Scopri come prevenire e rilevare attività dannose e rimanere aggiornato sulle principali tendenze nella protezione da un attacco ransomware.
Cos’è un attacco ransomware?
Un attacco ransomware è un attacco informatico dannoso sferrato dagli hacker per trarre un profitto economico.
Le vittime di tali crimini corrono un forte rischio in termini di reputazione online, perché i loro dati e le informazioni personali possono essere diffuse online.
I criminali informatici ottengono l’accesso a un sistema informatico e ne crittografano i dati, chiedendo quindi il pagamento in cambio della chiave di decrittazione.
Questo tipo di attacco è diventato sempre più comune negli ultimi anni e può avere conseguenze devastanti per le organizzazioni che non adottano le misure necessarie per proteggersi.
Secondo quanto riportato dall’ultimo report di Thales:
“Il 48% dei professionisti IT ha segnalato un aumento degli attacchi ransomware con il 22% delle organizzazioni che ha subito un attacco ransomware negli ultimi 12 mesi.”
Gli attacchi ransomware vengono in genere eseguiti mascherando il malware come un file legittimo e inducendo gli utenti inconsapevoli a scaricare il file sui propri sistemi.
Una volta che il codice dannoso è in esecuzione, crittografa i file sul sistema e richiede un riscatto alle organizzazioni in cambio di una chiave di decrittazione.
In un attacco ransomware, gli hacker installano software dannoso che sfrutta le vulnerabilità nei sistemi operativi per ottenere l’accesso ai computer.
Il software può provenire da un allegato di posta elettronica o essere inviato tramite attacchi di spear phishing o tecniche di ingegneria sociale come falsi popup.
Il ransomware utilizza anche motori polimorfici, che gli consentono di apparire come qualsiasi altro software legittimo, rendendo più difficile per gli amministratori di rete identificarlo.
Definizione di attacco ransomware
Per capire meglio cos’è un ransomware, possiamo ricorrere alla definizione fornita dall’agenzia governativa statunitense CISA:
“Il ransomware è una forma di malware in continua evoluzione progettata per crittografare i file su un dispositivo, rendendo inutilizzabili tutti i file e i sistemi che si basano su di essi.
Gli attori malintenzionati richiedono quindi un riscatto in cambio della decrittazione. Gli attori del ransomware spesso prendono di mira e minacciano di vendere o far trapelare dati esfiltrati o informazioni di autenticazione se il riscatto non viene pagato.”
Come funziona un attacco ransomware?
Gli attacchi ransomware possono essere lanciati tramite campagne di phishing via e-mail, siti Web dannosi o reti non protette.
Una volta che il ransomware è stato installato su un sistema informatico, crittografa tutti i dati e i file memorizzati su quel sistema.
A quel punto la vittima visualizza una richiesta di riscatto che richiede il pagamento per la chiave di decrittazione.
Se il pagamento non viene ricevuto entro un periodo di tempo specificato, gli aggressori possono minacciare di eliminare o pubblicare informazioni sensibili sul sistema informatico compromesso, come foto personali o informazioni bancarie.
Così il ransomware è diventato uno dei crimini informatici più diffusi che le organizzazioni hanno dovuto affrontare negli ultimi anni.
Come riportato da AAG, il ransomware ha rappresentato circa il 20% di tutti i crimini informatici nel 2022.
Seguono i cavalli di Troia ransomware e le botnet.
Le conseguenze di un attacco ransomware
Gli attacchi ransomware sono diventati una grave minaccia sia per le aziende che per i privati.
Sono software dannosi che possono crittografare i dati sul tuo computer, rendendoli inaccessibili fino al pagamento di un riscatto.
Questo tipo di attacco può comportare la perdita di dati, perdite finanziarie e crisi di reputazione online.
Per garantirti una protezione sicura su entrambi i fronti, contatta Andrea Baggio, esperto in reputazione online e in recupero dati.
È importante comprendere le conseguenze di un attacco ransomware in modo da poter adottare misure per proteggersi dal diventare una vittima.
Il ransomware può prendere di mira singoli utenti, aziende o entrambi.
Un esempio è il famigerato ransomware CryptoLocker che ha colpito più di 130 milioni di computer in tutto il mondo alla fine del 2013.
Perdita di dati
Un attacco ransomware è un tipo di attacco informatico che utilizza software dannoso per crittografare o bloccare i dati su un computer o un server.
Quando ciò accade, l’utente non è in grado di accedere ai propri dati fino a quando non paga un riscatto o ottiene la decryption key dall’attaccante.
Di conseguenza, vi è spesso una significativa perdita di dati associata a questi tipi di attacchi.
A seconda della gravità dell’attacco, possono essere necessarie settimane o addirittura mesi prima che gli utenti possano recuperare file crittografati.
In alcuni casi, potrebbe non essere affatto possibile.
Come evidenziato dall’Agenzia Europea per la cyber security (ENISA), tra maggio 2021 e giugno 2022 i ransomware hanno rubato circa 10 terabyte di dati al mese.
Il 58,2% dei dati rubati includeva dati personali dei dipendenti.
Ciò significa che le aziende e gli individui possono subire enormi perdite finanziarie a causa di questi attacchi.
Ciononostante, se sei vittima di un ransomware, non pagare il riscatto.
Interruzione delle attività aziendali
L’interruzione aziendale ransomware (RBI) è un tipo di attacco informatico che può causare un’interruzione significativa delle operazioni e dei dati di un’organizzazione.
Si verifica quando un ransomware viene utilizzato per crittografare i dati su computer e server all’interno di un’organizzazione.
Gli aggressori chiedono quindi un riscatto in cambio della chiave di decrittazione, che consentirà all’organizzazione di riottenere l’accesso ai propri dati crittografati.
Gli attacchi RBI stanno diventando sempre più comuni man mano che le organizzazioni fanno sempre più affidamento sulla tecnologia digitale e archiviano una quantità maggiore di informazioni sensibili online.
Un attacco RBI riuscito può comportare costosi tempi di inattività, perdita di produttività e persino perdite finanziarie per l’organizzazione interessata.
Costi per la riparazione dei danni
Il costo della riparazione del danno causato da un attacco ransomware può variare a seconda di molti fattori.
Secondo Getastra, si prevede che il ransomware costerà alle sue vittime circa 265 miliardi di dollari all’anno entro il 2031.
Questo, infatti, dipende dalla quantità di dati crittografati, la velocità con cui l’attacco è stato rilevato e la disponibilità o meno di backup.
Oltre al costo del ripristino dei dati persi, le organizzazioni potrebbero anche dover investire in ulteriori misure di sicurezza per prevenire futuri attacchi.
Ciò potrebbe includere l’assunzione di esperti di sicurezza IT e l’investimento in software antivirus, firewall e altri strumenti di sicurezza.
Inoltre, tra i costi vanno inclusi il recupero dei dati, la perdita di entrate dovute ad inattività, le spese legali e altri costi amministrativi.
Ciò dimostra l’importanza di avere una strategia di risk management, che sia in grado di tamponare tali perdite.
Anche i singoli individui incorrono nelle stesse perdite finanziarie.
Il rischio aumenta se l’individuo ha una presenza online che potrebbe essere utilizzata per estorcere alla vittima, ad esempio un blog.
La probabilità di estorsione aumenta se le informazioni condivise contengono dati sensibili come dati sanitari o bancari, perché entra in gioco la lesione dell’identità digitale della vittima.
Inoltre, le richieste di riscatto sono cinque volte più alte quando includono la esfiltrazione di dati.
E questo sta accadendo sei volte più spesso nel 2022 che nel 2019, come si legge nel report pubblicato da Arete e Cyentia.
Come prevenire un attacco ransomware?
Gli attacchi ransomware stanno diventando sempre più comuni ed è importante essere consapevoli delle misure che è possibile adottare per prevenirli.
L’identificazione e il contenimento delle violazioni di ransomware ormai richiedono 49 giorni in più rispetto alla media, sottolinea Getastra.
Fortunatamente, ci sono alcuni semplici passaggi che puoi adottare per proteggersi dagli attacchi ransomware.
Questi includono l’utilizzo di password complesse, l’aggiornamento del software, il backup regolare dei dati e l’evitamento di collegamenti o download sospetti.
Seguendo questi suggerimenti, puoi assicurarti di non diventare vittima di un attacco ransomware.
Educazione dei dipendenti sull’uso sicuro di internet
Nel mondo digitale di oggi, gli attacchi ransomware rappresentano una ricorrente minaccia per aziende e organizzazioni.
Come mostrato da Thales, il 55% degli intervistati ha identificato l’errore umano come la causa principale di una violazione dei dati nel cloud.
Pertanto, è importante educare i dipendenti sull’uso sicuro di Internet e su come proteggere i propri dati dagli attacchi ransomware.
La formazione dei dipendenti dovrebbe includere argomenti come riconoscere le e-mail di phishing ed evitare siti Web non sicuri.
Ma anche eseguire correttamente il backup dei dati e comprendere le implicazioni della condivisione di informazioni sensibili online, come filtrare questi dati può causare gravi crisi di reputazione online.
Istruendo i dipendenti su questi argomenti, le aziende possono ridurre il rischio di diventare vittime di un attacco ransomware.
Aggiornamento dei sistemi operativi e dei software antivirus
Aggiornare regolarmente i sistemi operativi e i software antivirus è una delle principali misure di sicurezza per prevenire gli attacchi ransomware.
Un aggiornamento dei sistemi operativi e dei software antivirus può aumentare la resistenza del dispositivo agli attacchi informatici, riducendo così il rischio di infezione da malware.
Gli aggiornamenti consentono inoltre di mantenere le ultime funzionalità e patch di sicurezza.
Tuttavia, c’è anche bisogno di prendere precauzioni aggiuntive per garantire la sicurezza del computer.
Ad esempio, è consigliabile utilizzare un firewall e scaricare solo software da fonti attendibili.
Backup regolari dei dati
I backup regolari dei dati sono una parte essenziale di una buona strategia di sicurezza informatica.
Un attacco ransomware può colpire qualsiasi azienda, causando la perdita di dati preziosi o l’interruzione delle operazioni aziendali.
I backup regolari consentono alle aziende di ripristinare file criptati e i propri sistemi in caso di interruzioni impreviste o di incidenti.
Per una buona politica di sicurezza informatica, è necessario che tutte le parti coinvolte conoscano i dati importanti contenuti nella propria infrastruttura.
Come si legge nel report redatto da Thales:
“Oltre un quarto (28%) ha affermato che le app SaaS e lo storage basato su cloud sono stati gli obiettivi principali, seguiti dalle applicazioni ospitate nel cloud (26%) e dalla gestione dell’infrastruttura cloud (25%).
L’aumento dello sfruttamento e degli attacchi del cloud è direttamente dovuto all’aumento dei carichi di lavoro che si spostano nel cloud poiché il 75% degli intervistati ha affermato che il 40% dei dati archiviati nel cloud è ora classificato come sensibile rispetto al 49% degli intervistati nel 2022.”
Ciò significa che le aziende non possono contare soltanto su backup online, ma devono necessariamente possedere anche copie offline.
Questo limita molto la possibilità di perdere in maniera definitiva i dati e libera anche dalla necessità di dover pagare un riscatto.
Come gestire un attacco ransomware?
Se non si prendono le giuste misure, un attacco ransomware può portare alla perdita permanente dei dati.
È quindi importante sapere come gestire correttamente un attacco ransomware in modo da minimizzare il danno e ripristinare la sicurezza dell’organizzazione.
Un’analisi condotta da Gartner mostra che il 70% dei CEO investirà in una cultura organizzativa di resilienza informatica entro il 2025.
Tieni innanzitutto a mente che, per gestire un attacco ransomware, è importante agire rapidamente ed eseguire alcune misure preventive per ridurre al minimo il rischio di infezione.
Di seguito vediamo quali sono alcuni semplici passi da seguire per limitare gli effetti collaterali.
Contattare esperti in sicurezza informatica
L’opzione migliore che hai se tu o la tua azienda siete stati colpiti da un attacco ransomware, è contattare degli esperti in sicurezza informatica.
Andrea Baggio, CEO di HelpRansomware, azienda partner del gruppo ReputationUP, ha la risposta al problema.
Il gruppo di esperti che lavora al recupero e ripristino dei file crittografati, ha anni di esperienza nel settore e adopera le migliori tecnologie in circolazioni.
Non pagare il riscatto
Anche se pagare il riscatto ti sembra l’opzione più semplice e veloce, ti sbagli.
Mai pagare il riscatto!
Tuttavia, come riporta anche Proofpoint, pagare il riscatto si è convertita in una pratica sempre più comune.
Il 58% delle organizzazioni infettate da un ransomware, infatti, è d’accordo con il pagamento del riscatto.
Questo numero è cresciuto rispetto al 34% del 2020.
Tra quelle che hanno pagato il riscatto, il 32% ha dovuto pagarlo due volte per poter riaccedere ai propri dati o al sistema.
Proprio per questa ragione è altamente sconsigliato pagare i criminali: pagando, gli hacker ti vedranno come un facile bersaglio.
D’altra parte, quando paghi il riscatto non hai la garanzia di ricevere indietro i tuoi dati, non fidarti dei criminali.
Identificazione della fonte dell’attacco
La fonte di un attacco ransomware può essere difficile da identificare.
Tuttavia, una volta che un’organizzazione è stata colpita da un attacco ransomware, è fondamentale individuarne la fonte per prevenire ulteriori danni.
Ci sono diversi metodi che le organizzazioni possono utilizzare per identificare l’origine del ransomware, come l’analisi dei log di sistema e l’utilizzo di strumenti di intelligenza artificiale (IA).
L’utilizzo di queste tecnologie consentirà alle organizzazioni di determinare con precisione la fonte dell’attacco e prendere le misure necessarie per prevenire futuri attacchi.
PandaSecurity prevede che i dispositivi IoT saranno sempre più utilizzati dagli aggressori per eseguire attacchi ransomware dal 2023 in poi.
Identificare la fonte costituisce una fase molto importante, perché a seconda del tipo di ransomware che ha sferrato l’attacco, si potrà agire.
Nonostante il procedimento per rimuovere i ransomware sia sempre molto simile, infatti, conoscere la fonte dell’attacco rende più semplice sapere dove agire.
D’altra parte, riconoscere la fonte dell’attacco, aiuta molto anche nel capire come il ransomware è entrato nel dispositivo e quali sono quindi i punti deboli da implementare.
A questo proposito considera che i sistemi operativi più presi di mira dai ransomware sono Windows (85%), MacOS (7%), Android (5%), iOS (3%), come riporta l’analisi di SafetyDetectives.
Conseguenze dell’attacco ransomware
Gli attacchi ransomware possono avere conseguenze molto gravi, tra cui la perdita dei dati e la compromissione della sicurezza informatica.
Inoltre, l’attacco può causare danni economici significativi se non viene affrontato tempestivamente.
I numeri riportati da Getastra sono inquietanti: il ransomware è la principale causa di perdita per le PMI, ricoprendo il 51% del costo totale degli incidenti; seguito dall’hacking con il 18%.
Le conseguenze di un attacco ransomware, quindi, possono essere catastrofiche per le aziende e gli individui colpiti, poiché possono causare la perdita di dati preziosi o danni alla loro reputazione digitale.
Tendenze attuali di attacchi ransomware
Negli ultimi anni, l’uso di ransomware è diventato sempre più diffuso e le minacce sono diventate più sofisticate.
Il report di Arete e Cyentia riporta che 7 dei primi 10 ceppi di ransomware visti nel 2022 non erano tra i primi 10 l’anno precedente.
Ciò indica dinamiche in rapida evoluzione tra i criminali informatici e le loro campagne.
Le tendenze attuali degli attacchi ransomware includono la diffusione su scala globale, l’utilizzo di tecniche avanzate per eludere i sistemi di sicurezza e la creazione di campagne mirate a gruppi specifici.
Le minacce ransomware si diffondono per mezzo di diversi modi, queste sono le più comuni riscontrate da SafetyDetectives:
- E-mail di phishing (67%);
- Mancanza di formazione sulla consapevolezza informatica (36%);
- Password deboli/gestione degli accessi (30%);
- Pratiche utente inadeguate (25%);
- Siti Web o annunci dannosi (16%);
- Altro (16%).
Molto comuni stanno diventando anche le campagne di hacking tramite social media, che chiedono un riscatto in cambio della restituzione dell’accesso.
Altri metodi includono l’utilizzo sistematico da parte del malware di servizi internet esterni, come Hotspot Shield o Tor.
Queste tecniche sono necessarie per distribuire il malware in quanto la maggior parte delle minacce ransomware non possono essere installate sul computer senza l’intervento di un utente.
Importanza della sicurezza informatica nella prevenzione degli attacchi ransomware
La sicurezza informatica è fondamentale per proteggere le aziende e gli utenti da attacchi ransomware.
Come riscontrato da Thales, il 51% delle aziende non ha un piano formale di difesa contro il ransomware.
Sebbene l’attacco sia difficile da prevenire, ci sono alcune misure che possono essere prese per ridurre il rischio.
Ad esempio, è importante mantenere aggiornati tutti i software e i dispositivi con le ultime patch di sicurezza, utilizzare firewall efficaci e limitare l’accesso a reti private solo agli utenti autorizzati.
Inoltre, è essenziale controllare con attenzione i server e le reti per essere certi che non ci siano intrusioni.
Consigli per la gestione degli attacchi ransomware
Per prevenire gli attacchi ransomware, è importante adottare alcune misure preventive.
Abbiamo parlato della necessità di creare backup regolari online e offline e l’utilizzo di software antivirus.
A questo bisognerebbe aggiungere la disattivazione della condivisione dei file e l’utilizzo di reti private virtuali (VPN).
Inoltre, è essenziale essere consapevoli della presenza di phishing e altri tentativi dannosi.
Secondo i dati di Getastra, il 40% delle aziende ha stipulato un’assicurazione per la sicurezza informatica quando si è verificato un attacco informatico a un’altra organizzazione dello stesso settore.
Anche questa è una soluzione valida, per lo meno per coprire gli alti costi causati dall’attacco.
Se si rileva che il sistema è stato compromesso da un attacco ransomware, è importante contattare immediatamente l’azienda che gestisce il sistema.
La maggior parte degli attacchi ransomware si verifica quando la vittima usa un dispositivo terminale mobile come smartphone o tablet in modo non conscio, quando l’azione è automatica e inconsapevole.
In questo caso, il dispositivo richiede l’autorizzazione del proprietario prima di eseguire alcune operazioni di crittografia sul contenuto della memoria.
Conclusioni
Gli attacchi ransomware sono una minaccia seria e molto ricorrente e pericolosa tanto per le aziende come per i privati.
Ecco le conclusioni che puoi trarre dal presente articolo:
- Il 48% dei professionisti IT ha segnalato un aumento degli attacchi ransomware;
- Il ransomware ha rappresentato circa il 20% di tutti i crimini informatici nel 2022;
- Tra maggio 2021 e giugno 2022 i ransomware hanno rubato circa 10 terabyte di dati al mese;
- Si prevede che il ransomware costerà alle sue vittime circa 265 miliardi di dollari all’anno entro il 2031;
- L’identificazione e il contenimento delle violazioni di ransomware ormai richiedono 49 giorni in più rispetto alla media;
- Il 70% dei CEO prevede di investire in una cultura organizzativa di resilienza informatica entro il 2025;
- Il ransomware è la principale causa di perdita per le PMI, ricoprendo il 51% del costo totale degli incidenti; seguito dall’hacking con il 18%;
- Il 51% delle aziende non ha un piano formale di difesa contro il ransomware.
Scegli bene come proteggerti da questa minaccia informatica.
Le conseguenze ricadono non soltanto sulle finanze della tua organizzazione, ma anche sulla sua e la tua reputazione digitale.
La perdita di dati o la fuga di informazioni che può comportare un attacco ransomware, infatti, mettono in pericolo l’opinione dei clienti sulla tua affidabilità.
Andrea Baggio, esperto in gestione della reputazione online e CEO di HelpRansomware ha messo insieme un team di specialisti nella protezione digitale di privati e aziende.