Oggi qualsiasi IT manager ha un incubo: quello di ricevere una telefonata e scoprire che centinaia di computer sono stati colpiti da ransomware, bloccando sistemi critici e mettendo a rischio tutte le operazioni dell’azienda. Uno scenario di questo tipo si è verificato nei mesi scorsi, quando una grande azienda ha scoperto di essere stata vittima di un attacco ransomware pianificato ed eseguito con cura, come è stato poi anche confermato dalle indagini.
Mentre nella maggior parte dei casi, i cyber criminals responsabili degli attacchi ransomware effettuano una diffusione massima e indiscriminata del malware, alcuni gruppi in numero limitato hanno invece scelto di prendere di mira aziende specifiche alle quali chiedere somme più alte come riscatto, con un attacco ransomware mirato e in grado di danneggiare potenzialmente moltissimo. Chi realizza questo tipo di attacco, dispone usualmente di competenze che solitamente si riscontrano nei casi di cyberspionaggio, da capacità di sfruttamento di vulnerabilità software all’utilizzo di programmi legittimi per accedere alla rete aziendale. Nel caso dell’attacco citato prima, che è stato individuato da Symantec, gli hacker erano entrati nella rete aziendale sfruttando una vulnerabilità ancora non corretta in uno dei server. Utilizzando diversi strumenti per l’hacking di pubblico dominio, hanno realizzato una mappa della rete della vittima e infettato più computer possibile con diverse varianti di un ransomware. La violazione ha causato un danno notevole per l’azienda, ma avrebbe potuto avere un impatto molto maggiore se i sistemi critici non fossero stati ripristinati velocemente, con la maggior parte dei dati crittografati dal ransomware ripristinati dai backup esistenti.
Attacchi di questo tipo sono ancora relativamente rari, ma esempi come questo dimostrano come siano possibili, dal momento che l’opportunità di prendere in ostaggio organizzazioni ben finanziate potrebbe motivare un numero sempre maggiore di attacchi.
La crescita preoccupante della minaccia ransomware
In un recente studio Symantec analizza il fenomeno del ransomware mostrando come sia cresciuto nel tempo fino a diventare uno dei pericoli principali per le aziende e i consumatori. Il 2015 è stato un anno record, con la scoperta di 100 nuove famiglie di ransomware. La maggior parte dei nuovi ransomware è oggi del tipo più pericoloso, il crypto-ransomware, in grado di bloccare i file della vittima con una crittografia particolarmente robusta.
Il riscatto richiesto alle vittime è più che raddoppiato, passando da una media di 294 dollari alla fine del 2015 agli attuali 679 dollari. Quest’anno ha inoltre visto un nuovo record nelle richieste di riscatto, con una minaccia conosciuta come “7ev3n-HONE$T” (Trojan.Cryptolocker.AD) che ha richiesto un riscatto di 13 Bitcoin (del valore di oltre 5mila dollari a gennaio 2016, quando la minaccia è stata scoperta) per ogni computer infetto.
Chi sono le vittime preferite dei criminali?
Con il 31% delle infezioni a livello mondiale, gli Stati Uniti continuano a essere il paese maggiormente colpito dal ransomware. Italia, Giappone, Olanda, Germania, Regno Unito, Canada, Belgio, India e Australia completano la Top 10. Anche se al momento nella maggior parte dei casi le vittime sono consumatori (57%), i trend a lungo termine indicano una crescita lenta ma costante negli attacchi ransomware ai danni delle aziende più che di singoli individui.
Suggerimenti per aziende e consumatori
- Nuove varianti di ransomware compaiono regolarmente. È importante quindi che il software di sicurezza sia sempre aggiornato per assicurare una protezione ottimale.
- Allo stesso modo, è importante che siano sempre aggiornati il sistema operativo e gli altri software installati sul PC. Gli aggiornamenti software spesso includono patch per vulnerabilità scoperte solo nel tempo, che potrebbero essere sfruttate per attacchi ransomware.
- Le email sono uno dei principali metodi di infezione. Cancellare email sospette, specialmente se contengono link e/o allegati, consente di ridurre i rischi.
- Essere estremamente diffidenti nei confronti di ogni allegato che chieda di abilitare le macro per visualizzare il contenuto.
- Eseguire il back up dei dati importanti è il modo più efficace per combattere le infezioni da ransomware. I criminali ricattano le vittime criptando i loro file di valore e rendendoli inaccessibili. Se la vittima ha copie di backup, possono ripristinarli autonomamente dopo aver rimosso l’infezione.
Come proteggersi da minacce di questo tipo
Adottare un approccio su più livelli alla sicurezza dei dati consente di ridurre le possibilità di infezione. Symantec è in grado di offrire ai clienti una strategia a tutto tondo, che protegga i loro dati dal ransomware operando su tre livelli:
- Prevenzione: sicurezza delle email, prevenzione delle intrusion, analisi dei download, protezione del browser, Proactive Exploit Protection (PEP).
- Contenimento: l’avanzato motore dell’antivirus include tecnologie di apprendimento euristiche, tra cui SONAR e Sapient.
- Risposta: un team dedicato alla risposta in caso di incidenti aiuta le aziende a rispondere velocemente agli attacchi ransomware.
Per saperne di più
È possibile trovare maggiori informazioni sulla minaccia rappresentata dal ransomware e per saperne di più sulla strategia di Symantec per la protezione dal ransomware nel White Paper “Ransomware and Businesses 2016: An ISTR special report”.