Cerca e trova immobili
Inizialmente prerogativa di grandi aziende, diventata oggi una minaccia asimmetrica estesa anche a PMI e utenti privati
Cosa sono?
Il ransomware è un tipo di malware in grado di cifrare tutti i file presenti in un computer e risorse ad esso collegate, negando l’accesso agli utenti dal sistema fino a quando un riscatto venga pagato, di solito in bitcoin, ad uno o più criminali. Gli attacchi ransomware sono diventati sempre più comuni: Richiedono poche competenze tecniche per essere perpetrati; sono talmente redditizi che l’ultima tendenza sembra essere diventata quella di acquistare pacchetti "ransomware-as-a-service" sul dark web, per sferrare poi il proprio attacco e chiedere un riscatto. E in quel caso, la fonte di guadagno del riscatto è subito disponibile perché l’aggressore dispone già dei dati della vittima, o meglio della chiave per decriptarli. Nel caso dei “data breach”, invece, i criminali informatici devono prima rubare i dati, dopo di che trovare acquirenti disposti ad acquistarli.
Alcuni numeri
Più vittime che mai stanno cedendo al ricatto e pagando per riprendere il controllo dei propri dati. Nel solo 2018, oltre il 39% delle vittime ha pagato un riscatto; prima della fine del 2020, tale cifra era già salita al 58%. Gli attacchi ransomware hanno subito un'impennata dall’inizio della pandemia di COVID-19, con un aumento esponenziale anche nella frequenza. Tra l’ultimo quadrimestre 2019 e i primi mesi del 2020, gli attacchi ransomware sono aumentati di oltre il 25%, superando di fatto anche il classico e più comune furto di carte di credito, diventando oggi la più comune minaccia informatica, contando un nuovo attacco ogni circa 14 secondi. Anche il costo finanziario di questi assalti è in forte crescita. I danni globali causati da questa “pandemia di infezioni” sono più che raddoppiati tra il 2017 e il 2019, prevedendo che si raggiungano i 20 miliardi di dollari entro la fine del 2022. Oltre ai costi diretti, come pagamenti di riscatto e riparazione delle infrastrutture danneggiate, le organizzazioni devono far fronte a notevoli costi indiretti dovuti alla riduzione parziale o totale delle operazioni, come anche delle chiusure temporanee dovute ai tempi tecnici per le riparazioni. Il tempo medio di interruzione delle attività a causa di un attacco ransomware è di 9,6 giorni. Sebbene oggi polizze assicurative per la copertura dei danni ai sistemi informatici e al pagamento di riscatti siano nate ad hoc per coprire alcuni dei relativi costi, le organizzazioni semplicemente non possono dipendere dalle assicurazioni di cyber sicurezza per renderle di nuovo operative dopo un attacco ransomware. Inoltre, La tipica polizza assicurativa informatica non copre le sanzioni normative per la violazione dei mandati di conformità come PCI DSS e HIPAA; ad esempio, dopo la pubblicazione in rete da parte dei criminali dei dati sensibili di clienti e fornitori sottratti, oppure attacchi che coinvolgono insider malintenzionati, inclusi dipendenti scontenti, ex dipendenti e fornitori di terze parti. Anche le perdite di un'organizzazione dovute ai tempi di inattività non vengono mai integralmente coperte, ma hanno sempre dei tetti limite. Se un'organizzazione dovesse chiudere per un periodo di tempo prolungato o se la proprietà intellettuale (IP) digitale dovesse essere violata durante l'attacco, potrebbe subire danni irrevocabili.
I soggetti a rischio
Fin dalla sua prima comparsa, i target prediletti del ransomware sono stati, generalmente, sempre aziende molto grandi e strutturate; la logica è sempre stata che queste vittime avessero grandi capacità economiche per pagare immediatamente le richieste di riscatto, per tornare subito operativi e non subire danni di immagine. Tuttavia, le grandi aziende possono anche permettersi di rafforzare le proprie difese di cyber sicurezza con strumenti avanzati per prevenire, contrastare, sanare ed indagare futuri attacchi. Scoraggiati dalla complessità di protezioni complete della sicurezza informatica nelle grandi imprese, i criminali informatici hanno via via nel tempo rivolto la loro attenzione agli utenti privati, alle piccole e medie imprese (PMI) ed agli Enti governativi statali e municipali. Queste organizzazioni, in media, tendenzialmente non dispongono di grandi risorse. Quasi la metà delle PMI del settore privato stanzia meno di $ 5.000 all'anno per la sicurezza informatica, mentre la maggior parte degli stati negli Stati Uniti dedica meno del 3% dei propri budget alla sicurezza IT. Nel 2019, le PMI rappresentavano circa il 60% delle vittime di ransomware, con particolare incidenza nei settori dell’assistenza sanitaria, dei professionisti dei servizi e istituzioni finanziarie come tre principali obiettivi. I soli attacchi di ransomware alle organizzazioni sanitarie sono aumentati del 350% tra il 2018 e il 2019, nei quali quelli di maggior successo hanno colpito strutture con meno di 500 dipendenti. Gli incidenti di ransomware contro infrastrutture pubbliche e municipali sono aumentati del 60% nel 2019, mentre oltre 163 hanno colpito i governi municipali degli Stati Uniti, arrivando a pagare almeno 1,8 milioni di dollari di riscatti, oltre a decine di milioni in più di costi di recupero e mitigazione dei rischi generati. Questo non vuol dire che le grandi imprese siano diventate immuni da questo tipo di infezione. La prima metà del 2020 ha visto una serie di attacchi a grandi società internazionali, tra cui Honda, Chubb, Cognizant, Garmin e l'appaltatore del Dipartimento della Difesa degli Stati Uniti, CPI. Si dice che Garmin abbia pagato 10 milioni di dollari per riottenere l'accesso ai suoi sistemi. Le “supply chain” odierne sono un altro percorso attraverso il quale i criminali informatici hanno imparato ad infiltrare le grandi aziende e le multinazionali. Se un gruppo hacker non riesce a superare le difese di sicurezza di una grande Corporate, comincia a prendere di mira un loro qualunque piccolo fornitore, dotato di poche risorse e scarsa attenzione alla sicurezza. Ad esempio, Nel marzo 2020, un gruppo organizzato di criminalità informatica ha utilizzato il ransomware “DopplePaymer” per attaccare un fornitore di Tesla, Boeing e Lockheed Martin. Tre mesi dopo, lo stesso gruppo ha preso di mira un appaltatore IT il cui elenco di clienti includeva la NASA e un certo numero di aziende incluse nel top delle aziende “Fortune 100”. Nel maggio 2020, un'altra banda ha preso di mira due distributori di prodotti alimentari delle catene di supermercati nazionali, tra cui Kroger, Sprouts e Albertsons. L’ultima frontiera dei perpetratori di assalti con malware che chiedono riscatti, però, sta comprendendo sempre di più gli utenti privati, utilizzando come vettore d’attacco con sempre maggiore frequenza i dispositivi mobili personali come smartphone e laptop. Hackers senza scrupoli si sono semplicemente resi conto che utenti privati sono, in rapporto, estremamente più numerosi delle aziende, a fronte di una sicurezza disponibile presso che nulla. Oggi, attraverso i nostri tanto amati sistemi portatili, scambiamo milioni di dati sensibili ogni giorno, attraverso sistemi totalmente inadeguati sotto il profilo della sicurezza. Un’occasione troppo facile e attraente per criminali in possesso dei mezzi per rubare questi dati.
Come proteggersi dagli attacchi Ransomware
La grande maggioranza dei sistemi antivirus non sono in grado da soli di garantire la protezione delle organizzazioni dai ransomware. La difesa da questa minaccia subdola ed insidiosa richiede un approccio proattivo su più fronti.
Eseguire backup di sistema regolari. I backup di sistema regolari sono essenziali e rappresentano la vera, unica ed ultima linea di difesa, non solo per recuperare i dati dopo un incidente ransomware o un altro tipo di attacco informatico, ma anche dopo interruzioni catastrofiche del sistema e danni all'hardware causati da qualsivoglia evento. Tuttavia, i classici backup di sistema non sono un “one-stop-shop”, una soluzione valida per tutte le eventualità, poiché le varianti di ransomware di nuova generazione cercano e crittografano i file prima di attaccare il resto della rete, diffondendosi rapidamente a tutti gli altri supporti di archiviazione presenti nell’infrastruttura, siano essi hard disk esterni, altri computer, fino a seguire i file salvati in cloud. L’unico strumento in grado proteggere i propri dati aziendali essenziali e garantire un pieno recupero immediato delle risorse, sono l’impiego di speciali tipi di backup automatici non raggiungibili ai ransomware, cifrati con algoritmi complessi di livello militare come l’AES256, costantemente supervisionati da un Security Operation Center (SOC), in grado di agire tempestivamente qualora delle anomalie vengano rilevate. Formare chi potrebbe rappresentare la prima fonte di vulnerabilità: formare i dipendenti e collaboratori a evitare forme di attacco comuni come il phishing e altre truffe di ingegneria sociale potrebbe già essere la contromisura in grado di proteggere le infrastrutture aziendali (ma anche mobili) dalla maggioranza delle minacce informatiche. Poiché molti payload di ransomware vengono inviati tramite e-mail di phishing, formare le persone su come riconoscere ed evitare questo tipo di truffe è un altro passo fondamentale per prevenire a priori le infezioni. Proteggi le password e le credenziali di accesso dei tuoi dipendenti e familiari: Le password deboli e ripetute per più portali sono tra le più grandi minacce alla sicurezza informatica delle organizzazioni, poiché gli attacchi di “brute force” o di “forza bruta”, hanno oggi superato il phishing diventando il metodo più comune per distribuire ransomware. Oltre ad alimentare gli attacchi di forza bruta che sono il metodo di diffusione di ransomware più utilizzato, le cattive abitudini con le password, tenute dal personale o dai componenti della famiglia, sono alla base della stragrande maggioranza delle violazioni dei dati. In un attacco di forza bruta, i criminali informatici ottengono un elenco di password o credenziali rubate, quindi tentano di utilizzarle per compromettere server ed endpoint, di solito con l'aiuto di bot. Poiché così tanti utenti utilizzano password deboli, comuni e facilmente intuibili, riutilizzando le stesse password tra account, questi attacchi hanno molto spesso un ottimo successo. Gli attacchi di forza bruta possono essere prevenuti impostando per le persone un sistema di gestione delle password e credenziali, in grado di generare e utilizzare password complesse e univoche per tutti gli account, archiviandole al sicuro in uno spazio cloud dedicato e cifrato con algoritmi di livello militare, non raggiungibili. L’uso dell'autenticazione a più fattori (2FA) tramite riconoscimento biometrico su tutti gli account che la supportano permettono un accesso secondo un principio “zero-knowledge”, dove le persone non sono più in possesso delle credenziali e non possono più diffonderle, per sbaglio o in maniera fraudolenta. Inoltre, abbinare una soluzione di monitoraggio del Dark Web anche se un utente è diligente nell'utilizzo di password complesse e univoche, permette di accorgersi tempestivamente se dei dati di accesso, numeri di carte di credito, conti bancari, indirizzi email o qualsiasi altro dato sensibile, siano stati rubati ed immessi nel “mercato nero” delle informazioni. Le vittime di questo tipo di violazione sono in genere le ultime a sapere che le loro password sono state rubate. Il "tempo di permanenza" medio, rappresentato dal periodo incluso tra la violazione iniziale e il momento in cui un'azienda o individuo se ne renda conto, è di 101 giorni. Non sono rari tempi di permanenza che superano ampiamente questa soglia media. Marriott Starwood ha impiegato quattro anni per scoprire che i suoi sistemi erano stati violati. Questo è un tipo di rischio dalle conseguenze potenzialmente catastrofiche, che riguarda non solo le grandi organizzazioni, ma anche le PMI e gli individui privati. Una volta che i criminali informatici hanno rubato dei dati, riescono a piazzarli e rivenderli molto rapidamente. Per questo motivo, i servizi di monitoraggio del Dark Web sono essenziali per chiunque al fine di prevenire le infezioni da ransomware. Questi servizi scansionano costantemente ed in maniera totalmente automatizzata i forum del Dark Web, notificandoci in tempo reale se le password siano state messe in vendita, consentendo agli amministratori della sicurezza IT, come anche di chi in famiglia cura la situazione informatica domestica, di rimediare immediatamente attraverso la reimpostazione delle password e l’eventuale blocco di utenze e carte di credito.
A cura di: Ferretto Marcello
La Nostra Azienda può fornirvi, in sinergia con i più sofisticati servizi di Cyber Security impiegabili, un innovativo sistema di Backup Criptato e Supervisionato Non Raggiungibile ai Ransomware, di formare e rendere consapevoli le persone alla moltitudine di minacce provenienti dal cyber spazio e dalle potenziali conseguenze catastrofiche del trattarle con leggerezza, nonché il Sistema di Gestione delle Password più smart, efficace e sicuro ad oggi disponibile. Questo prodotto, costruito su architettura Zero-Knowledge, scalabile e personalizzabile sulle esigenze del singolo individuo, della famiglia e della piccola impresa come della grande Corporate, è lo strumento definitivo in grado di custodire tutte le vostre informazioni più sensibili e riservate.
