Scenario<\/h2>\n
Nel corso dell\u2019ultimo triennio, gli attacchi informatici sono cresciuti in modo esponenziale, con un impatto particolarmente significativo per le vittime in termini di perdite economiche, danni alla reputazione, e diffusione di dati sensibili. Il ransomware oggi rappresenta una delle minacce informatiche pi\u00f9 diffuse. Con l’aumento della connettivit\u00e0 digitale e la crescente dipendenza dalle tecnologie, esso si \u00e8 evoluto in forme sofisticate di cyberattacco che pu\u00f2 causare gravi danni finanziari e operativi a individui, aziende e istituzioni.<\/span><\/p>\n Partendo dalla definizione formale di ransomware \u201c\u00e8 un malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione\u201d (fonte <\/span>Wikipedia<\/span><\/a>), si pu\u00f2 comprendere che i <\/span>ransomware fanno capo ad una categoria specifica di malware che ha come obiettivo quello di ottenere un riscatto<\/b>. Purtroppo, gli attacchi che avvengono oggigiorno non si limitano solo a questo.<\/span><\/p>\n Partendo dalle radici, il malware ha subito diverse evoluzioni: in prima istanza il software era stato concepito semplicemente per cifrare dati, ma le recenti versioni presentano funzionalit\u00e0 che affiancano l\u2019esfiltrazione dei dati e successivamente la cifratura degli stessi.<\/span><\/p>\n Anche il modello di business adottato dai cybercriminali ha subito un\u2019evoluzione: partendo da un target di tipo domestico, gli avversari successivamente <\/span>hanno reso pi\u00f9 sofisticate le intrusioni ed hanno iniziato a colpire realt\u00e0 industriali con grossi fatturati<\/b>.<\/span><\/p>\n Ransomware a crittografia<\/strong>: <\/b><\/span>questa forma di ransomware crittografa i file sulla macchina infetta e richiede un riscatto per fornire la chiave di decrittazione<\/span><\/p>\n Ransomware a blocco schermo:<\/strong><\/span><\/b>\u00a0questa variante blocca l’accesso al sistema o alle specifiche applicazioni, visualizzando un messaggio che richiede un pagamento per sbloccare l’accesso.<\/span><\/p>\n Ransomware a doppia estorsione<\/strong><\/span><\/b>: questa tipologia minaccia di rivelare o pubblicare i dati rubati in aggiunta al pagamento del riscatto, aumentando la pressione sulle vittime.<\/p>\n Phishing<\/strong><\/span><\/b>: gli attaccanti inviano e-mail o messaggi ingannevoli che inducono le persone a cliccare su link o allegati infetti.<\/span><\/p>\n Exploit di vulnerabilit\u00e0<\/strong><\/span><\/b>: sfruttando falle di sicurezza in software o sistemi operativi non aggiornati, il ransomware pu\u00f2 essere installato senza l’interazione dell’utente.<\/span><\/p>\n Drive-by download<\/strong><\/span><\/b>: il ransomware viene scaricato automaticamente quando l’utente visita un sito web compromesso o clicca su un annuncio dannoso.<\/p>\n<\/div><\/div><\/div><\/div><\/div> Questo approccio si basava inizialmente sul <\/span>reclutamento o vendita del malware mediante annunci<\/b> pubblicati in forum underground deep e darkweb. Con il passare del tempo e successivi eventi geopolitici, la rete di affiliazione si \u00e8 evoluta in qualcosa di pi\u00f9 complesso: <\/span>le affiliazioni cybercriminali sono divenute organizzazioni<\/b>. Dietro agli ultimi attacchi si celano gruppi ransomware operanti come vere e proprie softwarehouse.\u00a0<\/span><\/span><\/span><\/p>\n Una volta compresa la realt\u00e0 e le potenzialit\u00e0 che l\u2019accesso offre, gli avversari vendono le informazioni utilizzando i medesimi canali underground. Gli acquirenti di questo tipo di informazione sono <\/span>i Penetration tester, f<\/span><\/i>igure che si occupano di effettuare l\u2019attacco vero e proprio. Gli avversari utilizzano gli accessi acquisiti per entrare nel perimetro vittima, eseguono attivit\u00e0 che possono essere assimilate a comuni attivit\u00e0 di pentest, esfiltrano le informazioni di interesse e successivamente eseguono il malware avendo cura di cancellare i backup.<\/span><\/span><\/p>\n L’utilizzo di criptovalute come Bitcoin rende pi\u00f9 difficile tracciare i pagamenti del riscatto, offrendo un certo grado di anonimato agli attaccanti.<\/span><\/p>\n<\/div> <\/span><\/p>\n Gli attacchi ransomware, essendo attivit\u00e0 definite Human-drived (condotte manualmente), possono essere complessi. <\/span>Avere consapevolezza di come gli avversari operano e di quali siano gli strumenti utilizzati dagli stessi permette di mitigare la possibilit\u00e0 di essere coinvolti dalle attivit\u00e0 estorsive<\/b>.<\/span><\/span><\/p>\n Gli attacchi cyber sono rivolti trasversalmente a tutti i settori merceologici ma tra le vittime pi\u00f9 colpite rientrano il Finance & Insurance, il Government, i Service Providers ed il settore dei Media.<\/span><\/p>\n<\/div> <\/span><\/p>\n Gli sforzi di contrasto al ransomware richiedono la collaborazione tra governi, forze dell’ordine e aziende di sicurezza informatica a livello globale. Ma non basta: \u00e8 fondamentale la consapevolezza e la formazione degli utenti<\/b>: promuovere l’educazione sulla sicurezza informatica e sensibilizzare le persone sui rischi del ransomware \u00e8 indispensabile oggi per prevenire gli attacchi.<\/span><\/p>\n<\/div> <\/span><\/p>\n Purtroppo non c\u2019\u00e8 modo di annullare la possibilit\u00e0 che un attacco ransomware possa avvenire, ci\u00f2 che si pu\u00f2 fare \u00e8 mitigare il rischio che asset critici vengano coinvolti.<\/span><\/p>\n <\/p>\n Vulnerability assessment<\/b><\/strong>:<\/span> effettuare periodicamente assessment di vulnerabilit\u00e0 che possano evidenziare criticit\u00e0 presenti nel perimetro aziendale.<\/span><\/p>\n Segmentare le rete mediante firewall<\/b><\/strong>:<\/span> limitare la superficie di attacco mediante firewall che attraverso policy permettano di definire insieme segmenti di rete e DMZ.<\/span><\/p>\n Effettuare awareness<\/b><\/strong>:<\/span> predisporre sessioni di training per i propri dipendenti al fine di mitigare eventuali attacchi di social engineering.<\/span><\/p>\n Utilizzare MFA (multi factor authentication)<\/b><\/strong>:<\/span> ove possibile introdurre la multi factor authentication su servizi critici per limitare attivit\u00e0 di credential stuffing. Endpoint hardening<\/b><\/strong>:<\/span> introdurre l\u2019utilizzo di soluzioni EDR o eventualmente antivirus al fine di avere pieno controllo sulle macchine client joinate al perimetro aziendale.<\/span><\/p>\n Definire piani di aggiornamento ed effettuare review degli apparati legacy<\/b><\/strong>:<\/span> Utilizzare politiche di aggiornamento software e valutare la sostituzione di apparati legacy che non ricevono pi\u00f9 supporto da parte dei vendor.<\/span><\/p>\n Backup<\/b><\/strong>:<\/span> predisporre piani di backup. Si consiglia un backup offline o out-of-band. I backup andranno validati e verificati periodicamente. Utilizzare SIEM e LOG MANAGER<\/b><\/strong>:<\/span> l\u2019utilizzo di SIEM e LOG manager permette di avere una visione immediata degli eventi che possono capitare durante un incidente informatico.<\/span><\/p>\n<\/div> Per contrastare il progresso tecnologico ed organizzativo della cyber criminalit\u00e0, <\/span>smeup<\/b> propone un servizio di <\/span>assessment della rete aziendale<\/b><\/a>, che ottimizza l\u2019efficienza e la sicurezza dell\u2019infrastruttura IT aziendale.<\/span><\/p>\n L\u2019obiettivo delle attivit\u00e0 di IT Assessment \u00e8 di produrre una fotografia del livello di efficacia e sicurezza dell\u2019architettura del sistema informativo aziendale, proponendo come output una serie di punti di miglioramento, atti a rimuovere \u201c<\/span>single point of failure<\/span><\/i>\u201d, per diminuire nel futuro i rischi.<\/span><\/p>\n Per far fronte alla professionalit\u00e0 dell\u2019attaccante, occorre una conoscenza approfondita delle vulnerabilit\u00e0 dell\u2019infrastruttura IT, un\u2019analisi approfondita di sistemi, dispositivi, apparecchiature, reti e tutti gli altri punti di connessione, nonch\u00e9 del layout della rete aziendale: come sono collegati i singoli componenti, come le reti sono collegate tra loro, come\/se l\u2019accesso remoto \u00e8 consentito.<\/span><\/p>\n<\/div>Tipologie di ransomware<\/b><\/h2>\n
![\"\"](\"https:\/\/www.smeup.com\/magazine\/wp-content\/uploads\/sites\/5\/2023\/07\/Tipologie-ransomware-1024x356.png\")
<\/p>\nMetodi di distribuzione del ransomware<\/b><\/h2>\n
Ransomware-as-a-Service (RaaS): le sfide per le imprese di oggi<\/span><\/h2>\n<\/div>
Impatto sociale ed economico<\/span><\/h2>\n<\/div>
Lotta contro il ransomware<\/span><\/h2>\n<\/div>
Alcune misure per limitare attacchi ransomware<\/span><\/h2>\n<\/div>
![\"\"](\"https:\/\/www.smeup.com\/magazine\/wp-content\/uploads\/sites\/5\/2023\/07\/Misure-ransomware-1024x535.png\")
<\/p>\n
\n<\/span><\/p>\n
\n<\/span><\/p>\nCome possiamo supportare la continuit\u00e0 del business delle imprese<\/b><\/h2>\n