Che cos’è un attacco Ransomware?
Secondo i dati del Threat Landescape 2021, il report di ENISA, l’Agenzia Europea della Cybersecurity che identifica le principali minacce alla sicurezza informatica, l’attacco Ransomware registra un trend in costante crescita ed è stato lo strumento più utilizzato dai cybercriminali nel periodo compreso tra aprile 2020 e luglio 2021. Uno degli attacchi Ransomware più recenti e importanti è quello che il 23 marzo scorso ha colpito la rete Trenitalia/Ferrovie bloccando la vendita dei biglietti sia nelle biglietterie presenti all’interno delle stazioni, sia attraverso i self service.
Anche i risultati dell’indagine annuale Cyber Risk Management Survey 2022 di The Innovation Group, società di servizi di consulenza e di ricerca di mercato indipendente, mostrano un’intensificazione del fenomeno: almeno 1 azienda su 4, infatti, ha avuto un incidente informatico causato da Ransomware. Oggi, il 28% delle aziende afferma che la probabilità di incorrere in un Ransomware è “Alta” o “Altissima”, mentre un ulteriore 48% dice che è “Media”.
Ciò significa che nessuna realtà può dirsi immune da questa minaccia, come evidenziato dal Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, che inserisce il Ransomware tra gli attracchi più comuni ai danni della Supply Chain aziendale.
Che cos’è un Ransomware? Si tratta di un tipo di malware (abbreviazione del termine inglese malicious software, letteralmente “software malevolo”) utilizzato dai criminali informatici per prendere il controllo di un dispositivo digitale (pc, tablet, smartphone, smart TV) e bloccare l’accesso a tutti o ad alcuni dei suoi contenuti (ad esempio: foto e video) per poi richiedere alla vittima un riscatto (in inglese, ransom) per ripristinarli. Generalmente, la richiesta di pagamento compare in una finestra che si apre automaticamente sullo schermo del dispositivo e il versamento del riscatto avviene usando una criptovaluta, come i Bitcoin.
Un interessante approfondimento sul tema lo offre anche il Sophos Threat Report 2022 che analizza il cambiamento più significativo del fenomeno, ovvero il passaggio da hacker che agiscono “verticalmente”, e attaccano direttamente le organizzazioni, a un modello di Ransomware-as-a-Service (RaaS) in cui una banda di cyber criminali sviluppa il malware che successivamente viene “noleggiato” da un’altra gang di esperti di infiltrazione virtuale, dotati di competenze specifiche diverse da quelle degli autori del malware.
Riconoscere un attacco Ransomware: tipologie e vettori di attacco
Sono due le forme più comuni di attacco Ransomware:
- Locker: questo tipo di malware blocca le funzioni base del dispositivo infettato. Ad esempio, può negare l’accesso al desktop del pc e disabilitare solo parzialmente mouse e tastiera per consentire alla vittima dell’attacco informatico di interagire esclusivamente con la finestra contenente la richiesta di riscatto ed effettuare il pagamento. In genere, l’obiettivo del malware locker non è violare i file ma bloccare l’accesso agli stessi quindi è improbabile una completa distruzione dei dati;
- Cryptor: l’obiettivo del cryptor-ransomware è criptare i file contenuti nel dispositivo (documenti, foto, video) senza interferire con le funzionalità del dispositivo. È la forma di malware più aggressiva e la richiesta di riscatto è spesso accompagnata da un conto alla rovescia al termine del quale, se non si effettua il pagamento richiesto, i file vengono definitivamente cancellati.
Il Ransomware può essere installato sul dispositivo mediante raffinate forme di attacco informatico, come il controllo da remoto, tuttavia questi software malevoli si diffondono soprattutto attraverso comunicazioni ricevute via email (phishing), sms o altri sistemi di messaggistica che:
- sembrano provenire da soggetti conosciuti e affidabili (ad esempio: operatori telefonici) o da persone fidate, come i colleghi di lavoro);
- contengono allegati da aprire, spesso “con urgenza”, oppure link o banner da cliccare per verificare informazioni o ricevere avvisi.
In altri casi, il Ransomware può essere scaricato sul dispositivo quando l’utente:
- clicca link o banner pubblicitari su siti web o social network;
- naviga su siti web compromessi dagli hacker per diventare veicolo del contagio (drive-by download, che significa letteralmente “scaricamento all’insaputa”);
- effettua il download, attraverso software e app, di giochi e programmi per il pc offerti gratuitamente.
Inoltre, i malicious software possono diffondersi sfruttando le sincronizzazioni tra dispositivi, i sistemi di condivisione in cloud e la rubrica dei contatti che i criminali informatici usano per inviare ad altre persone messaggi contenenti link e allegati infetti.
È importante ricordare che, come evidenziato nel sito web del Garante per la protezione dei dati personali (GPDP) pagare il riscatto è solo apparentemente la soluzione più facile: infatti, pagando non si ha nessuna garanzia di riavere indietro i propri dati e si corre il rischio di finire nelle “liste dei pagatori” potenzialmente soggetti a periodici attacchi informatici. La soluzione è rivolgersi a tecnici specializzati in grado di sbloccare il dispositivo, denunciare l’attacco alla Polizia postale e rivolgersi al Garante per segnalare la violazione dei dati personali.
Come difendersi da un attacco Ransomware? CyberExpert la soluzione Namirial
Namirial, da sempre impegnata sul fronte della sicurezza informatica, negli ultimi anni ha incrementato significativamente gli investimenti in ricerca e sviluppo nel settore della Cyber security.
Sfruttando il proprio know how e la propria esperienza nel settore, Namirial ha realizzato CyberExpert, la piattaforma digitale dedicata alla sicurezza informatica che esegue la scansione delle minacce informatiche per consentire una corretta valutazione del rischio e attivare, di conseguenza, le contromisure idonee.
I risultati delle analisi sono fondamentali perché misurano l’efficacia dei sistemi di sicurezza, ne evidenziano le lacune e permettono di dare la giusta priorità agli investimenti nel campo della Cyber security.
Ecco quali sono i principali vantaggi di CyberExpert:
- Nessun software da installare: CyberExpert è una piattaforma web pronta all’uso: nessun software da installare con notevole risparmio di tempo e di investimenti;
- Semplicità di utilizzo: attiva la piattaforma attraverso la tua identità digitale SPID, inserisci i dati richiesti (indirizzo IP pubblico, email, dominio, indirizzo web) e pianifica l’analisi. Appena pronto, CyberExpert invierà il report direttamente al tuo indirizzo email;
- Report intuitivi: i report generati da Cyber Expert sono completi e di facile comprensione. Evidenziano le vulnerabilità dell’infrastruttura informativa, segnalano la presenza di tuoi dati nel deep web, di data breach, di malware e ti guidano nelle azioni di contrasto;
- API disponibili: sei un rivenditore? Integra la piattaforma Cyber Expert al tuo shop online attraverso le API che Namirial ti mette a disposizione. I tuoi clienti potranno accedere alla piattaforma direttamente dal tuo sito web.
Inoltre, CyberExpert di Namirial permette alle PMI di rispettare a pieno il regolamento generale sulla protezione dei dati dell’Unione Europea, meglio noto come GDPR.