Il ransomware e il suo impatto sulla tua azienda
Il ransomware è una minaccia per le aziende di ogni tipo. Tuttavia, a causa di software antivirus e formazione inefficaci o del tutto assenti, alcune organizzazioni sono più vulnerabili di quanto possano immaginare. In questo articolo, analizzeremo che cos'è il ransomware, come attacca le reti e come puoi proteggere la tua azienda da questa minaccia onnipresente.
Che cos'è il ransomware?
Il ransomware è un tipo di malware a cui i criminali informatici fanno ricorso per infettare un dispositivo o una rete con software dannoso, che quindi cripta i file e converte dati preziosi in codice illeggibile. Questi dati vengono tenuti in ostaggio dagli hacker, che li decriptano solo dopo il pagamento di un riscatto.
Molti si chiedono: il ransomware è un virus? La risposta è no. Ransomware e virus sono entrambi forme di malware che hanno metodi di attacco diversi: un virus infetta i file, mentre il ransomware li cripta.
Le organizzazioni possono essere vittime di un attacco ransomware attraverso email di phishing, vale a dire l'invio di messaggi contenenti un'"esca" per attirare le vittime, o download drive-by, in cui un utente visita un sito Web infetto e scarica inavvertitamente del malware.
Che cos'è il ransomware aziendale?
Per ransomware aziendale si intende un attacco ransomware contro un'azienda o un'organizzazione. La maggior parte degli attacchi ransomware colpisce le imprese, in quanto promettono la massima ricompensa per i criminali informatici, ma le specifiche variano da un obiettivo all'altro.
C'è un motivo per cui i criminali informatici tendono ad attaccare le aziende e non i singoli individui e ha a che fare con il modo in cui il ransomware si diffonde e il potenziale valore del crimine. In sostanza, come si diffonde? Il malware viene scaricato in un dispositivo quando qualcuno apre un'email e/o fa clic su un URL discutibile. Generalmente, un'organizzazione più grande con più personale (quindi, più utenti che fanno clic) presenta maggiori opportunità per la diffusione del ransomware. Tuttavia, le aziende più grandi possono mettere in atto procedura di sicurezza più avanzate, per via di questo rischio di attacco superiore e poiché spesso hanno anche a disposizione un budget maggiore.
Le aziende più grandi sono anche più a rischio di un attacco ransomware a causa del valore dei dati in loro possesso. È probabile che abbiano maggiori quantità di dati più sensibili, quindi qualsiasi interruzione del servizio comporterebbe più costi operativi. Tenendo a mente questo aspetto, le organizzazioni di questo tipo potrebbero essere più propense a pagare un riscatto e ad alimentare una domanda maggiore. Ad esempio, un attacco ransomware contro un ospedale probabilmente frutterebbe un riscatto maggiore a un criminale informatico rispetto a uno contro un negozio di fiori.
La storia del ransomware
Secondo l'opinione comune, la storia del ransomware ha inizio nel 1989 con un virus noto con il nome di "trojan AIDS". In un attacco orchestrato dal biologo Joseph Popp, 20.000 dischi contenenti un virus trojan sono stati distribuiti a una conferenza sull'AIDS dell'Organizzazione mondiale della sanità. Una volta compromesso un computer, sullo schermo compariva una richiesta di riscatto di 189 dollari da inviare a una casella postale a Panama.
Dagli anni 80, la tecnologia è avanzata e i criminali informatici non hanno più bisogno di utilizzare una casella postale per ricevere il denaro. Ora il riscatto si richiede in Bitcoin e il malware viene adattato per diventare più pericoloso e dirompente, ad esempio assumendo caratteristiche simili a quelle dei worm e innovando le tecniche di infezione. Anche le protezioni anti-ransomware si stanno adattando per difendere meglio le reti da questi attacchi sempre più sofisticati.
Tipologie di ransomware
Esistono diversi tipi di ransomware, da quelli rivolti alle piccole e medie imprese agli attacchi contro grandi organizzazioni e strutture sanitarie governative. Anche l'entità del riscatto può variare, da centinaia di dollari a milioni.
Ransomware Cryptolocker
Cryptolocker è in circolazione dal 2013 ed è ritenuto il primo esempio di ransomware dopo l'attacco originale del 1989. Con l'introduzione delle criptovalute intorno al 2010, i criminali informatici hanno potuto chiedere denaro tramite un metodo di pagamento non rintracciabile. Cryptolocker è stato il primo attacco ransomware a utilizzare il criptaggio avanzato e a includere una richiesta di riscatto con le indicazioni per il pagamento in Bitcoin.
Il malware ha portato avanti l'attacco da settembre fino al maggio successivo, infettando 250.000 dispositivi e fruttando almeno 3 milioni di dollari ai criminali informatici. Cryptolocker è distinguibile dalla richiesta di riscatto che appare sullo schermo.
Ransomware Ryuk
Il ransomware Ryuk è nato nel 2018 sulla base di un programma Trojan horse esistente, Hermes, che era stato utilizzato per la prima volta consapevolmente nel 2017. Mentre Hermes è stato utilizzato in un attacco da parte di un gruppo di criminali informatici sponsorizzato dallo stato nord-coreano, ora è opinione diffusa che il malware sia stato sviluppato in Russia.
Nel 2021 è stata rilevata una nuova variante di Ryuk dai tratti simili a quelli di un worm, in grado di passare automaticamente da un dispositivo all'altro mentre il programma diffonde copie di versioni uniche di se stesso.
Ransomware WannaCry
Riconoscere i segnali di un'infezione da ransomware WannaCry è semplice: comparirà la riga "Oops, i tuoi file più importanti sono stati criptati". L'attacco è stato utilizzato per la prima volta nel 2017, quando più di 230.000 computer sono stati infettati in un giorno.
In ogni attacco, i criminali informatici addebitano 300 dollari in bitcoin per il decriptaggio dei file, raddoppiando la cifra se i soldi non vengono versati in tempo. Anche WannaCry è un malware basato su worm in grado di viaggiare automaticamente attraverso le reti.
Ransomware Sodinokibi
Sodinokibi è una famiglia di ransomware che prende di mira i dispositivi Windows. Un segnale di infezione da ransomware Sodinokibi, noto anche con il nome di REvil, è la comparsa sullo schermo di una richiesta di riscatto: bitcoin in cambio del decriptaggio di tutti i file. Questo malware prende di mira tutto quello che si trova in un dispositivo tranne quanto elencato nel file di configurazione. Il malware è stato utilizzato per la prima volta nel 2019.
Ransomware Dharma e Phobos
Conosciuto anche come CrySiS, il ransomware Dharma è noto per colpire le piccole e medie imprese e richiedere riscatti più piccoli per aumentare la probabilità che le vittime paghino.
Il ransomware attacca in genere tramite Remote Desktop Protocol ed è stato rilevato per la prima volta nel 2016. Il malware è stato la base per la creazione del ransomware Phobos, che funziona in modo analogo.
Ransomware Petya
Il ransomware Petya ha bisogno di criptare i file per funzionare e, mentre altri malware possono criptare dati critici specifici, Petya può colpire l'intero disco rigido e impedire l'accensione del dispositivo. Il ransomware è stato utilizzato per la prima volta nel 2016, ma si è fatto un nome nel 2017 con una nuova variante nota come GoldenEye.
Ransomware Cerber
Cerber è un esempio di ransomware-as-a-service (RaaS), basato sul modello software-as-a-service. I creatori di malware concedono in licenza Cerber ad altri criminali informatici e, in cambio, ottengono una riduzione del riscatto. Una volta infettato, un dispositivo mostrerà la richiesta di riscatto di Cerber sullo schermo. Il malware può anche criptare i file su qualsiasi condivisione di rete non mappata.
Ransomware Locky
Rilevato per la prima volta nel 2016, il ransomware Locky si diffonde tramite email. È noto per aver preso di mira un ospedale con sede a Los Angeles e aver chiesto 17.000 dollari. Questo attacco è stato seguito da altri contro numerose organizzazioni sanitarie. Tuttavia, non ci sono stati attacchi di alto profilo basati su Locky da quell'ondata iniziale.
Case study sul ransomware
Il ransomware ha avuto un impatto enorme sul mondo digitale, estorcendo miliardi di dollari alle proprie vittime nel corso degli anni. Diamo un'occhiata ad alcuni degli esempi più significativi degli attacchi ransomware più dirompenti e costosi:
- Settembre 2013, Cryptolocker: il malware Cryptolocker è stato rilasciato come il primo ransomware a essere chiamato come tale, dopo il Trojan AIDS nel 1989. Per fermare questo ransomware, sono stati coinvolti l'Interpol e l'FBI.
- Maggio 2017, NHS: durante un attacco globale WannaCry, il servizio sanitario nazionale del Regno Unito è stato vittima di uno degli esempi di ransomware più dirompenti del paese. Con i sistemi inattivi, tutti gli appuntamenti sono stati cancellati e il personale ha dovuto ricorrere a carta e penna. In totale, l'attacco WannaCry ha infettato 200.000 computer in 150 paesi, costando 4 miliardi di dollari, nello specifico 92 milioni di sterline per il sistema sanitario britannico.
- Marzo 2018, città di Atlanta: il governo di questa città della Georgia è stato attaccato dal ransomware SamSam nel 2018. Il governo ha speso più soldi per replicare all'attacco (2,6 milioni di dollari) rispetto al costo effettivo del riscatto (circa 50.000 dollari).
- Maggio 2019, città di Baltimora: gli hacker hanno preso di mira Baltimora nel 2019 con un ransomware chiamato RobbinHood, che ha attaccato buona parte dei computer del governo municipale. I criminali hanno chiesto 13 bitcoin (76.280 dollari), dicendo che il prezzo sarebbe aumentato se non avessero ricevuto il pagamento entro quattro giorni e che tutti i dati sarebbero stati cancellati definitivamente dopo 10 giorni. Alla fine i sistemi sono stati ripristinati senza che la città abbia dovuto pagare il riscatto.
- Giugno 2020, Università della California San Francisco: il college ha pagato 1,14 milioni di dollari dopo aver combattuto per un mese con il ransomware Netwalker. Il riscatto iniziale era di 4 milioni di dollari, ma l'università ha negoziato il prezzo abbassandolo.
- Settembre 2020, clinica universitaria di Düsseldorf: l'attacco di Ryuk contro la struttura sanitaria tedesca, la clinica universitaria di Düsseldorf, ha portato alla morte di un paziente che non era in grado di accedere alle cure richieste.
- Aprile 2021, Quanta: il recente attacco ransomware basato sull'utilizzo di Sodinokobi ha visto il produttore di Macbook Quanta affrontare un riscatto di 50 milioni di dollari. L'azienda si è rifiutata di pagare la somma richiesta e i criminali informatici hanno divulgato pubblicamente informazioni sui Macbook.
I costi di un attacco ransomware
Cadere vittima di un attacco ransomware è una pessima notizia per le finanze della tua azienda, non solo per l'entità del riscatto, ma anche perché potresti ricevere una multa da parte delle autorità di regolamentazione della privacy dei dati o perdere un affare per via dell'impatto negativo in termini di fiducia dei clienti.
Secondo Cybersecurity Ventures, il costo dei soli attacchi ransomware globali per il 2021 è stato stimato in 20 miliardi di dollari e si ritiene che un'azienda subisca l'attacco di un malware ogni 11 secondi. Inoltre, le organizzazioni europee devono far fronte a ulteriori multe in termini di GDPR per operazioni di sicurezza scadenti. Nel 2020, British Airways ha dovuto pagare una multa di 20 milioni di sterline ricevuta dall'ente di controllo, a fronte di una multa iniziale di 183 milioni di sterline.
Se la perdita economica non è un fattore sufficiente, sono da considerare anche i problemi che molte aziende, specialmente quelle più piccole, incontrano per riprendersi. Circa il 60% delle piccole imprese chiude dopo essere stato vittima di una violazione dei dati. Nel 2020, The Heritage Company, una società di telemarketing con sede in Arkansas, ha chiuso in seguito a una fuga di dati dovuta a un attacco ransomware del 2019. Che si tratti dei costi di gestione dell'attacco, delle operazioni di ripristino o della perdita di clienti, il recupero dopo un attacco ransomware può avere un impatto decisivo su un'azienda.
In che modo un'azienda può contrarre il ransomware?
Quando un'azienda non dispone di misure di sicurezza efficaci, diventa vulnerabile agli attacchi informatici.
La mancanza di formazione del personale è una vulnerabilità chiave per le imprese. Se i dipendenti non sanno come individuare un'email sospetta, rilevare il ransomware e segnalare un problema, corrono il rischio di infettare i dispositivi e l'intera rete. Ad esempio, potrebbero non essere consapevoli del fatto che i loro dispositivi sono suscettibili agli attacchi o ai rischi di ransomware per Mac o Linux. Anche se questi due operatori possono avere una reputazione migliore in termini di maggiore sicurezza integrata rispetto a Windows, sono comunque a rischio di una minaccia informatica.
Anche le app di terze parti possono costituire un punto di ingresso da cui i criminali informatici riescono a penetrare nella rete. Potrebbe essere più semplice accedere a un'app che al tuo sistema e questa apertura potrebbe essere sfruttata per infettare i dispositivi con il malware.
Mentre il personale può creare delle vulnerabilità, un'azienda sicura avrà uno strumento antivirus funzionante in grado di fornire protezione contro potenziali software dannosi scaricati accidentalmente. L'antivirus deve essere regolarmente aggiornato (o dotato di patch) per correggere i bug e risolvere le vulnerabilità: un software senza patch potrebbe creare crepe nelle tue difese.
Come prevenire gli attacchi ransomware
Esistono molti modi efficaci per proteggere la tua azienda da un attacco ransomware ed evitare di diventare un bersaglio. Come con molti attacchi informatici, i criminali ottengono l'accesso a una rete a causa di pratiche IT non adeguate. Ad esempio:
- Formazione del personale insufficiente
- Credenziali deboli
- Concessione di troppi accessi ad app di terze parti
- Mancanza di firewall efficaci
- Antivirus non in uso
- Mancato aggiornamento o applicazione di patch al software
Questo è il motivo per cui la sicurezza operativa è vitale. Formazione del personale e credenziali solide vanno di pari passo. Il personale deve essere formato sul modo migliore per accedere alla rete, specialmente quando si lavora in remoto, oltre che su come individuare le email di phishing, segnalare attività sospette e creare password complesse. Tutto questo dovrebbe essere delineato in un piano di continuità aziendale e, per quanto prevenire sia meglio che curare, può essere utile anche mettere in atto piani per il ripristino di emergenza IT e la continuità aziendale. Altre misure fondamentali per prevenire un attacco ransomware includono:
Segnali che la tua azienda è stata colpita dal ransomware
Sono molti gli indizi che indicano che un computer è stato compromesso dal ransomware: il più ovvio è una richiesta di riscatto. Ecco alcuni dei segnali più frequenti:
-
Se ricevi email di spoofing e spear-phishing, vuol dire la tua azienda è stata presa di mira dai criminali informatici
- Essere vittima di attacchi informatici di prova su piccola scala che potrebbero non sembrare preoccupanti potrebbe indicare che un hacker è alla ricerca di vulnerabilità nel sistema della tua azienda per poter sferrare un attacco su larga scala
- L'antivirus segnala attività sospette
- Ti vengono notificati tentativi di accesso sospetti che non riconosci
-
Noti la comparsa di nuovo software in rete
- I programmi per la rimozione del software, come GMER, PC Hunter e Process Hacker, vengono spesso utilizzati dai criminali informatici per rimuovere, ad esempio, la protezione anti-ransomware di Windows 10
- Applicazioni come Microsoft Process Explorer e MimiKatz possono essere usate per sottrarre credenziali.
Cosa fare in caso di attacco
Se la tua azienda è stata vittima di un attacco ransomware, ecco le misure fondamentali da adottare:
- Segnalare l'attacco. Assicurati che il personale sappia come riconoscere un attacco informatico e avvisare il team
- Comprendere la situazione in atto e individuare il malware. Cerca di rilevare il malware che ha infettato il sistema della tua azienda in modo da sapere meglio come proteggerti e/o procedere per rimuoverlo
- Arrestare la fonte dell'infezione. Individua il dispositivo che è stato il punto iniziale di attacco e disconnettilo dalla rete per ridurre il rischio di diffusione del malware
- Contenere l'attacco. Disconnetti tutti gli altri dispositivi in rete che potrebbero essere vulnerabili all'attacco per impedire al ransomware di diffondersi ulteriormente
- Tentare di decriptare i dati e rimuovere il ransomware. Questa operazione dovrebbe essere eseguita solo da un team di esperti di sicurezza o potresti correre il rischio di peggiorare la situazione
- Rivolgersi a terzi. Uno specialista di terze parti potrebbe essere in grado di aiutare la tua azienda a recuperare i file in modo da non dover pagare il riscatto
Proteggi la tua impresa dal ransomware con le soluzioni Avast per la sicurezza IT delle piccole aziende
Uno strumento di sicurezza informatica efficace è fondamentale per le aziende di qualsiasi dimensione. Le soluzioni Avast per le piccole aziende individuano i file dannosi e prevengono gli attacchi ransomware. Proteggi subito i dati e i dispositivi della tua azienda.