Login
-min.png)
Oggi i criminali non hanno quasi più bisogno di competenze per i ransomware. I "Trojan del ricatto" vengono offerti come servizio prenotabile, come altri software. Di conseguenza, anche le organizzazioni più piccole sono sempre più a rischio.
Il ransomware è un malware con un modello di business: prima cripta i dati di un'azienda, rendendoli inutilizzabili. Poi chiede un riscatto per invertire il processo.
Ora si aggiunge spesso un secondo mezzo di pressione: i criminali minacciano di pubblicare informazioni sensibili come il database dei clienti o di venderle al miglior offerente. In alcuni casi, i ricattatori arrivano persino a chiedere un riscatto ai clienti dell'azienda.
Allo stesso tempo, mentre prima gli aggressori prendevano di mira soprattutto le grandi organizzazioni, ora prendono di mira anche le piccole e medie imprese. Per questo non sono più necessarie conoscenze specialistiche: il "Ransomware-as-a-Service" lo rende possibile. Così come oggi è possibile trovare con pochi clic il software giusto per qualsiasi scopo aziendale, lo stesso vale per i malware come i "Trojan ricattatori".
Nel frattempo, le bande di ransomware sono diventate più professionali. Alcune offrono persino una ricompensa se qualcuno trova una vulnerabilità nel loro malware. Tali programmi di "bug bounty" sono altrimenti noti solo ai grandi fornitori.
I criminali dispongono di risorse sufficienti, dato che gli ultimi anni sono stati enormemente redditizi per loro. Organismi ufficiali come il National Cyber Security Centre (NCSC) mettono in guardia dal pagare il riscatto. Dopo tutto, questo dimostra ai criminali che le loro attività sono utili. Tuttavia, un numero sufficiente di organizzazioni ha ritenuto che questo fosse il modo migliore per uscire dalla propria situazione.
"L'NCSC sconsiglia di pagare un riscatto. Non c'è alcuna garanzia che i criminali non pubblichino i dati o ne traggano altri profitti dopo il pagamento del riscatto. Inoltre, ogni riscatto ottenuto motiva gli aggressori a continuare, finanzia l'ulteriore sviluppo degli attacchi e ne favorisce la diffusione." - NCSC
Solo nel 2021, gli attacchi ransomware hanno richiesto oltre 600 milioni di dollari, secondo le stime dello specialista di cybersecurity Sonicwall nel "2022 Cyber Threat Report". Due anni prima, la cifra era inferiore a 200 milioni di dollari.
Affinché il ransomware abbia effetto, i criminali devono prima installarlo su un computer dell'organizzazione bersaglio. Questo può assumere la forma di un allegato e-mail apparentemente innocuo, ad esempio. Altre possibilità sono le vulnerabilità di sicurezza nelle funzioni di accesso remoto ai PC, un problema importante soprattutto in tempi di home office e modelli ibridi. Metodi più elaborati, come lo spear phishing, sono utilizzati anche per obiettivi particolarmente interessanti.
Una volta superato questo ostacolo, il ransomware cerca di lavorare nel modo più discreto possibile. Le varianti moderne criptano solo parzialmente i file. L'effetto è lo stesso per le persone colpite, mentre le attività del malware sono accelerate e allo stesso tempo meno insidiose.
Una volta fatto ciò, il ransomware solitamente presenta un messaggio a schermo intero che spiega cosa è successo e come funziona il pagamento del riscatto.
La protezione di base contro il ransomware comprende i suggerimenti che già forniamo in relazione al malware in generale. Ciò include la formazione dei dipendenti e la loro sensibilizzazione al tema. Inoltre, tutti i sistemi devono essere sempre aggiornati. Leggete un altro articolo per scoprire quali sono i gateway più tipici.
Un altro consiglio è quello di effettuare backup che non siano collegati in modo permanente al computer in questione o a una rete interna. In caso contrario, sarebbero anch'essi criptati e quindi inutili se il peggio dovesse accadere.
Come già detto, gli esperti generalmente sconsigliano di pagare il riscatto. Un primo passo è quello di utilizzare questo sito web per scoprire quale ransomware è il colpevole. Le informazioni provengono dalla polizia olandese e da Europol. Con un po' di fortuna, il ransomware Trojan è già stato decifrato e i dati possono essere ripristinati.
È importante anche individuare il gateway: Come ha fatto il ransomware a entrare nei vostri sistemi? In questo caso è necessario colmare eventuali lacune di sicurezza per evitare ulteriori attacchi lungo lo stesso percorso. È consigliabile un controllo più generale della sicurezza informatica, poiché i criminali spesso ci riprovano dopo un attacco riuscito.
Se è disponibile un backup, occorre innanzitutto verificarne l'eventuale compressione da parte del ransomware. Spesso, infatti, questo tipo di malware si attiva solo dopo un certo lasso di tempo per annidarsi il più profondamente possibile.
Infine, di solito è necessario reinstallare i sistemi interessati.
Ulteriori informazioni sono disponibili sul sito dell'NCSC.
Data di prima pubblicazione: 03/09/2023
