Che cos’è il Ransomware e quali i settori di pubblica utilità più colpiti

Che cos’è esattamente il Ransomware?

Che cos’è il Ransomware?

Il cambiamento generato dal processo di digital trasformation e dall’uso delle nuove tecnologie accende i riflettori sul tema della Cyber Security, sottolineando l’importanza di adottare una efficace strategia di Information Security al fine di proteggere dati e informazioni sensibili da attacchi informatici come il Ransomware.

Che cos’è esattamente il Ransomware? Il Ransomware fa parte della famiglia dei Malware, abbreviazione del termine inglese malicious software, letteralmente “software malevolo”, che nell’ambito della sicurezza informatica indica un qualsiasi programma informatico utilizzato con lo scopo di per danneggiare il computer di un utente

Il Ransomware è un virus in grado di prendere il controllo del computer di un utente ed eseguire la crittografia dei dati oppure limitare l’accesso al dispositivo che infetta (pc, tablet, smartphone). In seguito, l’hacker chiede un riscatto (ransom, in inglese) alla vittima per ripristinare l’accesso al sistema o per riportare i file cifrati in chiaro.

In genere, la richiesta di pagamento, con le relative istruzioni, compare in una finestra che si apre automaticamente sullo schermo del dispositivo e il versamento del riscatto avviene usando una criptovaluta (BTC Bitcoin o altre).

Ransomware: come si diffonde?

Il Ransomware può essere installato sul dispositivo mediante forme di attacco informatico piuttosto sofisticate, come il controllo da remoto, tuttavia questo tipo di malicious software si diffonde soprattutto attraverso comunicazioni ricevute tramite email, sms o altri sistemi di messaggistica che:

  • Sembrano provenire da fonti conosciute considerate affidabili (ad esempio: gestore di servizio telefonico o Pubbliche Amministrazioni) o da persone fidate (ad esempio: colleghi di lavoro);
  • Contengono allegati apparentemente innocui da aprire oppure link o banner da cliccare per verificare informazioni o ricevere avvisi.

Il software malevolo può essere diffuso anche attraverso link o banner pubblicitari presenti su siti web o social network oppure tramite software o applicazioni (ad esempio: giochi o utilità per il pc) offerti gratuitamente con l’obiettivo di invogliare l’utente al download.

Secondo i dati contenuti nel Rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo, redatto dall’Associazione Italiana per la Sicurezza Informatica, i vettori di infezione dei Ransomware nel 2020 sono stati i seguenti:

  • Campagna Malspam per attacchi massivi:
    • aprire un allegato dove da questo si scatenava nell’immediatezza la cifratura dei file;
    • cliccare su un link che portava all’esecuzione di un file dal quale si attivava il processo di cifratura malevolo;
  • Navigazione su siti compromessi;
  • Attacchi mirati:
    • accesso via RDP (Remote Desktop Protocol);
  • Vulnerabilità della rete aziendale.

Dallo studio dell’Associazione Italiana per la Sicurezza Informatica emerge che le principali famiglie di Ransomware utilizzate nell’anno della pandemia per attacchi ai danni degli utenti italiani sono cinque:

  1. Dharma
  2. Phobos
  3. Maze
  4. Avaddon

Double extortion: che cos’è la doppia estorsione?

Il pagamento del riscatto non sempre corrisponde a un’effettiva “liberazione”: infatti, il pool di esperti che ha lavorato al Rapporto Clusit 2021 sottolinea che sempre più spesso i cyber criminali copiano i dati su server esterni prima di criptarli e minacciano di diffonderli e/o di metterli all’asta nel dark web per la vendita al miglior offerente.

Questo tipo di pratica viene chiamata in gergo double extortion, ovvero “doppia estorsione” ed è diventata molto comune nel 2020. L’obiettivo della double extortion è indurre la vittima a pagare il riscatto non solo per la decifratura, ma anche per evitare che i propri dati (ad esempio: contabilità, informazioni sui clienti, progetti e segreti industriali) possano diventare di pubblico dominio.

Va ricordato che, oltre al danno d’immagine, una violazione dei dati personali (Data Breach) che compromette la riservatezza, l’integrità o la disponibilità degli stessi, può essere sanzionata dal Garante Privacy in attuazione al Regolamento (UE) 2016/679, meglio noto come GDPR: le sanzioni pecuniarie possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.

Quali sono i settori più colpiti dal “malicious software”?

Dalla ricerca condotta dal team di Zscaler ThreatLabZ, che comprende esperti di sicurezza, ricercatori e ingegneri, emerge che negli ultimi due anni molti settori sono stati presi di mira da attacchi Ransomware a doppia estorsione.

Secondo i dati dello studio, pubblicato a maggio 2021, i più colpiti sono:

  1. Produzione (12,7%)
  2. Servizi (8,9%)
  3. Trasporto (8,8%)
  4. Vendita al dettaglio e all’ingrosso (8,3%)
  5. Tecnologia (8%)

Come evitare i rischi legati al Ransomware: 7 consigli del GPDP

La prudenza è la prima arma di difesa contro gli attacchi Ransomware: a dirlo è il Garante per la Protezione dei Dati Personali (GPDP) che raccomanda di non cliccare su link o banner sospetti e di non aprire né allegati di cui si ignora il contenuto né messaggi provenienti da soggetti sconosciuti o con i quali non si hanno rapporti (ad esempio: un operatore telefonico di cui non si è cliente).

Inoltre, anche se i messaggi provengono da soggetti conosciuti e ritenuti affidabili bisogna comunque adottare alcune precauzioni per evitare possibili rischi:

  1. Non aprire mai allegati con estensioni “.exe” perché sono a rischio e potrebbero installare applicazioni di qualche tipo nel dispositivo);
  2. Non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento);
  3. Scaricare preferibilmente applicazioni e programmi da market ufficiali;
  4. Se si utilizza un pc passare la freccia del mouse su eventuali link o banner pubblicitari ricevuti via e-mail o presenti su siti web senza aprirli. In questo modo, in basso nella finestra del browser, si può vedere l’anteprima del link da aprire e verificare se corrisponde al link che si vede scritto nel messaggio: in caso non corrispondano, c’è ovviamente un rischio;
  5. Installare su tutti i dispositivi un antivirus con estensioni anti-malware;
  6. Mantenere costantemente aggiornati il sistema operativo, i software e le applicazioni che si utilizzano più spesso;
  7. Utilizzare dei sistemi di backup per salvare una copia dei dati.

Proteggersi dai Ransomware: le soluzioni Namirial

Misurare l’efficacia dei controlli di sicurezza, identificare le minacce cibernetiche e individuare le lacune di presenti nelle aree tecnologiche sono gli obiettivi di Cyber Assessment di Namirial, la piattaforma innovativa in grado di eseguire una valutazione delle minacce informatiche da un punto di vista esterno e senza installare alcun software.

Si tratta di uno strumento che permette di individuare i settori in cui è necessario dare priorità agli investimenti al fine di proteggere il sistema informatico e prevenire la perdita di risorse a causa di attacchi informatici. Inoltre, Cyber Assessment aiuta le organizzazioni a rispettare l’articolo 32 d) a cui devono conformarsi ai sensi del regolamento generale sulla protezione dei dati (GDPR).

La piattaforma fornisce due tipi di analisi:

  • Vulnerability Assessment (VA): il servizio di Vulnerability Assessment (VA) consiste nell’analisi dei sistemi informatici con l’obiettivo rilevare le vulnerabilità note delle infrastrutture informatiche sul perimetro esposto della rete. Il servizio consente di ridurre il rischio derivante da attacchi informatici in maniera rapida e tempestiva prima che le vulnerabilità possano essere sfruttate dagli hacker. Alla fine del test viene generato un report contenente l’elenco di tutte le vulnerabilità individuate a cui è associata la relativa classe di rischio e la remediation per correggerle;
  • Cyber Threat Assessment (CTA): il servizio di valutazione delle minacce informatiche (che il include il Vulnerability Assessment) è in grado di rilevare le minacce informatiche, gli incidenti occorsi all’interno dell’organizzazione e le vulnerabilità dei sistemi e dei servizi esposti sulla rete pubblica. Questo tipo di analisi si basa su tecniche di cyber intelligence esterna, non prevede l’installazione di alcun software presso il cliente e analizza:
    • L’esposizione della superficie di attacco;
    • Le vulnerabilità tecniche dei sistemi;
    • La violazione dei dati;
    • Le infezioni da malware;
    • La condivisione di file su protocolli peer-to-peer e molto altro.

I report prodotti dall’analisi permettono all’azienda d’individuare e/o prevenire le violazioni dei dati e mettere in atto azioni mirate a mitigare il rischio informatico, salvaguardando così il proprio business. Nello specifico il servizio di valutazione delle minacce informatiche consente di:

  • Scoprire e porre rimedio alle minacce informatiche relative alle infezioni da malware;
  • Accertare credenziali trapelate (data breach);
  • Riconoscere violazioni di dati attraverso l’analisi del deep web;
  • Individuare trasferimenti di dati pericolosi e/o che violano diritti d’autore su reti peer-to-peer;
  • Identificare e dare priorità alla riparazione delle vulnerabilità.