Ransomware in crescita: ecco quattro modi in cui gli attacker penetrano nel tuo sistema

8/11/2020

L’impatto dei ransomware è in continua crescita. Secondo i dati raccolti dalla multinazionale investigativa Kroll, il ransomware costituisce la principale problematica di sicurezza che è stata chiamata a risolvere nel 2020; a settembre, gli attacchi ransomware ammontavano a un terzo dei casi totali.

Ecco come gli attacker ci riescono: in quasi la metà (47%) dei casi di ransomware, Kroll ha rilevato che gli hacker utilizzano il protocollo del desktop remoto aperto, uno strumento impiegato da molte aziende per consentire al personale di lavorare da casa, strumento che però costituisce un ingresso facile per gli attacker se non è stato messo in sicurezza correttamente.

Più di un quarto (26%) dei casi sono stati ricondotti a email di phishing; una percentuale leggermente inferiore ha coinvolto particolari falle di sicurezza, tra cui Citrix NetScaler CVE-2019-19781 e Pulse VPN CVE-2019-11510, mentre il 10% dei casi ha riguardato acquisizioni di account.

Come fanno gli attacker ransomware a penetrare nelle organizzazioni?

Kroll ha dichiarato di aver individuato tre settori particolarmente a rischio quest’anno: i servizi professionali, la sanità e infine tecnologia e telecomunicazioni. Ciò va in opposizione ai dati recenti forniti da IBM, la quale suggerisce che il settore manifatturiero, quello dei servizi professionali e il governo sono invece i più colpiti.

Secondo Kroll, Ryuk, Sodinokibi e Maze, costituenti il 35% di tutti gli attacchi informatici, sono le tre principali varianti di ransomware ad aver causato problemi nel 2020. Le tendenze ransomware fluttuano tra periodi di attività e di immobilità, in quanto gli sviluppatori risultano sempre attivi nel loro aggiornamento prima di colpire ancora. Infatti, Kroll sostiene di aver riscontrato una recente ripresa degli attacchi Ryuk.

Ultimamente, molte varianti di ransomware tendono a sottrarre copie di dati aziendali con la minaccia di pubblicarli: nello specifico, scaricando tra i 100gb e 1tb di dati sensibili o di informazioni protette si intima fortemente al pagamento del riscatto. Kroll ha affermato che il 42% dei casi gestiti che riguardavano una variante di ransomware conosciuta erano riconducibili a un gruppo organizzato che esfiltrava e pubblicava attivamente i dati delle vittime.

In alcuni casi, i gruppi che attaccano con ransomware si rimangiano la promessa di cancellare i dati dopo la ricezione del primo riscatto per richiederne un altro. I criminali possono anche agire diversamente: Maze sostiene che le credenziali ottenute dalle vittime insolventi verranno impiegate in attacchi diretti a partner e clienti di queste, mentre uno dei clienti di Kroll appartenente alla sanità ha scoperto che un gruppo di attacker aveva inviato delle mail direttamente ai suoi genitori con la minaccia di pubblicare i loro dati sanitari.

Oltre ai ransomware, Kroll ha dichiarato che le truffe di tipo Business Email Compromise (BEC) costituiscono una delle minacce principali per le organizzazioni e si verificano nel 32% dei casi, seguite dagli accessi non autorizzati ai sistemi.

Devon Ackerman, responsabile della risposta agli incidenti alla Kroll North America, ha detto: “Finora, nel 2020 abbiamo assistito a una prevedibile esplosione degli attacchi informatici, in quanto la pandemia da COVID-19 ha permesso agli attori malintenzionati di creare ancora più disagi. La costante evoluzione dei creatori dei ransomware non fa altro che ridefinire continuamente i parametri di chi sta provando a difendere i dati e i sistemi, perciò la supervisione deve restare in cima alla lista di ogni direttore informatico”. 

Complicare la vita ai gruppi ransomware impedendo loro di ottenere l’accesso iniziale rappresenta probabilmente il miglior modo per proteggere da un attacco la tua organizzazione, il che porta a intraprendere i passi giusti per garantire la sicurezza. Per far ciò, conviene bloccare ogni accesso non necessario da desktop remoto, mettere in sicurezza ogni accesso remoto con un’autenticazione a due fattori solida, assicurarsi che ogni software sia aggiornato e disponga di patch, nonché far sì che il personale sia formato a riconoscere le email di phishing.

Si consiglia inoltre di fare frequentemente il backup, evitando però che la banca dati sia connessa alla rete aziendale.


Se hai bisogno di proteggere la tua azienda da attacchi di questo tipo non esitare a contattarci

--

Crediti: Il seguente articolo ha il solo scopo divulgativo ed è il risultato di una traduzione e ri-adattamento dell'articolo orginale di cui tutti i diritti sono riservati all'autore Steve Ranger

Articoli in evidenza

Iscriviti alla newsletter

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Cliccando sul pulsante iscriviti accetti la Privacy Policy

Filter by Tag

No items found.

Filter by Categories

All
No items found.