Bitcoin o in qualche altra forma.

Su scala mondiale, circa 4.399 attacchi ransomware sono stati segnalati nel 2023, con pagamenti per la prima volta superiori a un miliardo.

Tipi più comuni di ransomware

La difesa da questi attacchi inizia comprendendo che possono avere molte forme diverse. Alcuni esempi:

  • Scareware: usano un approccio psicologico mostrando alle potenziali vittime un messaggio che li informa che un virus ha infettato il loro dispositivo o semplicemente riempiendo lo schermo di notifiche pop-up. Un link per “risolvere” il problema porta l’utente alla richiesta di riscatto e alle informazioni per il pagamento.
  • Encryptor: questa forma di attacco è stata descritta nell’introduzione di questo post, dove il pagamento del riscatto è l’unico modo per ottenere la chiave di decrittografia e riottenere l’accesso a dati e file.
  • Locker: come suggerisce il nome (“to lock” significa “chiudere a chiave”), i locker non criptano necessariamente i dati, ma prendono il controllo del sistema operativo di un dispositivo e rendono impossibile l’accesso a qualsiasi cosa al suo interno.
  • Leakware: talvolta chiamato doxware, questo tipo di attacco minaccia di pubblicare o esporre dati che potrebbero essere imbarazzanti o in qualche modo lesivi per la vittima. Spesso di tratta di una forma di encryptor.
  • Ransomware-as-a-service (RaaS): similmente ai software-as-a-service (SaaS), fa riferimento a terze parti che usano strumenti o tecnologie proprietari per gestire gli attacchi per conto di qualcun altro.

In che modo i ransomware infettano sistemi o dispositivi

La via di accesso più semplice per la maggior parte dei criminali informatici è attraverso le persone. Molti di noi sono fin troppo vulnerabili a farsi ingannare o manipolare ad aiutare utenti malintenzionati a superare le difese di sicurezza, soprattutto quando prendiamo decisioni rapidamente.

Gli hacker potrebbero mandare messaggi di phishing tramite e-mail o SMS, ad esempio, che sembrano provenire da una persona o un’organizzazione che riconosciamo. Fare clic su un link all’interno di quei messaggi può far iniziare immediatamente il processo di infezione. Lo stesso rischio si presenta quando facciamo clic su annunci digitali che avviano infezioni ransomware o su pagine web che fungono da esca per i criminali informatici.

In altri casi, i ransomware possono entrare attraverso applicazioni RDP (Remote Desktop Protocol) con una scarsa sicurezza degli endpoint o password vulnerabili. Alcuni attacchi sono addirittura iniziati ingannando i dipendenti a condividere credenziali di sicurezza per telefono e tramite chatroom online.

Fasi di un attacco ransomware

Cadere vittima di un attacco può avvenire rapidamente, ma solitamente c’è una serie di passaggi da eseguire per prendere in ostaggio i privilegi di accesso di dati e dispositivi.

Panoramica delle diverse fasi di un attacco ransomware

Ipotizziamo che qualcuno all’interno di un’azienda abbia fatto clic su un link proveniente da un’e-mail di phishing. Questo avvia una comunicazione tra i dispositivi infetti e un server di comando e controllo (C&C) che risiede da qualche parte online.

A seconda dell’attacco, i criminali informatici potrebbero tentare di infettare altri computer prima di crittografare i file.

Successivamente inizia l’estorsione, dove le vittime vengono informate dell’attacco e delle condizioni del riscatto.

Se non viene effettuato il pagamento, l’unico modo per risolvere un attacco è lavorare con gli agenti delle forze dell’ordine ed eventualmente attingere dai sistemi di backup, se presenti.

Metodi usati dagli hacker per sfruttare le vulnerabilità

Oltre alla falsificazione di siti web e messaggi per gettare fumo negli occhi degli utenti, i criminali informatici potrebbe usare attacchi di forza bruta in cui tentano di ampliare il proprio accesso ai sistemi aziendali indovinando le password.

Alcuni cercano applicazioni che non sono state aggiornate con le patch di sicurezza più recenti. Ci sono poi gli attacchi interni, in cui dipendenti ribelli o ex dipendenti vengono ingaggiati per aiutare a fare irruzione in una rete.

Impatto e conseguenze di un attacco ransomware riuscito

Avere i tuoi dati e le tue applicazioni tenuti in ostaggio non è solo frustante o fastidioso. Può creare il panico nell’intera forza lavoro di un’organizzazione. Se un attacco non viene risolto rapidamente, la stessa paura e incertezza si possono diffondere al di fuori dell’organizzazione, danneggiando le esperienze di clienti e cittadini.

Per molti leader, la preoccupazione maggiore riguarda gli effetti indesiderati sul fatturato, e per una buona ragione. Potrebbe diventare impossibile vendere prodotti o servizi finché non viene affrontata una richiesta di riscatto e i processi quotidiani come le buste paga potrebbero bloccarsi.

Protezione e risposta ai ransomware

Per quanto possano essere impegnativi questi attacchi, ogni organizzazione può essere proattiva nel ridurre la possibilità che i propri dati o sistemi vengano tenuti un ostaggio. Si tratta di riflettere sulle potenziali aree di rischio e sapere cosa fare in caso di verifichi lo scenario peggiore.

Pratiche ottimali per la protezione dai ransomware

La Cybersecurity and Infrastructure Security Agency (CISA) dispone di una guida #StopRansomware che suggerisce il monitoraggio periodico contro gli attacchi allo stesso modo in cui una guardia di sicurezza controllerebbe il perimetro di un edificio. Ciò può includere stare all’erta riguardo le vulnerabilità dei software, esaminare aree per un’ulteriore formazione dei dipendenti, nonché provare la protezione antivirus più recente.

Successivamente, bisogna stabilire un’architettura Zero Trust che garantisca che l’accesso a dati e sistemi venga concesso solo a coloro che ne hanno realmente bisogno. Potrebbe essere necessario rivalutare la portata di utilizzo di tecnologie come il Remote Desktop Protocol (RDP).

Disporre di criteri solidi, specialmente in merito alla creazione delle password e la gestione delle credenziali, può fare la differenza nella prevenzione degli incidenti.

Importanza di backup regolari e strategie di recupero dei dati

I ransomware possono essere rimossi? A volte. Ma può essere un procedimento complesso. Nel frattempo, quando gli hacker ottengono l’accesso alle uniche copie di un file, godono di un vantaggio nettamente superiore sulle proprie vittime in confronto a coloro che hanno dei backup pronti.

I criminali informatici possono comunque recare danni ingenti facendo trapelare file crittografati, ma i backup possono permettere a un’organizzazione di riprendere la normale operatività più rapidamente. I backup migliorano inoltre la tua capacità di lavorare con le forze dell’ordine per risolvere un incidente di sicurezza.

In alcuni settori, i backup vengono effettuati su base giornaliera o addirittura oraria. Esistono inoltre organizzazioni di terze parti che possono assistere nella creazione e archiviazione dei backup in una sede esterna a cui è possibile accedere durante un’emergenza.

Azioni da compiere in caso di incidente ransomware

La maggior parte delle organizzazioni svolge esercitazioni antincendio di modo che tutti sappiano come evacuare in sicurezza qualora fosse necessario. Analogamente, sviluppare un piano di risposta agli incidenti informatici, con la chiarificazione di ruoli, responsabilità e tempistiche, può ridurre il panico in caso di attacco.

Una guida di Cyber Management Alliance fornisce alcuni principi di alto livello per aiutarti a iniziare. Questi includono identificare rapidamente quando si verifica un attacco, isolare i dispositivi e sistemi infetti per limitare i potenziali danni e informare il consulente legale e le forze dell’ordine. Si consiglia inoltre di preparare bozze di materiali di comunicazione da condividere con clienti, fornitori e altre parti interessate.

Varianti di ransomware degne di nota

Così come le aziende software legittime, i criminali informatici creano continuamente modifiche dei propri malware, dette varianti, che possono rendere un attacco più difficile da rilevare o causare maggiori danni.

Panoramica di varianti di ransomware rinomate e relative caratteristiche

CryptoLocker risale almeno al 2013 e si diffuse tramite allegati e-mail. Il suo utilizzo rivoluzionario dell’infrastruttura C&C e la crittografia avanzata consentirono ai suoi presunti creatori russi di infettare centinaia di migliaia di computer.

WannaCry diventò una delle varianti più note quando emerse nel 2017, crittografando dati nei sistemi operativi Windows. I report suggeriscono che WannaCry sia ancora attivo e il suo codice sorgente originale non è stato trovato.

Più recentemente, LockBit è attivo almeno dal 2019 ed è famoso per aver concesso in licenza il codice a un team di affiliati che aiutano a compiere attacchi. LockBit esegue anche attacchi DDoS (Distributed Denial of Service) oltre a trattenere i dati per il riscatto.

Famosi attacchi ransomware storici e il loro impatto

Sony Pictures Entertainment è diventata una delle organizzazioni di più alto profilo a essere colpita da un attacco ransomware quando i suoi sistemi furono compromessi nel 2014. L’incidente continua a costituire un caso aziendale in quanto a lezioni apprese e pratiche ottimali.

Un attacco a Colonial Pipelines nel 2021 ha paralizzato un importante gasdotto e da allora ha portato a diverse normative con l’intento di rispondere alle preoccupazioni relative alla vulnerabilità del settore.

I criminali informatici hanno altresì chiesto riscatti a organizzazioni della pubblica amministrazione, come nel caso di un’ondata di attacchi contro almeno 45 distretti scolastici statunitensi e almeno 44 università nel 2022.

Trend emergenti e nuovi sviluppi in ambito ransomware

Mentre le minacce e gli attacchi iniziali sembravano emergere dall’Europa orientale, gli esperti suggeriscono che i criminali informatici mirano ora a tenere in ostaggio i dati a livello globale. Stanno inoltre ampliando il campo di applicazione degli strumenti utilizzati per sviluppare nuove varianti e stanno studiando i modi per compromettere più organizzazioni allo stesso tempo.

Impatto dei ransomware sulle aziende

Le ripercussioni di un attacco ransomware possono dipendere in parte dal settore in cui opera un’organizzazione.

Impatto dei ransomware sui diversi settori

Per un istituto di servizi finanziari, ad esempio, rimanere chiusi fuori da sistemi critici può significare che il personale e i clienti non possono accedere ai propri conti o può ritardare processi come la ricezione di richieste di prestito.

Per un operatore sanitario, può voler dire che la cura dei pazienti è esposta a un rischio maggiore poiché i medici e altri membri del personale non possono accedere ai registri di cui hanno bisogno, incluse le anamnesi.

Le imprese manifatturiere possono ritrovarsi a dover affrontare costosi ritardi nella produzione mentre decidono se pagare un riscatto, il che può creare un effetto domino in altre parti della catena di approvvigionamento.

Bersagli comuni e settori vulnerabili agli attacchi ransomware

Non vi sono settori del tutto immuni a queste minacce, tuttavia un rapporto dell’FBI indica che due attacchi segnalati su cinque sono destinati a organizzazioni delle infrastrutture critiche.

La stessa ricerca suggeriva che le organizzazioni del settore sanitario, manifatturiero, governativo e dei trasporti sono spesso tra quelle i cui dati vengono tenuti in ostaggio.

Conseguenze finanziarie e di reputazione di un incidente ransomware

Anche dopo aver decrittografato i dati, possono essere necessari ingenti investimenti per ripristinare completamente le operazioni. Secondo il Department of Health and Human Services degli Stati Uniti, il costo medio di ripristino in seguito a un incidente ransomware equivale a 1,27 milioni di dollari in tutti i settori.

L’importo che un’organizzazione potrebbe dover pagare per il rilascio dei dati può essere solo la punta dell’iceberg. Possono esserci anche delle perdite dovute a interruzioni delle normali operazioni aziendali, nonché l’abbandono da parte dei clienti come conseguenza della copertura mediatica di un incidente.

Anche una volta terminato l’attacco, le organizzazioni potrebbero dover lavorare sodo per dimostrare di aver preso provvedimenti per prevenire un simile incidente al fine di riottenere la fiducia delle parti interessate.

Prevenzione e mitigazione dei ransomware

Fortunatamente, le organizzazioni di qualsiasi dimensione possono iniziare a rafforzare le proprie difese contro questo tipo di attacchi e migliorare la loro risposta quando questi avvengono.

Strategie efficaci per la prevenzione di infezioni ransomware

Oltre a effettuare regolarmente controlli di sicurezza IT e backup dei dati, spostare alcuni dati nel cloud potrebbe facilitare il ripristino di una versione precedente.

Rendi più difficile per gli hacker penetrare nei sistemi spegnendoli quando non vengono utilizzati attivamente o semplicemente disconnettendoli dalla rete.

Importanza della formazione e della consapevolezza dei dipendenti

La difesa dagli incidenti di sicurezza informatica richiede inoltre di aiutare il team a comprendere i rischi a cui va incontro la tua organizzazione e il loro ruolo nella prevenzione degli incidenti.

Svolgi sessioni o pranzi di formazione regolari per insegnare loro come riconoscere un potenziale schema di phishing e quando evitare di fare clic sugli allegati.

Se una nuova variante inizia a prendere di mira il tuo settore, condividi ogni dettaglio e incoraggiali a segnalare qualsiasi attività sospetta.

Ruolo dei software di sicurezza e della crittografia nella mitigazione dei rischi dei ransomware

È inoltre disponibile una vasta gamma di tecnologie per rafforzare le difese di un’organizzazione. Le passkey, ad esempio, presentano un’alternativa all’inserimento di nome utente e password e possono offrire un ulteriore livello di protezione dagli attacchi informatici.

Indipendentemente dal tipo di organizzazione che gestisci, i tuoi dati e i tuoi dispositivi sono risorse inestimabili. Con le giuste conoscenze, le strategie idonee e gli strumenti adatti a disposizione, sarai in grado di tenere alla larga i ransomware, nonché alcune delle altre minacce alla sicurezza informatica più diffuse.

Fai il passo successivo iniziando la prova gratuita di LastPass oggi stesso.

bg

Inizia a utilizzare LastPass Business

Provalo gratis per 14 giorni. Non è necessaria una carta di credito.