Cyber Threat: Ransomware Attack
Il ransomware è un tipo di malware che cripta i dati e tiene in ostaggio i sistemi fino al pagamento di un riscatto. I criminali informatici generalmente richiedono il pagamento in criptovalute in cambio di una chiave di crittografia. Tuttavia, pagare il riscatto non garantisce che i cybercriminali manterranno la promessa di restituire i tuoi dati. L’FBI sconsiglia di pagare poiché il recupero dei dati non è garantito e può portare a futuri attacchi informatici o violazioni legali.
Anche qualora l’accesso venga ripristinato, i dati sensibili potrebbero comunque essere venduti sul dark web. In molti casi, le vittime del ransomware potrebbero ottenere chiavi di crittografia difettose, ricevere ulteriori richieste o diventare bersaglio di futuri attacchi informatici.
Indipendentemente dalle dimensioni dell’organizzazione, gli attacchi ransomware hanno conseguenze gravi, tra cui perdite finanziarie, interruzioni operative, danni reputazionali e violazioni dei dati.
I cybercriminali infettano i sistemi tramite e-mail di phishing, allegati dannosi o sfruttando vulnerabilità di sicurezza come credenziali rubate. Spesso si muovono lateralmente nella rete prima di lanciare l’attacco per massimizzare i danni.
Una volta all’interno, i cybercriminali individuano dati preziosi e criptano i file utilizzando algoritmi di livello militare. Possono disabilitare strumenti di sicurezza, cancellare backup e compromettere ulteriori sistemi.
I file sono bloccati e viene consegnata una richiesta di riscatto a breve scadenza che richiede un ingente pagamento in criptovaluta, accompagnata dalla minaccia di vendere, divulgare o eliminare i tuoi dati sensibili.
Il ransomware crypto cripta i file utilizzando forti algoritmi di crittografia e richiede criptovalute in cambio di una chiave di crittografia. Blocca l’accesso a dati sensibili e interrompe le operazioni, senza alcuna garanzia di un recupero completo dei dati anche in caso di pagamento del riscatto.
A differenza del cripto-ransomware, che crittografa singoli file, il ransomware locker impedisce agli utenti di accedere all’intero dispositivo o sistema. Spesso compare un falso messaggio delle forze dell’ordine per spaventare le vittime e indurle a pagare il riscatto. Questo tipo di ransomware blocca completamente la produttività finché il sistema non viene ripristinato.
In un attacco ransomware a doppia estorsione, il cybercriminale estrae dati sensibili e poi li cripta, chiedendo un pagamento non solo per la decrittazione, ma anche per impedire la fuga di dati. Anche in caso di pagamento del riscatto, i dati potrebbero essere esposti o venduti sul dark web.
Il ransomware a tripla estorsione è un ampliamento del ransomware a doppia estorsione, che aggiunge un nuovo livello di pressione. Il cybercriminale ruba dati sensibili, li cripta e lancia ulteriori attacchi informatici, come attacchi DDoS (Distributed Denial-of-Service) o minacce rivolte ai clienti, amplificando le interruzioni aziendali e i danni reputazionali.
Il RaaS rende il ransomware accessibile anche ai criminali informatici meno esperti, offrendolo come servizio a pagamento. I criminali informatici affiliati lanciano gli attacchi reali, mentre gli sviluppatori che creano il ransomware si prendono una parte del riscatto pagato.
Per rimuovere il ransomware, le organizzazioni devono essere caute e metodiche per minimizzare l’impatto di eventuali danni reputazionali e ripristinare le operazioni in sicurezza.
Avvisa i team di sicurezza della tua organizzazione e le forze dell’ordine, se necessario. Segnalando tempestivamente l’attacco ransomware, le autorità possono contribuire a coordinare gli interventi correttivi e affrontare gli aspetti legati alla conformità legale.
Disconnetti da Internet e dalla rete i computer o i server interessati per evitare che il ransomware si diffonda ad altri dispositivi.
Sebbene questa operazione possa non essere efficace con alcuni tipi di ransomware, nella maggior parte dei casi possono essere fermati riavviando i dispositivi infetti in modalità provvisoria. Fare questo ti dà anche il tempo di installare un antivirus affidabile.
Proteggi le applicazioni web interne, le app cloud e i dispositivi BYOD dal malware, impedisci l’esfiltrazione dei dati e controlla le sessioni di navigazione con auditing completo, registrazione delle sessioni e compilazione automatica delle password.
Ottieni privilegi zero-standing e abilita l’accesso Just-in-Time (JIT) su tutti gli endpoint Windows, Linux e macOS, con flussi di lavoro di approvazione facoltativi e applicazione dell’AMF.
Se possibile, utilizza strumenti di decrittazione legittimi, come quelli elencati su No More Ransom, per sbloccare i file crittografati. Evita strumenti di terze parti sospetti che potrebbero peggiorare la situazione rubando o alterando i tuoi dati.
I backup frequenti e automatizzati sono la difesa più efficace contro il ransomware. Assicurati che tutti i backup siano archiviati offline e testati regolarmente per poter recuperare i dati senza pagare un riscatto.
Le e-mail di phishing sono un vettore di attacco comune utilizzato dai criminali informatici per avviare attacchi ransomware. Le migliori pratiche includono l’uso di test di phishing simulati, formazione regolare in materia di sicurezza e una forte igiene informatica per aiutare i dipendenti a individuare e segnalare le e-mail sospette.
I criminali informatici spesso sfruttano vulnerabilità software non corrette nei sistemi operativi, nei software o nei dispositivi per ottenere l’accesso. Applica regolarmente gli aggiornamenti di sicurezza su tutti i sistemi per rimanere protetti e conformi agli standard normativi.
I criminali informatici spesso vendono le credenziali dei dipendenti sul dark web. Strumenti come BreachWatch® avvisano i team IT in tempo reale se le credenziali aziendali sono state esposte, così possono rispondere rapidamente e mettere al sicuro gli account compromessi. Esegui oggi stesso una scansione gratuita del dark web per scoprire se le credenziali della tua azienda sono state esposte.
I criminali informatici spesso approfittano di password compromesse, deboli o riutilizzate per ottenere accessi non autorizzati. Un gestore di password aziendale come Keeper® permette di utilizzare password complesse e univoche e supporta l’autenticazione multifattoriale (AMF) e riduce il rischio di attacchi informatici basati su password. Per gli account privilegiati e i sistemi critici, utilizza una soluzione PAM come KeeperPAM® per avere una visibilità completa su chi ha accesso ai dati sensibili e su cosa può fare con tale accesso.
Per usare la chat dal vivo è necessario abilitare i cookie.