Evitare il Ransomware Cover Giacomo Lanzi

Evitare il Ransomware: ecco perché è meglio non correre alcun rischio

Tempo di lettura: 5 minuti

Le ransomware gang hanno preso di mira le aziende negli ultimi tempi, chiedendo pagamenti più grandi di quelli che possono estorcere ai consumatori. Il piano ha avuto molto successo. Secondo i nuovi dati il 70% delle aziende attaccate hanno pagato il riscatto per riavere i loro dati. Evitare il ransomware è una necessità, queste cifre lo dimostrano implicitamente. Se un così alto numero di aziende paga, è perché il rischio è troppo grande in termini di reputazione e perdite economiche collaterali.

I ricercatori di IBM Security’s X-Force hanno intervistato i dirigenti di 600 aziende di tutte le dimensioni e hanno scoperto che le organizzazioni colpite dal ransomware scelgono di pagare nella maggior parte dei casi.

I dati mostrano che il 20% delle organizzazioni compromesse hanno pagato riscatti di più di 40.000 dollari e il 25 per cento ha pagato tra i 20.000 e i 40.000 dollari. Questi numeri sono molto più alti di quello che i consumatori pagano tipicamente, che di solito è una cifra intorno a 500$-1.000$, a seconda della variante del ransomware.

Quando prendono di mira le imprese, i gruppi hacker mirano a paralizzare le organizzazioni criptando i dati finanziari, i database dei clienti, i dati di vendita e altre informazioni vitali.

Evitare il ransomware – i rischi degli attacchi

Nell’ultimo anno un certo numero di organizzazioni sono state colpite da gravi attacchi ransomware, compresi ospedali, università e altri. Per esempio, la San Francisco Municipal Transportation Authority è stata colpita da un attacco ransomware durante il fine settimana del Ringraziamento, una festività molto importante negli USA. L’attacco ha paralizzando i desktop all’interno dell’agenzia e costringendo i funzionari a spegnere le biglietterie automatiche. Inutile dire che questo attacco si è tradotto in una perdita enorme di indotto e la richiesta del riscatto.

Far entrare un malware nelle organizzazioni pubbliche non è così difficile come si potrebbe pensare, e spesso viene fatto con una singola e-mail.

Nei loro attacchi alle reti, i cyber criminali cercano i server che tengono in piedi l’azienda e criptano risorse fondamentali piuttosto che lavorare sugli endpoint dell’intera azienda.

Il punto di accesso è di solito un’e-mail di phishing con un allegato dannoso, inviato alla casella di posta elettronica di un dipendente. Nella maggior parte dei casi, l’allegato è un documento di Microsoft Office che chiede alla vittima di attivare le macro. Cliccare sul pulsante di attivazione delle macro è spesso una questione da poco per quegli utenti poco informati che vogliono solo far sparire l’avviso in cima al documento. Il malware viene eseguito non appena l’utente permette l’esecuzione delle macro. Il ransomware può anche arrivare attraverso qualsiasi altro allegato o attraverso kit di exploit che facilitano l’infezione senza alcuna azione speciale da parte dell’utente.

Le perdite economiche

La quantità di denaro che le imprese hanno pagato per riavere i loro dati non dovrebbe essere una sorpresa, considerando l’alternativa. Come avviene sempre più spesso, l’attacco non si limita a mettere sotto chiave i dati fino al pagamento della cifra richiesta. La minaccia continua con la diffusione dei dati se non si accetta di pagare un secondo riscatto. Alla fine si saranno pagati due riscatti e comunque non c’è una certezza che i dati non saranno divulgati. (È detto attacco a doppia estorsione).

Molte organizzazioni tengono questi attacchi nascosti per evitare l’umiliazione pubblica e la perdita di fiducia dei clienti. I dati del sondaggio di IBM mostrano che il 29% dei dirigenti di grandi aziende pagherebbe più di $50.000 per recuperare i dati finanziari.

Le forze dell’ordine, compresa l’FBI, e gli esperti di sicurezza consigliano alle vittime di ransomware di non pagare, per una serie di ragioni. In primo luogo, non c’è garanzia che l’attaccante consegni la chiave di decifrazione. In secondo luogo, i profitti del ransomware aiutano a finanziare altre operazioni di criminalità informatica.

Come difendersi per evitare il ransomware

Il phishing rimane uno dei metodi chiave con cui viene tentato un attacco ransomware. In seguito all’aumento recente del lavoro da remoto, è indispensabile ribadire l’importanza di stare attenti quando si aprono e-mail e allegati. Se i dipendenti hanno dei sospetti su qualcosa, dovrebbero segnalarlo.

Le organizzazioni dovrebbero anche assicurarsi di avere una buona strategia di patch e applicare gli ultimi aggiornamenti di sicurezza. Questo impedisce ai criminali informatici di approfittare delle vulnerabilità conosciute per distribuire malware.

Aggiornare regolarmente i backup dovrebbe essere una priorità, perché se accade il peggio e l’organizzazione cade vittima di un attacco ransomware, la rete può essere ripristinata senza pagare il riscatto.

SOD fornisce soluzioni per le situazioni elencate tramite il servizio SOCaaS. Puoi assicurarti la protezione di un Security Operation Center senza dover investire per il suo finanziamento iniziale.

Il sistema controlla tramite un’intelligenza artificiale le azioni dei computer collegati alla rete. Non appena viene rilevata un’azione sospetta, anche legittima, vengono avvisati i tecnici che possono indagare sulla natura del fatto. I sistemi SIEM di nuova generazione e l’analisi comportamentale tramite UEBA, collaborano per offrire una sicurezza a 360°.

SOD mette a disposizione anche sistemi di backup intelligente anti-ransomware tramite Acronis Cyber Protect Cloud. Con questo strumento al tuo fianco, i dati aziendali e dei clienti sono al sicuro. Ogni tentativo di attacco viene individuato e mitigato immediatamente, intanto, grazie a backup dinamici, i dati sono immediatamente ripristinati.

Evitare il ransomware può essere relativamente facile: basta prestare attenzione a ogni operazione che si esegue sui computer. A volte, purtroppo, questo non è sufficiente. È il momento in cui avere investito in un sistema di sicurezza di qualità farà la differenza.

Per domande o richieste non esitare a contattarci, saremo lieti di rispondere alle domande e proporti una soluzione su misura per le tue esigenze.

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Backdoor.Win32.InfecDoor.17.c / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/1fd70e41918c3a75c634b1c234ec36fb.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.InfecDoor.17.c Vulnerability: Insecure Permissions Description: The malware writes a ".420" settings file type to c drive granting change (C) permissions to the authenticated user group. Standard users can...
  • Trojan-Mailfinder.Win32.VB.p / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/20e438d84aa2828826d52540d80bf7f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Mailfinder.Win32.VB.p Vulnerability: Insecure Permissions Description: The malware writes a dir with multiple PE files to c drive granting change (C) permissions to the authenticated user group. Standard users can […]
  • Backdoor.Win32.Shark.btu / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/5a83f8b8c8a8b7a85b3ff632aa60e793.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Shark.btu Vulnerability: Insecure Permissions Description: The malware writes multiple PE files to c drive granting change (C) permissions to the authenticated user group. Standard users can rename the executable...
  • Yashma Ransomware Builder v1.2 / Insecure Permissions Giugno 28, 2022
    Posted by malvuln on Jun 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/13e878ed7e547523cffc5728f6ba4190.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Yashma Ransomware Builder v1.2 Vulnerability: Insecure Permissions Description: The malware creates PE files with insecure permissions when writing to c:\ drive, granting change (C) permissions to the authenticated user […]
  • AnyDesk Public Exploit Disclosure - Arbitrary file write by symbolic link attack lead to denial-of-service attack on local machine Giugno 28, 2022
    Posted by chan chan on Jun 27Hi FullDisclosure, I would like to publish an exploit that I found on AnyDesk as follows. # Exploit Title: AnyDesk allow arbitrary file write by symbolic link attack lead to denial-of-service attack on local machine # Google Dork: [if applicable] # Date: 24/5/2022 # Exploit Author: Erwin Chan # […]
  • SEC-T CFP ongoing Giugno 28, 2022
    Posted by Mattias Bååth via Fulldisclosure on Jun 27Hey all It's now less than two weeks to submit a talk to SEC-T 2022, at least if you want to be part of the first talk selection round (recommended) that we kick off July first. SEC-T is non-profit, non-corporate, two day, single track, con in Stockholm, […]
  • CFP No cON Name 2022 - Barcelona Giugno 28, 2022
    Posted by Jose Nicolas Castellano via Fulldisclosure on Jun 27No cON Name 2022 - Barcelona ************************************ *****  Call For Papers        ****** ************************************ https://www.noconname.org/call-for-papers/ Exact place not disclosed until a few weeks before due celebration.     * INTRODUCTION The organization has  opened CFP proposals. No cON Name is the eldest Hacking and Security Conference in Span. […]
  • Onapsis Security Advisory 2022-0007: Directory Traversal vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0007: Directory Traversal vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) ## Impact on Business Exposing the contents of a directory can lead to a disclosure of useful information for the attacker to devise exploits, such as creation times of files or […]
  • Onapsis Security Advisory 2022-0006: Information Disclosure vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0006: Information Disclosure vulnerability in SAP Focused Run (Simple Diagnostics Agent 1.0) ## Impact on Business Running unnecessary services, like a jetty webserver, may lead to increased surface area for an attack and also it unnecessarily exposes underlying vulnerabilities. ## Advisory Information - […]
  • Onapsis Security Advisory 2022-0005: Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad Giugno 21, 2022
    Posted by Onapsis Research via Fulldisclosure on Jun 21# Onapsis Security Advisory 2022-0005: Cross-Site Scripting (XSS) vulnerability in SAP Fiori launchpad ## Impact on Business Impact depends on the victim's privileges. In most cases, a successful attack allows an attacker to hijack a session, or force the victim to perform undesired requests in the SAP […]

Customers

Newsletter