Il 2022 non sembra essere l’anno giusto per una riduzione degli attacchi con ransomware.
I ransomware sono malware, ovvero software portatori di virus, in grado di infettare un dispositivo o un’intera rete informatica al fine di sottrarre dei dati sensibili e renderli inservibili, così da chiedere un riscatto con tanto di nota offensiva.
Secondo i dati pubblicati da Barracuda nel suo report periodico, il numero mensile di pericoli cibernetici con ransomware avrebbe raggiunto nuovi record, arrivando a toccare, nel primo semestre del 2022, un picco di 1,2 milioni di attacchi in un solo mese.
Gli obiettivi: i soliti noti
Le strategie delle organizzazioni criminali potranno anche cambiare, con la creazione di strumenti sempre più complessi per aumentare il potenziale di monetizzazione degli attacchi, ma i principali settori colpiti da queste offensive sembrano sempre gli stessi. È infatti emerso, dai cento attacchi più rilevanti del periodo oggetto di analisi, che i settori più colpiti sono quello della formazione, della sanità, delle infrastrutture, dell’economia e dell’amministrazione pubblica.
Numeri in costante crescita
In questi cinque settori chiave, il numero totale degli attacchi ransomware si è alzato, arrivando a toccare cifre doppie rispetto all’anno precedente. Gli aumenti all’interno della singola industria sono differenti, quindi è probabile che ci sia stato un diverso impegno nello sviluppare e applicare strategie difensive da parte di chi prende le decisioni. Sotto questa luce, l’incremento di attacchi a realtà amministrative o governative è molto ridotto rispetto al raddoppio o al triplicamento visto nei settori dell’educazione, della sanità e della finanza.
Ovviamente il fronte d’attacco si sta anche allargando, andando a colpire nuovi settori come quello legato alla fornitura di servizi, automotive, ospitalità, media, vendita al dettaglio, sviluppo di software e informatica e, più in generale, le aziende del settore tech.
In che cosa consiste un attacco ransomware?
Come abbiamo visto in precedenza, un attacco ransomware viene monetizzato attraverso una richiesta di riscatto. Affinché tale richiesta vada in porto è necessaria una certa leva negoziale, che spinga la persona, o l’organizzazione, vittima dell’estorsione a cedere.
A tale fine, l’organizzazione criminale che organizza un attacco ransomware deve ottenere un accesso approfondito all’interno del sistema operativo o della singola macchina che vuole infettare. Più sono i file coinvolti nell’attacco,sottratti o resi inservibili attraverso sistemi crittografici, maggiore sarà la potenziale richiesta.
Solitamente, un attacco ransomware si sviluppa attraverso questi tre passaggi:
- Infezione dell’obiettivo: il modo in cui il ransomware effettua il primo accesso, infettando il sistema preso di mira, può variare. In molti casi, l’accesso iniziale si basa sull’errore umano (perdita delle credenziali, click su link dannoso, ecc.). Infatti, lo strumento preferito dalle organizzazioni criminali per disseminare i propri ransomware è il phishing: un messaggio via email viene inviato all’azienda target, al cui interno è presente un link che, una volta cliccato, offrirà l’accesso alle reti societarie da parte degli hacker.
- Cifratura dei dati sensibili: può trattarsi di proprietà intellettuali o informazioni sui clienti, che vengono quindi cifrate e rese inservibili dal ransomware. Per sbloccarle e tornare ad avere pieno accesso ai sistemi è necessaria la chiave crittografica, oggetto del prossimo passaggio.
- Riscatto: i criminali promettono all’azienda colpita la chiave per riavere i propri dati in cambio del pagamento del riscatto (solitamente espresso in bitcoin). All’azienda viene dato un periodo di tempo ristretto per prendere la decisione ed effettuare il pagamento.
Come difendersi dal rischio di un attacco ransomware
L’aumento delle minacce cibernetiche e dei rischi informatici richiede una difesa concreta da parte di organizzazioni e soggetti individuali che necessitano di proteggere la propria reputazione e i propri dati sensibili.
Per passare all’atto pratico, queste sono le contromisure che si possono mettere in campo per difendersi da un attacco ransomware:
- Formare le proprie risorse umane: tutti i dipendenti, o più in generale le persone che fanno parte del perimetro informatico aziendale, dovrebbero essere a conoscenza delle nozioni di base per la sicurezza cibernetica. Tutti dovrebbero, quindi, sapere che non bisogna mai cliccare su un link, a meno che non si abbia la totale certezza che sia sicuro. Allo stesso modo, non bisognerebbe mai aprire un allegato che provenga da fonti sospette.
- Ripartire le proprie risorse all’interno del sistema informatico: il concetto di base è “non mettere tutte le uova in un solo paniere”. Un sistema informatico a compartimenti è meno soggetto a contaminazioni laterali: questo significa che, nel caso di un attacco ransomware, il danno sarà ridotto se i dati sensibili sono stati conservati in diverse sezioni.
- Utilizzare una connessione VPN: soprattutto quando ci si collega a reti WiFi pubbliche, l’uso di una connessione VPN è fondamentale. Ancora di più se il servizio offre una copertura anti-malware.
- Aggiornare costantemente gli elementi hardware e software della rete: tutti i componenti di un sistema informatico dovrebbero essere sempre aggiornati. Con gli aggiornamenti e le patch, infatti, si fa spesso fronte a bug o vulnerabilità di sicurezza che potrebbero essere capitalizzate dai criminali.