Fin dalla loro prima apparizione, i ransomware hanno intrapreso un percorso evolutivo: da strumenti frammentari creati da appassionati isolati a una potente industria sotterranea che ha fatto la fortuna dei loro creatori. Per di più, per entrare in questo mondo oscuro, i costi si stanno abbassando.
Al giorno d’oggi, gli aspiranti criminali informatici non hanno più bisogno di creare il proprio malware o addirittura di acquistarlo sulla dark web. Non devono fare altro che accedere a una piattaforma RaaS (Ransomware-as-a-Service) su cloud. Facili da implementare e che non richiedono competenze di programmazione, tali servizi consentono praticamente a chiunque di utilizzare strumenti ransomware, e questo ha naturalmente portato a un numero crescente di incidenti informatici provocati da questa minaccia.
Un’altra preoccupante tendenza recente è il passaggio da un semplice modello di ransomware ad attacchi combinati che prelevano i dati prima di cifrarli. In questi casi, il mancato pagamento non comporta la distruzione delle informazioni, ma la loro pubblicazione su risorse pubbliche o la loro vendita in aste chiuse. In una di queste aste, che si è svolta nell’estate del 2020, sono state messe in vendita database di aziende agricole, rubati con il ransomware REvil, al prezzo di partenza di 55 mila dollari.
Sfortunatamente, molte vittime dei ransomware si sentono costrette a pagare nonostante sappiano che la restituzione dei dati non sia affatto garantita. Questo perché i cybercriminali tendono a prendere di mira aziende e organizzazioni che non possono tollerare tempi lunghi di inattività. I danni causati da un arresto della produzione, ad esempio, possono ammontare a milioni di dollari al giorno, mentre un’indagine su un incidente potrebbe richiedere settimane e non è sempre detto che tutto torni come prima. E che dire di organizzazioni e istituzione medico-sanitarie? In situazioni di emergenza, alcuni ritengono di non avere altra scelta se non quella di pagare.
Lo scorso autunno, l’FBI ha pubblicato una dichiarazione specifica sui ransomware, sconsigliando inequivocabilmente di pagare il riscatto ai cybercriminali (il pagamento, infatti, incoraggia altri attacchi e non garantisce in alcun modo il recupero delle informazioni cifrate).
Le notizie più importanti
Vi presentiamo alcuni incidenti avvenuti nei primi sei medi di quest’anno e che indicano la crescente portata del problema.
A febbraio scorso, la società danese di servizi ISS è stata vittima di un ransomware. I criminali informatici hanno cifrato il database dell’azienda, il che ha portato alla disconnessione dai servizi aziendali di centinaia di migliaia di dipendenti in 60 paesi. I danesi si sono rifiutati di pagare. Il ripristino della maggior parte dell’infrastruttura e la conduzione di un’indagine hanno richiesto circa un mese e le perdite totali sono state stimate tra i 75 e i 114 milioni di dollari.
In primavera, un ransomware ha colpito la multinazionale statunitense Cognizant, che fornisce servizi IT. Il 18 aprile la società ha ammesso ufficialmente di essere stata vittima di un attacco da parte del popolare ransomware Maze. I clienti utilizzano il software e i servizi dell’azienda per fornire assistenza a dipendenti in smart working, attività che ovviamente ha subito interruzioni.
In una dichiarazione inviata ai partner subito dopo l’attacco, come indicatori di compromissione Cognizant ha elencato gli indirizzi IP specifici del server Maze e gli hash dei file (kepstl32.dll, memes.tmp, maze.dll).
La ricostruzione di gran parte dell’infrastruttura aziendale ha richiesto tre settimane e, nei risultati finanziari del secondo trimestre del 2020, Cognizant ha riportato perdite tra i 50 e i 70 milioni di dollari.
A febbraio, il Redcar and Cleveland Borough Council (Regno Unito) ha subito un attacco. Il quotidiano britannico The Guardian ha citato un membro del consiglio di amministrazione, secondo il quale durante tre settimane, il tempo necessario per ripristinare efficacemente l’infrastruttura informatica utilizzata da centinaia di migliaia di cittadini, il consiglio è stato costretto ad affidarsi a “carta e penna” per le proprie attività.
Come difendersi
La strategia migliore è quella di essere preparati, dotando i servizi di posta elettronica, che sono potenziali gateway per l’accesso non autorizzato, di filtri antispam per bloccare o mettere in quarantena gli allegati eseguibili.
Se, nonostante la vostra preparazione, un attacco va a buon fine, riducete al minimo il tempo di inattività e i potenziali danni mantenendo regolarmente aggiornati i backup di tutte le informazioni fondamentali per il vostro business. Custodite i backup su un servizio su cloud sicuro.
Oltre ai prodotti sopra descritti per la vostra sicurezza digitale, vi consigliamo di utilizzare soluzioni specializzate come Kaspersky Anti-Ransomware Tool. Utilizzando l’analisi su cloud e del comportamento, Kaspersky Anti-Ransomware Tool impedisce ai ransomware di penetrare nei sistemi rilevando il comportamento sospetto delle applicazioni e, per i sistemi già infetti, lo strumento può annullare le azioni dannose.
La nostra soluzione integrata, Kaspersky Endpoint Security for Business, offre una protezione molto più ampia da tutte le tipologie di minacce. Oltre alle funzionalità Kaspersky Anti-Ransomware Tool, Kaspersky Endpoint Security for Business include: una gamma completa di strumenti Web e per i dispositivi, il nostro tool Adaptive Anomaly Control e le raccomandazioni per la configurazione dei criteri di sicurezza per la difesa dagli ultimi attacchi, ad esempio quelli via malware fileless.