Ransomware Definizione: Cos’è E Perchè È Pericoloso

Ransomware Definizione: Cos’è E Perchè È Pericoloso

Leggi la guida e scopri la definizione ransomware in tutte le sue sfaccettature: che cos’è, perché è un metodo di attacco così efficace e come puoi proteggere la tua organizzazione da questo pericolo.

Che cos’è il ransomware [DEFINIZIONE]

Il ransomware è una forma avanzata di attacco informatico e una delle minacce che i team di sicurezza di tutto il mondo devono affrontare più di frequente.

Il ransomware viene utilizzato per colpire tutte le organizzazioni, dai piccoli team alle grandi imprese, dalle città alle reti governative.

Sebbene semplice nel concetto, il ransomware è estremamente dannoso: ha il potenziale per paralizzare le reti e causare danni catastrofici alle infrastrutture.

Infatti, si tratta di un tipo di malware che, una volta scaricato su un dispositivo, codifica o elimina tutti i dati fin quando non viene pagato un riscatto per ripristinarli.

Si è stimato che nel 2020 ci sia stato un attacco ransomware ogni 14 secondi, numeri che si abbasseranno ulteriormente nel 2021: le previsioni parlano di un attacco ogni 11 secondi.

ogni quanti secondi avviene un attacco ransomware definizione guida helpransomware

Uno degli attacchi ransomware più famoso è quello innescato da WannaCry.

WannaCry ha infettato oltre 230.000 computer in 150 aziende in un solo giorno, ha crittografato tutti i file trovati su i dispositivi e ha richiesto agli utenti di pagare $ 300 in bitcoin per ripristinarli.

L’alternativa è: paghi il riscatto o decidi di non cedere al ricatto e rivolgerti a una società che è in grado di rimuovere il ransomware e decriptare i file?

WannaCry ha colpito soprattutto grandi organizzazioni: il National Health Service nel Regno Unito è stato uno degli obiettivi di più alto profilo.

Sorprendentemente, l’impatto dell’attacco è stato inferiore a quello ipotizzato perché è stato fermato in tempi relativamente brevi e non ha preso di mira infrastrutture altamente critiche, come ferrovie o centrali nucleari.

Anche così, l’attacco ha causato perdite economiche di milioni di dollari.

Più recentemente, 23 città del Texas sono state colpite da attacchi ransomware nei quali gli aggressori hanno chiesto 2,5 milioni di dollari per ripristinare i file crittografati.

In generale, il ransomware è un tipo di attacco particolarmente diffuso nelle organizzazioni finanziarie: il 90% ha subito un attacco nell’ultimo anno.

quante aziende vengono colpite da ransomware che cos'è guida helpransomware

Come funziona il ransomware?

Il ransomware si innesca scaricando un software dannoso su un dispositivo endpoint, come un computer desktop, laptop o smartphone.

Di solito questo processo viene avviato a causa di errori dell’utente e ignoranza dei rischi per la sicurezza.

Un metodo molto comune attraverso il quale i malware vengono diffusi sono gli attacchi di phishing: l’utente malintenzionato allega a un’e-mail un documento o un URL infetto, mascherandolo come sicuro per indurre gli utenti ad aprirlo installando così il malware sul dispositivo.

Altrettanto popolare è l’utilizzo di un tipo di virus detto cavallo di troia. In questo caso il ransomware viene mascherato da software legittimo, quindi infetterà i dispositivi dopo che gli utenti lo avranno installato.

Crittografia dei file

Il ransomware in genere funziona molto rapidamente.

In pochi secondi il software dannoso assumerà il controllo del critical process del dispositivo e cercherà i file da crittografare, il che significa che tutti i dati presenti all’interno verranno codificati mentre, probabilmente, il ransomware eliminerà tutti i file che non può crittografare.

Il ransomware infetterà quindi qualsiasi altro disco rigido o dispositivo USB connesso alla macchina host infetta.

Anche eventuali nuovi dispositivi o file aggiunti al dispositivo infetto verranno crittografati dopo questo punto.

Quindi, il virus inizierà a inviare segnali a tutti gli altri dispositivi sulla rete, per tentare di infettare anche loro.

L’intero processo avviene in modo estremamente rapido e in pochi minuti il dispositivo visualizzerà un messaggio simile a questo:

cosa succede a chi viene infettato da ransomware wannacry cos'è definizione guida helpransomware

Questo è il messaggio visualizzato dagli utenti che sono stati infettati dall’attacco ransomware WannaCry.

Come puoi vedere, si tratta di una forma di ricatto informatico, con il quale si comunica agli utenti che i loro file sono bloccati e che, se non verrà effettuato un pagamento, questi verranno eliminati.

I pagamenti saranno probabilmente richiesti in bitcoin, poiché questa moneta virtuale non può essere tracciata.

Spesso, inoltre, c’è un conto alla rovescia, che serve a far pressione sulle aziende affinché agiscano rapidamente nel saldare il riscatto agli aggressori.

Esistono diversi tipi di ransomware.

Alcuni minacciano di rendere pubblici i dati crittografati, il che è estremamente pericoloso per le aziende che hanno bisogno di proteggere i dati aziendali o dei clienti.

Un’altra modalità prevede lo scareware, che inonda il computer di pop-up e chiede un riscatto per risolvere il problema seguendo lo stesso principio: un programma dannoso infetta il computer e viene richiesto un pagamento per rimuoverlo.

Perché il ransomware è così efficace?

Come abbiamo appena detto, il ransomware può essere estremamente dannoso per le aziende.

Innanzitutto queste devono fronteggiare la perdita di file e dati che sono frutto di duro lavoro, o dati dei clienti che sono fondamentali per il buon funzionamento della tua organizzazione.

Si aggiunga la perdita di produttività, poiché le macchine saranno inutilizzabili: secondo Kaspersky, nella maggior parte dei casi, le organizzazioni impiegano almeno una settimana per recuperare i propri dati.

In ultimo, ma decisamente non per importanza, c’è da calcolare la perdita economica data dalla necessità di sostituire le macchine infette, pagare una società IT per porre rimedio all’attacco e mettere in atto la protezione per impedire che si ripeta.

Per questi motivi molte aziende ritengono di non avere altra scelta che pagare il riscatto, anche se è altamente raccomandato non farlo (soprattutto perché non gli garantisce la decrittazione dei dati).

Il ransomware prende di mira le debolezze umane

Prendendo di mira le persone con attacchi di phishing, gli aggressori possono aggirare le tradizionali tecnologie di sicurezza con il ransomware.

La posta elettronica è un punto debole nell’infrastruttura di sicurezza di molte aziende e gli hacker possono sfruttarlo utilizzando e-mail di phishing per indurre gli utenti ad aprire file e allegati dannosi.

Utilizzando il virus cavallo di Troia, gli hacker prendono di mira proprio l’errore umano inducendoti a scaricare inavvertitamente file dannosi.

Il problema principale qui è la mancanza di consapevolezza delle minacce alla sicurezza da parte della maggioranza degli utenti: molte persone non sono consapevoli del tipo di minaccia in cui potrebbero imbattersi né tanto meno di quali sono le pratiche che dovrebbero evitare in rete o ancora di quali file scaricare o aprire su internet o nelle e-mail.

Questa mancanza di consapevolezza della sicurezza aiuta il ransomware a diffondersi molto più rapidamente.

Mancanza di forti difese tecnologiche

Gli attacchi ransomware stanno crescendo a un livello record, con gli aggressori che sviluppano malware sempre più sofisticati.

Molte aziende non dispongono delle solide difese necessarie per bloccare questi attacchi perché possono essere costose e complicate da implementare e utilizzare.

Spesso i dirigenti aziendali si convincono della necessità di possedere delle solide difese di sicurezza soltanto quando ormai è troppo tardi e i sistemi sono già stati compromessi.

Hardware e software scaduti

Oltre a non disporre di solide difese contro gli attacchi, molte organizzazioni fanno troppo affidamento su hardware e software obsoleti e, nel tempo, gli aggressori scoprono le vulnerabilità della sicurezza.

Le aziende tecnologiche spesso distribuiscono aggiornamenti di sicurezza, ma non per tutte le organizzazioni hanno modo di verificare che queste li stiano installando.

Diverse organizzazioni fanno anche molto affidamento su computer meno recenti che non sono più supportati, il che significa che sono aperti alle vulnerabilità.

Questo è uno dei motivi principali per cui il virus WannaCry ha avuto così tanto successo.

Ha preso di mira molte grandi organizzazioni come l’NHS, che per la maggior parte utilizza macchine vecchie di decenni con sistemi operativi che non sono più regolarmente supportati dagli aggiornamenti.

L’exploit utilizzato da WannaCry per infettare i sistemi è stato effettivamente scoperto due mesi prima dell’attacco ed è stato corretto da Microsoft; tuttavia, i dispositivi non sono stati aggiornati e quindi l’attacco si è diffuso rapidamente.

Come puoi fermare il ransomware?

Ransomware soluzioni: quale adottare? La risposta è semplice.

Il modo migliore che le aziende hanno per fermare gli attacchi ransomware è avere un approccio proattivo rispetto alla sicurezza e assicurarsi di disporre di protezioni efficaci prima che il ransomware possa infettare i sistemi.

Per le emergenze, consulta anche la nostra guida sui 150 migliori strumenti di decrittazione ransomware.

Ma visto che è sempre meglio prevenire che curare, ecco alcuni suggerimenti da mettere in atto per proteggerti dai futuri attacchi ransomware.

Come puoi fermare il ransomware definizione cos'è guida helpransomware

Protezione anti-virus per endpoint affidabile

Uno dei modi più efficienti per fermare il ransomware è disporre di una buona soluzione di sicurezza degli endpoint.

Queste soluzioni vengono installate sui dispositivi e impediscono a qualsiasi malware di infettare i sistemi.

Offrono inoltre agli amministratori la possibilità di vedere quando i dispositivi sono stati compromessi e garantire che siano stati installati gli aggiornamenti di sicurezza.

Queste soluzioni possono aiutare a proteggere da download dannosi e possono avvisare gli utenti quando visitano siti Web rischiosi.

Certo, non è garantito che questi sistemi siano efficaci al 100% poiché i criminali informatici cercano sempre di creare nuovi malware in grado di aggirare gli strumenti di sicurezza, ma si tratta comunque di un passaggio cruciale per una protezione efficace contro il malware.

Sicurezza delle e-mail in entrata e in uscita

Poiché il ransomware viene comunemente inviato tramite e-mail, la sicurezza della posta elettronica è fondamentale per fermare il ransomware.

Le tecnologie di scansione delle e-mail filtrano le comunicazioni attivando le difese per gli URL e utilizzando il sandboxing degli allegati per identificare le minacce e bloccarne la consegna agli utenti.

Questo passaggio può impedire al ransomware di arrivare sui dispositivi endpoint e evita che gli utenti installino inavvertitamente il ransomware sul proprio dispositivo.

Il ransomware viene comunemente distribuito anche tramite phishing.

I gateway di posta elettronica possono bloccare gli attacchi di phishing, ma esistono anche tecnologie di protezione post-consegna, che utilizzano la memorizzazione automatica e algoritmi di intelligenza artificiale per rilevare gli attacchi di phishing e mostrano banner di avviso all’interno delle e-mail per avvisarti dei contenuti sospetti.

Web Filtering e tecnologie di isolamento

Le soluzioni di filtro Web DNS impediscono agli utenti di visitare siti Web pericolosi e di scaricare file dannosi.

Ciò aiuta a bloccare il download da Internet dei virus che diffondono ransomware, inclusi i cavalli di Troia che mascherano il malware come software aziendale legittimo.

I filtri DNS possono anche bloccare annunci dannosi di terze parti.

I filtri Web devono essere configurati per bloccare in modo aggressivo le minacce e impedire agli utenti di visitare domini pericolosi o sconosciuti.

L’utilizzo dell‘isolamento può anche essere uno strumento importante per bloccare i download di ransomware: le tecnologie di isolamento rimuovono completamente le minacce isolando l’attività di navigazione in server protetti e mostrando agli utenti un rendering sicuro.

In questo modo puoi prevenire il ransomware poiché qualsiasi software dannoso viene eseguito nello spazio protetto e non arriva agli utenti.

Il vantaggio principale dell’isolamento è che non influisce in alcun modo sull’esperienza dell’utente, offrendo un’elevata efficacia di sicurezza con un’esperienza di navigazione senza interruzioni.

Training sulla consapevolezza della sicurezza

Il personale interno alla tua organizzazione può essere la tua peggiore falla nella sicurezza.

Negli ultimi anni c’è stata un’enorme crescita di piattaforme che si occupano di creare una consapevolezza intorno al problema della sicurezza, educando gli utenti ai rischi che corrono utilizzando Internet a lavoro e a casa.

Una formazione adeguata aiuta ad avere utenti consapevoli delle minacce che si celano all’interno della posta elettronica o della rete in generale. 

Di conseguenza, saranno al corrente sulle migliori pratiche di sicurezza da seguire per bloccare il ransomware, ad esempio assicurarsi che i loro endpoint siano aggiornati con il software di sicurezza più recente.

I corsi di formazione sulla sicurezza in genere forniscono anche tecnologie di simulazione del phishing.

Ciò significa che gli amministratori possono creare e-mail di phishing simulate personalizzate e inviarle ai dipendenti per verificare l’efficacia con cui possono rilevare gli attacchi.

La simulazione del phishing è un modo ideale per visualizzare l’efficacia della sicurezza in tutta l’organizzazione ed è uno strumento utile per identificare quei dipendenti che potrebbero necessitare di maggiore formazione sulle procedure che gli consentono di bloccare la diffusione del ransomware.

Backup e ripristino dei dati

Se l’attacco ransomware ha avuto esito positivo e i tuoi dati sono stati compromessi, il modo migliore per procedere è ripristinare rapidamente i dati di cui hai bisogno e ridurre al minimo i tempi di inattività.

Il modo migliore per proteggere i dati è garantire che venga eseguito il backup in più posizioni, inclusa l’area di archiviazione principale, su dischi locali e in un servizio di continuity cloud.

In caso di attacco ransomware, il backup dei dati ti garantisce di mitigare la perdita di qualsiasi file crittografato e riacquistare la funzionalità dei sistemi.

Le migliori piattaforme Cloud Data Backup and Recovery consentono alle aziende di recuperare i dati in caso di disastro, sono disponibili in qualsiasi momento e si possono facilmente integrare con le applicazioni cloud esistenti e i dispositivi endpoint, creando un’infrastruttura cloud globale sicura e stabile.

Il backup e il ripristino dei dati nel cloud sono strumenti fondamentali non tanto per prevenire il ransomware, quanto per rimediare ai danni che questo causa.

Conclusione

Non lasciare che il ransomware danneggi la tua organizzazione.

Seguendo i passaggi precedenti, puoi iniziare a proteggere la tua azienda da dannosi attacchi ransomware.Se desideri ulteriore aiuto per scoprire come proteggerti dal ransomware, contattaci.

Lascia un commento