Negli ultimi anni gli attacchi ransomware sono cresciuti di intensità e complessità, arrecando danni e provocando un grosso impatto su numerose aziende in giro per il mondo. Un attacco ransomware sostanzialmente cripta i computer, blocca gli accessi ai dati aziendali e invia alla vittima una richiesta di riscatto in cambio della restituzione dei dati. In questo articolo tracciamo il quadro della minaccia ransomware così come si è delineata negli ultimi anni e approfondiremo come questi attacchi si sono diffusi rapidamente. Vedremo anche, insieme, cosa possiamo fare per ridurre al minimo i danni e rendere meno devastante l’impatto di un attacco ransomware.
Come inizia un attacco ransomware?
I ransomware sono software dannosi: per poter essere eseguiti sui sistemi bersaglio, gli attaccanti devono trovare un punto di accesso. Tra i metodi di diffusione ci sono:
- email di phishing: le email di phishing sono il metodo più comune e utilizzato per la diffusione dei ransomware. Queste email di phishing sono pensate per ingannare la vittima, convincendola a scaricare allegati dannosi o a fare click su link che reindirizzano a siti compromessi;
- siti web compromessi e malvertising: i cyber attaccanti usano siti web dannosi e l’advertisement per diffondere ransomware. Sfruttano le vulnerabilità dei browser web e di altri software. Quando un utente, assolutamente inconsapevole, clicca su uno di questi ads o finisce su un sito web compromesso, immediatamente il suo dispositivo finisce infettato dal ransomware;
- drive-by-download: questa circostanza si verifica quando un utente accede ad un sito web compromesso. Il semplice accesso al sito attiva, senza che l’utente ne abbia consapevolezza, il download del ransomware;
- exploit kit: sono kit che gli attaccanti utilizzano per individuare falle nei software e sfruttarle per installare malware. E’ una tecnica, questa, molto usata per distribuire ransomware;
- attacchi RDP (Remote Desktop Protocol): un attacco RDP si verifica quando l’attaccante usa credenziali rubate oppure facili da individuare per ottenere l’accesso remoto ad una rete. L’accesso alla rete consente di distribuire immediatamente il ransomware su più dispositivi;
- drive USB: le chiavette USB, gli hard disk esterni infetti sono un mezzo poco usato per distribuire i ransomware perchè richiedono l’accesso fisico alla rete o ai dispositivi bersaglio. Però consentono l’installazione immediata del ransomware.
- attacchi di ingegneria sociale: gli attaccanti cercano di ingannare gli utenti e convincerli a scaricare e installare il ransomware. Per farlo utilizzano tecniche di ingegneria sociale. Gli attaccanti, ad esempio, possono fingere di essere fornitori di software affidabili e popolari, magari inducendo l’utente a scaricare un falso aggiornamento che in realtà contiene il ransomware.
Alcuni attacchi ransomware celebri
Qui elenchiamo alcuni degli attacchi ransomware di più alto profilo occorsi negli ultimi anni:
Colonial Pipeline:
nel Maggio del 2021 un attacco ransomware ha colpito il Colonial Pipeline, che rifornsice di benzina la parte orientale degli stati Uniti. Gli attaccanti, che si suppone facciano parte del gruppo ransomware Dars Side, hanno richiesto come riscatto 4.4 miliardi di dollari in Bitcoin. Come conseguenza di questo attacco si è verificata una diffusa carenza di carburanti e un forte aumento del loro prezzo.
Una grande banca indiana:
nel 2018 un attacco ransomware mirato ha portato al furto di circa 13 milioni da una delle principali banche indiane. Dell’attacco è stato accusato un gruppo hacker operante dal Canada.
Wipro:
nel 2019 un attacco ransomware ha colpito il sistema di gestione dei clienti di Wipro, provocando il down dei sistemi. Dell’attacco è stato accusato il collet5tivo hacker nordcoreano Lazarus.
Bank of Maharastra:
nel 2018 un attacco ransomware ha causato la criptazione di moltissimi dati appartenenti alla Bank of Maharashtra. Gli attaccanti hanno presteso un riscatto in Bitcoin per fornire alla banca il decryptor per riportare in chiaro i file.
JBS:
uno tra i più grandi fornitori di carne al mondo, JBS, è stato colpito da un attacco ransomware nel Giugno del 2021. L’attacco ha comportato l’interruzione della produzione e fornitura di carne in Australia e in gran parte del Nord America. Gli attaccanti, che si pensa appartengano al gruppo ransomwarwe REvil, hanno chiesto 11 milioni di dollari in Bitcoin come riscatto.
Kaseya:
più di 1500 aziende in gir per il mondo sono state impattate dagli effetti di un attacco ransomware che, nel Luglio del 2021, ha colpito il software Kaseya VSA. Gli attaccanti, che si suppone facessero parte del gruppo ransomware REvil, hanno richiesto 70 milioni di dollari in Bitcoin. Questo è stato uno dei più gravi attacchi supply-chain della storia.
Acer:
nel Marzo 2021 il produttore taiwanese di computer è styato colpito da un attacco ransomware. La richiesta di riscatto è stata di 50 milioni di dollari. Gli attaccanti, che si presume facessero parte del gruppo REvil, hanno ottenuto l’accesso a informazioni aziendali confidenziali, minacciandone la diffusione in caso l’azienda avesse deciso di non pagare il riscatto.
Toshiba
nel Maggio del 2021 un attacco ransomware ha colpito le attività in Europa del produttore giapponese Toshiba. Il riscatto richiesto è stato di 34 milioni di dollari in criptovalute.
Attacchi ransomware in Italia> Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione
L’impatto di un attacco ransomware sulle infrastrutture critiche
Servizi critici come sanità, trasporti ed energia sono spesso bersagliati da attacchi ransomware che possono avere conseguenze molto gravi, come l’interruzione dei servizi o altri effetti devastanti. In particolare il settore sanitario è molto bersagliato dai gruppi ransomware a causa della necessità che hanno queste strutture di accedere molto velocemente ai dati dei pazienti per prestare cure salvavita.
Gli attacchi ransomware quindi, oltre a causare potenziali danni finanziari, possono determinare anche incidenti e perfino mettere a rischio, in particolari condizioni, la vita delle persone.
Tra gli effetti di un attacco ransomware troviamo:
- perdite finanziarie:
singoli utenti ma anche intere aziende possono subire consistenti danni finanziari come effetto di un attacco ransomware. Ad alcune vittime vengono richieste somme in riscatto veramente molto alte per recuperare i propri dati. Pagare, tra le altre cose, non assicura affatto che gli attaccanti concederanno il decryptor necessario per riportare i file in chiaro; - interruzione di servizi critici:
gli attacchi ransomware possono causare l’interruzione anche di servizi critici, causando disordine e mettendo a rischio le persone e le aziende; - furto dati e data breach:
gli attaccanti, prima di criptare i dati, rubano quanto trovano sulle reti. Dati personali, confidenziali, brevetti, informazioni di vario genere sono sempre nel mirino degli attaccanti. Spesso questi dati non sono usati solo per ricattare le vittime, minacciandone la pubblicazione, ma anche per commettere furti d’identità; - perdita di credibilità e reputazione:
gli attacchi ransomware, tra le altre cose, possono colpire l’immagine sia di singoli individui che delle aziende colpite, in particolar modo se le vittime non sono in condizione o in grado di recuperare i propri dati e sistemi e devono quindi informare il pubblico dell’attacco subito.
Che cosa possiamo fare per difenderci dagli attacchi ransomware?
Impedire la criptazione dei dati, personali o aziendali, ed evitare di finire sotto ricatto dei cyber attaccanti richiede di proteggere il sistema e organizzare solide difese anti ransomware.
Per saperne di più > Quick Heal è la prima compagnia indiana con un brevetto ufficiale USA per la tecnologia anti ransomware
Qui una lista delle principali e basilari misure di sicurezza (fermo restando che la sicurezza informatica va “disegnata” intorno alla rete e ai dispositivi a proteggere e quindi va costruita adattandola al contesto):
- mantieni i software aggiornati
assicurati che tutti i software che utilizzi ( sistema operativo, browser, programmi antivirus e tutte le altre applicazioni installate sul sistema) siano aggiornati agli ultimi update di sicurezza e all’ultima versione disponibile. Installa le patch. I ransomware molto spesso sfruttano le vulnerabilità di software non aggiornati o obsoleti; - usa password solide
password solide e l’autenticazione a due (o più fattori) sono strumenti di sicurezza molto importanti. Evita l’uso di password deboli come “p4ssword” o “123456”. Usa password diverse per account diversi; - scegli una solida soluzione antivirus
capace di individuare un ransomware e bloccarlo. Installa un antivirus affidabile e tienilo aggiornato; - fai il backup dei tuoi dati
almeno i tuoi dati principali dovrebbero essere backuppati. Fai il backup su un drive esterno oppure su una piattaforma di storage in cloud. Questi backup dovrebbero, almeno idealmente, essere conservati su una rete indipendente o su un diverso server per evitare che finiscano infettati in caso di attacco alla rete principale; - presta attenzione agli allegati e ai link che ricevi via email
non fare mai click su link sospetti o non identificabili. Non scaricare allegati da email inaspettate o provenienti da mittenti sconosciuti. Le email di phishing continuano ad essere uno dei principali vettori di attacco anche per i gruppi ransomware: - limita l’accesso ai dati sensibili
l’accesso ai dati sensibili o critici dovrebbe essere limitato a coloro che ne hanno davvero necessità. Facendo così, un ransomware ha meno possibilità diffondersi a file e cartelle sensibili; - formati e forma il tuo staff
resta aggiornato e informa il tuo staff sulle principali evoluzioni del mondo ransomware. Forma lo staff affinché sappia riconoscere e prevenire questa tipologia i attacchi. Il personale dovrebbe essere formato sulle procedure correte per usare i computer in sicurezza, compresa la consapevolezza di quanto sia rischioso, in caso di attacchi ransomware, cliccare su link poco sicuri o scaricare file sconosciuti.
Esperto in materia di ransomware
Mangesh Bhasme
