{"id":15028,"date":"2022-02-28T07:00:00","date_gmt":"2022-02-28T06:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=15028"},"modified":"2022-02-24T23:10:29","modified_gmt":"2022-02-24T22:10:29","slug":"ransomware-novita-recenti-2021","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/ransomware-novita-recenti-2021\/","title":{"rendered":"Ransomware: novit\u00e0 recenti 2020\/21"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Tempo di lettura stimato: <\/span>8<\/span> minuti<\/span><\/p>\n\n\n\n

Come sappiamo, un ransomware<\/a> \u00e8 un malware che ha lo scopo di estorcere denaro alle vittime.<\/strong> Il mezzo che utilizza \u00e8 la crittografia per cifrare i dati delle vittime, sia locali che in cloud, e fare in modo che essi siano inaccessibili.<\/p>\n\n\n\n

Il ransomware \u00e8 quindi un ricatto informatico<\/em> vero e proprio: se la vittima si rifiuta di pagare la somma richiesta, non solo gli verrebbe negato l’accesso ai suoi dati, ma c’\u00e8 anche il rischio che questi dati vengano totalmente distrutti dagli hacker. Non esiste nessuna garanzia che al pagamento del riscatto corrisponda la riconsegna dei dati non cifrati.<\/p>\n\n\n\n

La propensione o meno a pagare un riscatto \u00e8 stata analizzata da uno studio del 2020<\/a>, nel quale \u00e8 emerso che il 65% degli intervistati paga senza esitazione.<\/strong> Inoltre, emerge che pi\u00f9 della met\u00e0 del campione ha pagato quando \u00e8 stato vittima di un attacco. Anche in Italia gli attacchi informatici colpiscono e il 33% degli italiani vittima di ransomware ha dichiarato che, nonostante abbia pagato il riscatto, i dati in possesso della vittima siano andati totalmente o parzialmente persi<\/strong>. Non c’\u00e8 infatti nessuna certezza che, pagando una somma di denaro, vengano consegnate le chiavi di decrittazione dei file.<\/p>\n\n\n\n

\"Ransomware<\/a><\/figure>\n\n\n\n

Ransomware: novit\u00e0 recenti<\/h2>\n\n\n\n

Nel 2020 \u00e8 stato dichiarato da Microsoft<\/a> che i Ransomware sono stati una delle principali minacce<\/strong>. Si \u00e8 stimato infatti che gli attacchi digitali di questo tipo siano aumentati nel 2020 rispetto all’anno precedente. Cos\u00ec \u00e8 accaduto anche nel 2021. <\/p>\n\n\n\n

Lo sviluppo delle tecniche<\/h3>\n\n\n\n

Lo sviluppo delle tecniche ransomware \u00e8 stato abbastanza lineare. I primi attacchi non erano cos\u00ec organizzati come quelli che si vedono adesso. Venivano eseguiti da hacker singoli e spesso venivano utilizzai per colpire gruppi ristretti di persone, se non un singolo utente. A queste vittime venivano estorte piccole somme di denaro, che col tempo andavano aumentando sempre di pi\u00f9.<\/p>\n\n\n\n

L’utilizzo del Ransomware su larga scala risale agli ultimissimi anni: di recente, infatti, si sono evoluti.<\/strong> Adesso sono cambiati gli attori di questi riscatti, che sono gruppi di cybercriminali organizzati<\/strong>.<\/p>\n\n\n\n

Ad essere presi di mira non sono pi\u00f9 singoli utenti, ma le grandi aziende e i loro dati<\/strong>. La decisione di aumentare il raggio d’azione dei ransomware fu una novit\u00e0 dovuta al fatto che ai criminali e agli hacker abbia convenuto premere sull’urgenza delle aziende di recuperare dati di elevata importanza che non possono essere persi e dalla maggiore possibilit\u00e0 delle aziende di cedere a riscatti pi\u00f9 sostanziosi<\/strong>.<\/p>\n\n\n\n

Anche il momento in cui avviene l’attacco non \u00e8 pi\u00f9 casuale, ma frutto di una spietata strategia. I criminali scelgono infatti i momenti di festivit\u00e0 o i momenti in cui l’azienda \u00e8 pi\u00f9 debole<\/strong>, momenti in cui \u00e8 facile che i tecnici informatici prestino meno attenzione agli accessi non autorizzati alle banche dati.<\/p>\n\n\n\n

Ransomware a doppia estorsione, una delle ultime novit\u00e0<\/h3>\n\n\n\n

Un’altra novit\u00e0 che emersa di recente sui ransomware \u00e8 la doppia estorsione<\/a><\/strong>, una tecnica che finisce per estorcere una somma di denaro maggiore. Questa tecnica mette in pratica un doppio riscatto che fa leva sulle debolezze della vittima. <\/p>\n\n\n\n

In un primo momento il ricatto si basa sull’accesso ai dati, che viene negato alle vittime. Quando un primo riscatto viene pagato, diverse bande di cybercriminali chiedono un secondo pagamento per evitare che i dati in loro possesso vengano resi pubblici o rilasciati alle aziende competitor<\/strong>. <\/p>\n\n\n\n

In questo modo, le aziende non solo devono pagare il primo riscatto per ri-ottenere l’accesso ma gli verr\u00e0 chiesto un secondo riscatto per mantenere la riservatezza dei dati che comunque potrebbero essere in mano del gruppo di criminali. <\/p>\n\n\n\n

Gli attacchi ransomware del 2021<\/h2>\n\n\n\n

Gli attacchi ransomware sono aumentati a dismisura e non \u00e8 una novit\u00e0. Negli ultimi anni, questo nuovo modus operandi<\/em> della doppia estorsione \u00e8 risultato molto pi\u00f9 remunerativo della semplice eliminazione dei dati, che comunque non deve essere esclusa come possibilit\u00e0. Anche in caso di pagamento del riscatto, diverse aziende hanno dichiarato di non aver pi\u00f9 avuto accesso ai dati.<\/strong><\/p>\n\n\n\n

Nel 2021, l’anno con il numero pi\u00f9 consistente di attacchi di tipo ransomware mai registrati<\/strong>, c’\u00e8 stata una perdita complessiva di denaro pari a 6 mila miliardi di dollari<\/em>. Le tipologie di attacco ransomware sono diventate sempre pi\u00f9 sofisticate e studiate per colpire al cuore le banche dati aziendali e soprattutto per eludere i sistemi di sicurezza informatici delle stesse, che purtroppo risultano obsoleti molto rapidamente.<\/p>\n\n\n\n

Ci sono stati diversi attacchi di importanza massiccia che hanno visto come protagonisti diversi tipologie di aziende.<\/p>\n\n\n\n

Attacco alla Colonial Pipeline Company<\/h3>\n\n\n\n

Uno dei pi\u00f9 significativi attacchi \u00e8 stato quello del gruppo hacker DarkSide<\/em> ai danni della Colonial Pipeline Company, avvenuto a inizio maggio 2021<\/strong>. I danni immediati provocati da questo attacco sono stati l’interruzione della fornitura di carburante<\/em> che doveva arrivare nel Sud degli Stati Uniti d’America. <\/p>\n\n\n\n

Questo attacco \u00e8 stato di gran lunga il pi\u00f9 pesante dell’anno 2021, dato che la Colonial Pipeline si occupa dell’erogazione di pi\u00f9 della met\u00e0 del carburante in circolazione in quella zona degli USA. Il risultato \u00e8 stato devastante<\/strong> non solo per quanto riguarda il modo in cui ha reagito la compagnia, ma soprattutto per la reazione dei consumatori<\/strong>: \u00e8 scattata immediatamente la corsa al carburante<\/em>. Le persone si sono affrettate a riempire quante pi\u00f9 taniche di carburante possibile<\/em>, per evitare di restare a secco, con tutti i rischi che queste azioni si portano dietro.<\/p>\n\n\n\n

L’azione informatica, che \u00e8 costata all’azienda ben 4.4 milioni di dollari<\/strong>, poteva benissimo essere evitata<\/em>. Difatti, una volta terminato l’attacco e analizzati i resoconti delle azioni dei cybercriminali, \u00e8 saltata all’occhio immediatamente la mancanza di una delle misure di sicurezza pi\u00f9 semplici eppure pi\u00f9 efficaci: l’autenticazione a pi\u00f9 fattori. <\/p>\n\n\n\n

Senza quest’ultima, infatti, gli hacker si sono trovati di fronte una sola barriera da abbattere prima di accedere ai dati<\/strong>, motivo per cui l’attacco \u00e8 stato cos\u00ec semplice da portare a termine. La facilit\u00e0 con cui l’attacco ha colpito \u00e8 stata fondamentale nella stimolazione di ulteriori attacchi Ransomware<\/strong>, perch\u00e9 ha aperto le strade verso la probabilit\u00e0 che aziende di alto calibro pecchino di mancanza di sicurezza informatica proprio come la Colonial Pipeline.<\/p>\n\n\n\n

Attacco alla CNA Financial<\/h3>\n\n\n\n

Un ulteriore attacco informatico registrato \u00e8 stato quello alla CNA Financial. Questo \u00e8 stato particolarmente impressionante per la facilit\u00e0 con cui la violazione \u00e8 avvenuta nei confronti di un sistema di sicurezza che si considerava essere uno dei pi\u00f9 sicuri<\/strong>.<\/p>\n\n\n\n

Le conseguenze dell’attacco sono state in primis un’interruzione della rete e, successivamente, l’impossibilit\u00e0 di acquisire nuovamente la piena operativit\u00e0 della rete. Le vittime singole di questo attacco sono state oltre 15.000<\/strong>. Infatti l’attacco \u00e8 avvenuto da remoto e ha colpito i computer di quasi tutti i dipendenti<\/strong>. Il riscatto richiesto (e pagato<\/a>) ammonta a 40 milioni di dollari.<\/p>\n\n\n\n

Non si conosce l’identit\u00e0 del mandante dell’attacco, ma molti particolari fanno pensare ad Evil Corp<\/a> come esecutore dell’attacco. L’indizio pi\u00f9 evidente \u00e8 il software utilizzato, che si chiama Hades, utilizzato in passato proprio dalla Evil Corp.<\/p>\n\n\n\n

Nonostante ci\u00f2, la Evil Corp non \u00e8 mai stata sanzionata per i danni provocati a CNA Financial.<\/p>\n\n\n\n

\"Ransomware<\/a><\/figure>\n\n\n\n

Come difendersi?<\/h2>\n\n\n\n

Come abbiamo visto dalle ultime novit\u00e0 ransomware, non \u00e8 facile recuperare i propri dati se si \u00e8 vittima di questo tipo di attacchi. Anche se si decide di pagare il riscatto, non \u00e8 detto che si torni in possesso dei propri dati. Di conseguenza, la difesa pi\u00f9 efficiente \u00e8 la prevenzione, che pu\u00f2 essere effettuata in diversi modi.<\/strong><\/p>\n\n\n\n

SOCaaS e UEBA per identificare le minacce<\/h3>\n\n\n\n

Uno dei modi pi\u00f9 efficaci per difendersi \u00e8 il sistema UEBA<\/a>, integrato nel SOCaaS<\/a> offerto da SOD. Questo sistema si basa sull’analisi degli utenti e delle entit\u00e0<\/strong>. Se, per un hacker, \u00e8 semplice ottenere le informazioni di accesso di un utente aziendale, \u00e8 comunque difficile comportarsi normalmente senza suscitare sospetti. Il sistema UEBA monitora i comportamenti di ogni utente ed entit\u00e0 e fa scattare l’allarme nel caso in cui i comportamenti subiscano un cambiamento. Il cambiamento nelle abitudini pu\u00f2 essere lecito, ma in questo modo possiamo investigare in maniera immediata per mitigare il rischio. <\/p>\n\n\n\n

Il sistema UEBA funziona grazie a diversi algoritmi che monitorano le abitudini degli utenti e dei sistemi coinvolti e segnalano ogni anomalia. Assieme al SIEM, sono componenti fondamentali del SOC che offriamo ai nostri clienti.<\/p>\n\n\n\n

Conclusioni<\/h2>\n\n\n\n

In ogni caso, si consiglia di non cedere per nessun motivo ai riscatti.<\/strong> Si raccomanda una massima attenzione alle frodi e al phishing e l’installazione di antivirus aggiornati.<\/p>\n\n\n\n

Per una maggiore sicurezza di alto livello per la tua azienda, non esitare a contattarci per sapere quali soluzioni possiamo offrire per mettere al sicuro i vostri dati. Saremo lieti di rispondere a ogni dubbio.<\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n