Secondo un nuovo report Symantec, le aziende devono rispondere a un numero sempre crescente di attacchi ransomware, di fatto, le minacce di questo tipo sono in crescita continua.
Oggi ogni IT manager ha un incubo, quello di ricevere una telefonata e scoprire che centinaia di computer sono stati colpiti da ransomware, bloccando sistemi critici e mettendo a rischio tutte le operazioni dell’azienda. Uno scenario di questo tipo si è verificato nei mesi scorsi, con una grande azienda che ha scoperto di essere vittima di un attacco ransomware pianificato ed eseguito con cura.Dalle indagini si è poi scoperto come si fosse trattato di un perfetto esempio di una tipologia di attacchi progettati per colpire le aziende, un fenomeno in rapida crescita.
Mentre molti dei criminali responsabili degli attacchi ransomware si sono concentrati sulla diffusione indiscriminata delle minacce, pochi gruppi hanno invece preferito prendere di mira aziende specifiche alle quali chiedere somme più alte come riscatto, scommettendo sul successo economico di un’operazione di questo tipo. Molti gruppi responsabili di attacchi di questo tipo oggi dispongono delle competenze che solitamente si riscontrano nei casi di cyberspionaggio, con l’uso di strumenti che vanno dallo sfruttamento di vulnerabilità software all’utilizzo di programmi legittimi per accedere alla rete aziendale e perseguire i loro scopi.
Nel caso dell’attacco scoperto da Symantec, gli hacker erano entrati nella rete aziendale sfruttando una vulnerabilità ancora non corretta in uno dei server e, utilizzando diversi strumenti per l’hacking di pubblico dominio, hanno realizzato una mappa della rete della vittima e infettato più computer possibile con diverse varianti di un ransomware. La violazione ha causato un danno notevole per l’azienda, ma avrebbe potuto avere un impatto molto maggiore se i sistemi critici non fossero stati ripristinati velocemente, con la maggior parte dei dati crittografati dal ransomware ripristinati dai backup esistenti.
Attacchi di questo tipo sono ancora relativamente rari, ma esempi come questo dimostrano come siano possibili, dal momento che l’opportunità di prendere in ostaggio organizzazioni ben finanziate potrebbe motivare un numero sempre maggiore di attacchi.
Trend preoccupanti
Il più recente studio realizzato da Symantec per analizzare il fenomeno del ransomware mostra come sia cresciuto nel tempo fino a diventare uno dei pericoli principali per le aziende e i consumatori. Il 2015 è stato un anno record, con la scoperta di 100 nuove famiglie di ransomware. La gran parte dei nuovi ransomware è oggi del tipo più pericoloso, il crypto-ransomware, in grado di bloccare i file della vittima con una crittografia particolarmente robusta.
Il riscatto richiesto alle vittime è più che raddoppiato, in media, passando dai 294 dollari alla fine del 2015 agli attuali 679 dollari. Quest’anno ha inoltre visto un nuovo record nelle richieste di riscatto, con una minaccia conosciuta come “7ev3n-HONE$T” (Trojan.Cryptolocker.AD) che ha richiesto un riscatto di 13 Bitcoin (del valore di oltre 5 mila dollari a gennaio 2016, quando la minaccia è stata scoperta) per ogni computer infetto.
Quali sono le vittime preferite dei criminali?
Con il 31% delle infezioni a livello mondiale, gli Stati Uniti continuano a essere il paese maggiormente colpito dal ransomware. Italia, Giappone, Olanda, Germania, Regno Unito, Canada, Belgio, India e Australia completano la Top 10.
Mentre la maggior parte (57%) delle vittime continuano a essere i consumatori, i trend a lungo termine indicano una crescita lenta ma costante negli attacchi ransomware ai danni delle aziende più che dei singoli individui. Il settore dei Servizi, con il 13% degli attacchi alle aziende, è stato di gran lunga quello più colpito. Il Manifatturiero, con il 17% delle infezioni, così come i settori Finanziario, Assicurativo e Immobiliare e della Pubblica Amministrazione hanno fatto registrare numeri particolarmente elevati.
Suggerimenti per aziende e consumatori
• Nuove varianti di ransomware compaiono regolarmente. È importante quindi che il software di sicurezza sia sempre aggiornato per assicurare una protezione ottimale;
• Allo stesso modo, è importante che siano sempre aggiornati il sistema operativo e gli altri software installati sul PC. Gli aggiornamenti software spesso includono patch per vulnerabilità scoperte solo nel tempo, che potrebbero essere sfruttate per attacchi ransomware;
• Le email sono uno dei principali metodi di infezione. Cancellare email sospette, specialmente se contengono link e/o allegati, consente di ridurre i rischi;
• Essere estremamente diffidenti nei confronti di ogni allegato che chieda di abilitare le macro per visualizzare il contenuto è necessario quando non si è assolutamente certi della provenienza dell’email;
• Eseguire il back up dei dati importanti è il modo più efficace per combattere le infezioni da ransomware. I criminali ricattano le vittime criptando i loro file di valore e rendendoli inaccessibili. Se la vittima ha copie di backup, possono ripristinarli autonomamente dopo aver rimosso l’infezione.
Come proteggersi da minacce di questo tipo
Adottare un approccio su più livelli alla sicurezza dei dati consente di ridurre le possibilità di infezione. Symantec è in grado di offrire ai clienti una strategia a tutto tondo, che protegga i loro dati dal ransomware operando su tre livelli:
1. Prevenzione: sicurezza delle email, prevenzione delle intrusion, analisi dei download, protezione del browser, Proactive Exploit Protection (PEP).
2. Contenimento: l’avanzato motore dell’antivirus include tecnologie di apprendimento euristiche, tra cui SONAR e Sapient.
3. Risposta: un team dedicato alla risposta in caso di incidenti aiuta le aziende a rispondere velocemente agli attacchi ransomware.