Attacco Ransomware: come si diffonde e come proteggersi

Gli attacchi informatici crescono in quantità e in severità

Come si legge sul Rapporto Clusit 2022, il 2021 è stato l’anno peggiore mai registrato. Complessivamente i cyber attacchi gravi registrati nel mondo sono aumentati del 10% rispetto all’anno precedente. Degli attacchi rilevati, il 79% ha avuto un impatto “elevato” (contro il 50% dell’anno precedente), mentre sono diminuiti quelli di impatto “medio” e “basso”. L’aumento di frequenza e gravità ha portato la stima dei danni a 6 trilioni di dollari per il 2021 (da 1 trilione di dollari stimato per il 2020).

L’anno 2022 è iniziato con una guerra che viene combattuta non solo sul territorio geografico, ma anche nello spazio cibernetico. Non possiamo dunque che presagire ulteriori complicazioni per quanto riguarda la sicurezza informatica per l’anno in corso e per quelli futuri.

Date queste premesse, è importante capire quali sono i principali attacchi che aziende e privati hanno più probabilità di subire e come difendersi.

La principale tecnica di attacco: il Ransomware

Il Rapporto Clusit 2022 riconferma i Malware — e in particolare i Ransomware — gli strumenti preferiti dai cyber criminali. Essi rappresentano oltre il 40% delle tecniche di attacco utilizzate. Il Ransomware è un Malware che impedisce alla vittima di accedere ai propri dati e minaccia di pubblicarli o cancellarli se non viene pagato un riscatto (in inglese “ransom” significa appunto “riscatto”).

L’idea di infettare un PC tramite un virus per cifrare i dati al suo interno e chiedere un riscatto risale al 1989. Il biologo Joseph Popp diffuse il Trojan AIDS che, dopo aver criptato i file dell’hard disk, mostrava un messaggio per informare la vittima che un ipotetico software aveva la licenza scaduta e chiedeva di pagare 189 dollari per sbloccare il sistema.

Ma l’attacco che ha fatto conoscere a tutto il mondo la tecnica del Ransomware è stato WannaCry. Nel maggio 2017 sono stati infettati e bloccati oltre 230.000 computer in quasi 100 paesi. WannaCry si diffondeva tramite una vulnerabilità di Windows nella gestione del protocollo SMB, relativa allo scambio di file in rete. Il bug in questione è stato chiamato EternalBlue e si pensa sia stato sviluppato dalla NSA e poi trafugato da un gruppo di hacker chiamato “The Shadow Brokers”.

Come si diffonde

Sebbene WannaCry non si sia diffuso tramite un messaggio email, la maggior parte degli attacchi Ransomware, rivolti soprattutto alle aziende, parte proprio da un messaggio email che veicola un virus. Queste email possono contenere un collegamento a un sito web controllato da un malintenzionato dove l’utente scarica involontariamente il virus. Altre volte l’email contiene un allegato dannoso che, una volta aperto dall’utente, scarica e installa il virus nel computer. 

Come agiscono i cyber criminali

Il compito del virus è dare ai criminali accesso al sistema per poi stabilire quale sia il tipo di Ransomware più opportuno da portare avanti. Questi attacchi partono quasi sempre da un virus diffuso su larga scala, ma poi i criminali studiano le loro vittime singolarmente. In base alla dimensione della vittima – ovvero alla sua possibilità di pagare un riscatto più o meno elevato – decidono come intervenire:

• In automatico: il virus che ha già infettato il PC della vittima scarica un software che in automatico cifra i dati e poi mostra un messaggio con il costo del riscatto.

• Manualmente: se i dati sono tanti e di valore gli attaccanti si attivano per portarne una copia fuori dall’azienda (esfiltrarli). Dopodiché disabilitano o cancellano i backup e concludono cifrando i dati rimasti alla vittima o cancellandoli direttamente. L’unica alternativa che rimane per recuperare i dati è tramite la copia che gli attaccanti hanno portato fuori dal perimetro dell’azienda (pagando un riscatto).

• Una versione evoluta degli attacchi Ransomware prevede inoltre una permanenza prolungata dei criminali all’interno dei sistemi della vittima, con l’obiettivo di rubare informazioni per un lungo periodo di tempo.

• Il pagamento del riscatto in alcuni casi viene chiesto per scongiurare la diffusione dei dati rubati. Gli attaccanti che hanno in precedenza eseguito l’esfiltrazione, potranno minacciare di rendere pubblici dati riservati e/o sensibili inducendo la vittima a pagare ugualmente un riscatto. Si veda l’attacco all’italiana SIAE che avendo scelto di non pagare ha visto i suoi dati resi pubblici su Internet.

Quali sono gli strumenti e le tecniche per difendersi da un attacco Ransomware?

Non esiste un unico strumento ma una serie di tecniche e tecnologie per evitare il più possibile il rischio, ne citiamo alcune.

• Un sistema di backup che renda i dati immodificabili e/o custoditi al di fuori dell’azienda.
• Un sistema di Firewall a protezione del perimetro dell’azienda capace di rilevare eventuale traffico anomalo in uscita.
• Un software di protezione di tutti i dispositivi in uso agli utenti (Endpoint Protection).
• Un buon sistema di Email Security a protezione delle caselle email aziendali.
• Rendere consapevoli gli utenti del rischio mediante un percorso di formazione.

Per la gestione delle tue email aziendali suggeriamo di valutare i servizi offerti da Qboxmail

Qboxmail è un servizio di gestione delle email aziendali in cloud che mette a disposizione una suite di strumenti completi per gestire ovunque le email. Include un avanzato sistema di Email Security e Mail Time Machine, il servizio di backup automatico.

Per maggiori informazioni contattaci, saremo lieti di illustrarti in dettaglio i nostri servizi.

Se vuoi usufruire della prova gratuita di tutti i nostri servizi
per 30 giorni iscriviti qui

Clusit, nata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano, è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 600 organizzazioni, appartenenti a tutti i settori del Sistema-Paese. Qboxmail è socio dal 2021. Maggiori informazioni su clusit.it.