Zpedia 

/ Che cosa sono i ransomware?

Che cosa sono i ransomware?

Il ransomware è un tipo di malware (software dannoso) che cifra e/o ruba i dati e li tiene in ostaggio in cambio del pagamento di un riscatto, che generalmente avviene in criptovaluta, ad esempio in bitcoin. Gli attacchi ransomware spesso cifrano i dati, impedendo alle vittime di accedervi a meno che non paghino un riscatto entro una data scadenza, decorsa la quale perdono definitivamente l'accesso. Il pagamento richiesto per una chiave di decifrazione può essere pari a centinaia o a milioni di dollari.

La storia dei ransomware e l'aumento degli attacchi

Anche se i criminali informatici li utilizzano da oltre 30 anni, negli ultimi anni gli attacchi ransomware sono aumentati notevolmente. Secondo l'FBI, gli attacchi ransomware hanno iniziato ad aumentare nel 2012 e non mostrano alcun segno di rallentamento.

In passato, i tecnici esperti erano in grado di contrastare con facilità gli attacchi ransomware che bloccavano il computer o i file di un utente. Negli ultimi anni però, questi attacchi sono diventati molto più sofisticati e, in molti casi, le vittime non hanno altra scelta se non quella di pagare il riscatto o perdere i propri dati per sempre.

Un cambiamento recente e molto significativo, riscontrato in diverse famiglie di ransomware, consiste nell'aggiunta di una funzione per l'esfiltrazione dei dati. Questa nuova funzione consente ai criminali informatici di esfiltrare i dati sensibili dalle organizzazioni prese di mira prima di cifrarli. I dati esfiltrati rappresentano una sorta di polizza assicurativa per gli aggressori: anche se le vittime dispongono di ottimi backup, saranno probabilmente disposte a pagare il riscatto per evitare la divulgazione dei propri dati.

A causa delle limitazioni insite nelle tecnologie di sicurezza più obsolete, come i firewall di ultima generazione, la maggior parte delle organizzazioni non è in grado di ispezionare integralmente il traffico cifrato. Gli aggressori lo sanno bene, ecco perché utilizzano sempre più frequentemente la crittografia per nascondere i propri link e gli allegati dannosi.

Testimonianza

Il modo migliore per evitare l'esposizione ai ransomware, o a qualsiasi tipo di malware, è utilizzare il computer in modo cauto e responsabile. I distributori di malware sono sempre più esperti, perciò bisogna fare attenzione a ciò che si scarica e si apre con un clic.

U.S. Federal Bureau of Investigation (FBI)

Come funzionano i ransomware

Un'infezione da ransomware viene diffusa comunemente tramite e-mail di phishing e annunci con link infetti o siti web in cui viene inserito un malware. Queste truffe spesso sembrano provenire da un'organizzazione legittima o da qualcuno noto alla vittima (negli attacchi mirati) e inducono l'utente a fare clic su un link dannoso o ad aprire un allegato che distribuisce il payload del ransomware sul dispositivo.

Negli attacchi ransomware diretti a un utente, solitamente, sono documenti, foto e dati finanziari a essere bloccati e presi in ostaggio. Anche se gli utenti possono rappresentare un obiettivo facile, sono le multinazionali (in particolare le organizzazioni più grandi) a essere le vittime più appetibili. Se gli aggressori riescono a far scaricare il malware anche da un solo dipendente, sono in grado di diffonderlo da quel dispositivo alla rete, dove la posta in gioco è molto più alta. Oltre ai danni legati all'interruzione dell'attività causati da un attacco, si aggiunge la minaccia della perdita o esposizione dei dati, che può rivelarsi devastante e rappresentare un costo per l'azienda in termini monetari e reputazionali.

Testimonianza

Anche l'impatto economico e reputazionale degli incidenti ransomware, durante l'interruzione iniziale e, a volte, anche durante le lunghe attività di ripristino, si è rivelato significativo, sia per le grandi che per le piccole imprese.

U.S. Cybersecurity & Infrastructure Security Agency

Tipi/esempi di attacchi ransomware

Tra le varie tipologie di ransomware e di gruppi di ransomware, alcuni dei più comuni e conosciuti sono:

  • Cryptolocker: nel 2014, il malware CryptoLocker è stato in gran parte neutralizzato grazie a una collaborazione internazionale tra società di sicurezza e autorità. Tuttavia, il successo che ha registrato ha portato allo sviluppo di una serie di sue imitazioni.
  • GandCrab: secondo il report di VirusTotal Ransomware in Global Context, dal 2020 questa famiglia è la più diffusa tra gli attacchi ransomware: il 78,5% dei campioni che sono stati considerati per il report ne fa parte.
  • REvil/Sodinokibi: questo gruppo è noto per aver rubato grandi quantità di informazioni dal settore legale, dell'intrattenimento e della pubblica amministrazione. Ha fatto notizia per la prima volta a maggio del 2020, per poi lanciare attacchi ogni mese da marzo a ottobre del 2021, incluso l'attacco a Kaseya VSA.
  • WannaCry: un cryptoworm ransomware che prende di mira il sistema operativo Microsoft Windows, e che dal suo rilascio nel 2017 ha colpito più di 300.000 sistemi in tutto il mondo (un numero che continua a crescere).
  • Ryuk: questo ceppo di ransomware è stato ricondotto a una serie di gruppi che hanno colpito settori come la sanità, il settore pubblico e l'istruzione, in particolare i sistemi scolastici statunitensi.
  • Evil Corp: questo gruppo è responsabile di Dridex, un tipo di malware distribuito tramite e-mail di phishing, noto per il furto di credenziali bancarie. Da allora è stato associato ad altri tipi di ransomware, come WastedLocker, BitPaymer e DoppelPaymer.

Questi sono solo alcuni degli esempi di ransomware più significativi, ma ogni giorno nascono nuove varianti, ciascuna progettata per attaccare vettori diversi. La tua organizzazione è davvero al sicuro dagli attacchi ransomware? Per scoprirlo, esegui un'analisi gratuita dell'esposizione alle minacce di Internet.

Testimonianza

Per quanto riguarda il ransomware, ciò che conta non è tanto la sofisticazione tecnologica, quanto lo sfruttamento dell'elemento umano. Semplicemente, è la versione digitale di un'antica tattica criminale.

Institute for Critical Infrastructure Technology

Ransomware as a Service (RaaS)

Il ransomware as a service è un prodotto della popolarità e del successo dei ransomware. Come per molte soluzioni SaaS legali, solitamente, gli strumenti RaaS sono basati su un abbonamento. Sono spesso economici e prontamente disponibili sul dark web, e forniscono a chiunque una piattaforma per lanciare un attacco, anche a coloro che non dispongono di competenze di programmazione. Se un attacco RaaS ha successo, il denaro incassato con il riscatto viene diviso tra il provider del servizio, il programmatore e l'abbonato.

Le best practice per la prevenzione dei ransomware

Alcune organizzazioni stanno investendo nella stipulazione di assicurazioni per la sicurezza informatica al fine di coprire i costi di un eventuale attacco o violazione dei dati; tuttavia, la scelta migliore per contrastare i ransomware è la prevenzione. Per proteggere le organizzazioni dai ransomware, la CISA (Cybersecurity & Infrastructure Security Agency) e l'FBI raccomandano quanto segue:

  • Eseguire il backup dei computer, in modo da poter ripristinare il sistema allo stato precedente.
  • Archiviare i backup separatamente, ad esempio su un disco rigido esterno o sul cloud, in modo che non sia possibile accedervi da una rete.
  • Aggiornare e applicare le patch ai computer per eliminare le vulnerabilità nelle applicazioni e nei sistemi operativi.
  • Offrire ai dipendenti sessioni formative continue e obbligatorie, per sensibilizzarli sul tema della sicurezza informatica e assicurarsi che siano a conoscenza delle minacce informatiche esistenti e delle best practice di sicurezza da adottare. Inoltre, accertarsi che prestino attenzione alle proprie e-mail, anche se inviate da mittenti conosciuti, e che ne verifichino la legittimità prima di aprire qualsiasi allegato o cliccare su qualsiasi link.
  • Creare un piano di continuità per le procedure correttive da seguire nel caso in cui l'organizzazione venga colpita da un attacco ransomware.
  • Utilizzare un software antimalware e/o antivirus, per aiutare gli utenti a bloccare le minacce prima che possano provocare danni.
  • Implementare solide misure di autenticazione, utilizzando lo zero trust per impedire agli hacker di violare la rete, le applicazioni e i dati.

Le migliori difese tecnologiche

La moderna tecnologia di difesa dai ransomware è altamente efficace e facile da distribuire. Una protezione di base dai ransomware inizia con l'adozione di un profilo di sicurezza sviluppato in modo nativo sul cloud, per proteggere utenti, applicazioni e dati sensibili indipendentemente dalla posizione degli utenti o dal dispositivo utilizzato.

Per difendersi dalle più comuni minacce ransomware di oggi, la strategia di prevenzione deve comprendere i seguenti principi e strumenti, in modo da evitare l'esposizione dei propri dati, l'interruzione della propria attività e perdite di tempo e denaro:

  • Utilizzare la quarantena in una sandbox basata su IA per bloccare e ispezionare i contenuti sospetti, prima di consentirne il passaggio al ricevente
  • Ispezionare l'intero traffico criptato con SSL/TLS per garantire l'assenza di minacce nascoste
  • Implementare la protezione sempre attiva per gli utenti all'interno e all'esterno della rete

Senza un sistema di sicurezza dedicato, nessuna azienda, grande o piccola che sia, è al sicuro dai ransomware. Evita che la tua azienda sia la vittima del prossimo ransomware o che si guadagni il prossimo titolo di giornale in seguito a un attacco.

Zscaler Sandbox sfrutta l'AI e il rilevamento delle minacce a più livelli per bloccare gli attacchi emergenti basati su file.

Rafforza la tua strategia di protezione dai ransomware oggi stesso

Come mostrano le ricerche e i titoli delle testate, i ransomware sono una minaccia costante. Zscaler, tuttavia, ha già aiutato migliaia di clienti a evitare che ransomware e innumerevoli altri attacchi raggiungessero le loro reti, offrendo una scalabilità impareggiabile e un'esperienza utente d'eccellenza.

Ecco alcune ulteriori risorse da prendere in considerazione per affinare la propria strategia di sicurezza generale:

La protezione contro i ransomware di Zscaler è in grado di interrompere tutte le fasi del ciclo di vita di un attacco con modalità che gli antivirus e gli altri strumenti di sicurezza legacy non sono in grado di implementare.

Risorse suggerite

Report del 2024 di ThreatLabz sui ransomware
Scarica il report
Che cos'è il ransomware a doppia estorsione?
Leggi l'articolo
Le quattro fasi di un attacco ransomware
Guarda il video
Valutazione del rischio di subire attacchi ransomware
Metti alla prova le tue difese contro i ransomware

01 / 02

FAQ