L’ascesa del ransomware 2.0 fa sempre più paura

Il 2020 ha visto un aumento del numero di attacchi ransomware 2.0 tra infostealer, allegati PDF e formule Excel. Quali sono alcune delle tendenze di cui le aziende dovrebbero essere consapevoli?

ransomware 2.0

Il ransomware non è una nuova tendenza e di certo non è qualcosa di sconosciuto alle aziende. Il 2020 ha visto gli aggressori sfruttare appieno il caos del COVID-19, con un’evoluzione esplosiva dell’estorsione online. L’anno scorso, quasi il 40% delle nuove famiglie di ransomware scoperte ha utilizzato sia la crittografia dei dati, sia il furto di dati nei loro attacchi.

Un recente rapporto di F-Secure ha esaminato l’aumento degli attacchi ransomware di furto di dati, in cui i criminali estorcono le organizzazioni minacciando di far trapelare i dati rubati se non pagano. Un metodo grezzo, ma efficace. Con la pandemia che costringe le aziende a passare a una forza lavoro distribuita e a una rete più ampia, si potrebbe pensare che sia un’opportunità d’oro per gli aggressori mirare a credenziali ed endpoint non protetti. Ma stiamo anche assistendo a una preoccupante attenzione ai dati sanitari, con un gran numero di attacchi informatici contro ospedali e unità di ricerca medica. Quindi, ci sono altre sorprese in chiave ransomware di cui le aziende dovrebbero essere consapevoli?

Tendenze ransomware nel 2020

Calvin Gan, Senior manager dell’Unità di difesa tattica di F-Secure, spiega come funzionano le tendenze del ransomware: “Sì, il ransomware esiste da molti anni, ma le tattiche si sono evolute costantemente, in modo simile alla moda”. Continua spiegando che è stato un gruppo di ransomware abbastanza audace da avviare la tendenza alla doppia estorsione (rubare i dati prima della crittografia) e altri gruppi hanno seguito l’esempio quando hanno visto quanto fosse efficace.

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Nel rapporto di F-Secure, le principali minacce malware per tipo sono state infostealer, Trojan di accesso remoto (RAT) e Trojan, che hanno rappresentato rispettivamente il 33%, 32% e 17% degli attacchi. I due infostealer più diffusi sono stati Lokibot e Formbook, programmi che rubano informazioni sensibili e riservate da un sistema infetto. Lokibeat include un componente keylogger che ruba le credenziali da browser, programmi di condivisione file e client di posta. Mentre Formbook, come suggerisce il nome, ha funzionalità di formgrabbing ed è comunemente un malware-as-a-service.

Una volta che gli infostealer ottengono l’accesso alle credenziali, le trasmettono ai gruppi di ransomware, che quindi prendono di mira le persone o le organizzazioni appropriate per i pagamenti.

Catene di approvvigionamento

La prossima tendenza significativa è un aumento degli attacchi alle catene di approvvigionamento. Il più grande che mi viene in mente è l’attacco alla catena di approvvigionamento di SolarWinds dello scorso anno. Circa 18.000 aziende hanno installato un aggiornamento software danneggiato dal fornitore, interessando diverse società di alto profilo e organizzazioni governative.

Nel 2020, i più comuni software/servizi che sono stati attaccati nella catena di fornitura sono stati i software utility (32%) e il software applicativo (24%). Di solito si tratta di editor di testo, file manager e anche client BitTorrent. Gli aggressori possono anche trarre vantaggio dai codici opensource, modificando i repository di codice, che interessano le aziende.

ransomware

Inviare malware tramite posta elettronica

Il prossimo in questo elenco di ransomware è il malware e-mail. La posta elettronica è stata utilizzata per oltre la metà di tutti i tentativi di infezione da malware nel 2020, fornendo il 52% dei payload dannosi ed è considerata il metodo più comune per diffondere malware negli attacchi informatici.

Ancora più interessante, il metodo utilizzato per diffondere il malware è tramite allegati, con circa uno su tre email di spam contenenti un allegato, mentre il resto aveva URL dannosi. Gli allegati più pericolosi sono stati i PDF, che hanno prodotto il 32% degli attacchi agli allegati negli ultimi sei mesi.

Ha senso, considerando la popolarità del tipo di file. Con la maggior parte del mondo che lavora in remoto, i PDF sono abbastanza facili da condividere su diverse piattaforme e dispositivi. E dove alcune persone sono più restie a cliccare sui link, un PDF è l’esca perfetta che molti farebbero comunque clic per controllare.

“Tutti noi siamo creduloni in qualche modo ed è qui che gli attori delle minacce sfruttano a loro vantaggio. Il phishing è così efficace perché il contenuto è qualcosa che fa scattare la nostra emozione ad agire per paura di perderlo (FOMO). Se solo potessimo prendere l’abitudine di riflettere su un’e-mail prima di agire, potremmo forse ridurre la percentuale di successo di un attacco di phishing”, ha affermato Gan. “È importante per noi utenti renderci conto che i phisher possono inviare facilmente ondate di email di phishing in qualsiasi momento e basta una sola vittima per cadere nella trappola”.

Vulnerabilità legacy e sicurezza più intelligente

Inoltre, non sorprende che gli aggressori stiano aspettando di sfruttare le vulnerabilità dei sistemi e dei software legacy. I reparti IT devono affrontare una sfida significativa nel mantenere sicura l’infrastruttura legacy. E questo è dimostrato dal fatto che il 61% di tutti i problemi riscontrati nelle reti aziendali aveva almeno cinque anni, a partire dal 2015 o prima. La sicurezza è un processo continuo e continuo che dovrebbe affrontare la prevalenza di vecchie vulnerabilità prive di patch.

Quindi come possono le aziende e i team IT difendersi meglio dagli attacchi ransomware? E che tipo di misure di sicurezza devono mettere in atto?

“Nella sicurezza, diamo molta importanza alla protezione delle organizzazioni grazie a perimetri di sicurezza solidi, meccanismi di rilevamento per identificare rapidamente le violazioni e piani di risposta e capacità per contenere le intrusioni. Tuttavia, anche le entità di tutti i settori devono collaborare per affrontare le sfide alla sicurezza più in alto nella catena di approvvigionamento. I gruppi di minacce persistenti avanzate sono chiaramente pronti e disposti a compromettere centinaia di organizzazioni attraverso questo approccio e dovremmo lavorare insieme per contrastarli”, commenta Gan.

 

I dati critici e sensibili dovrebbero essere crittografati, in modo che accedervi sia reso più difficile. Se un file non è più necessario, dovrebbe essere disinstallato, i servizi basati su Internet dovrebbero essere disabilitati quando non sono in uso e solo gli utenti autorizzati dovrebbero essere in grado di accedere a determinati tipi di file. E sì, sebbene anche i backup siano un buon metodo, devono essere più smart e protetti meglio: i nuovi backup dovrebbero essere scollegati dalla rete il prima possibile. E con le supply chain potrebbe essere una buona idea trattare i fornitori come per le operazioni interne: dovrebbero essere inclusi negli audit di routine e nei test di sicurezza.

Gli attacchi ransomware sono di natura opportunistica, sfruttano le vecchie vulnerabilità e l’incuria delle persone. I team di sicurezza devono essere di natura proattiva per contrastare queste potenziali violazioni.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!