Scopri il potere trasformativo dello zero trust.
Scarica il report completo
Cosa si intende per zero trust?
Cosa si intende per Security Service Edge (SSE)?
Cosa si intende per SASE (Secure Access Service Edge)?
Cos'è lo ZTNA (Zero Trust Network Access)?
Cosa si intende per Secure Web Gateway (SWG)?
Cosa si intende per CASB (Cloud Access Security Broker)?
Cos'è una Cloud Native Application Protection Platform (CNAPP)?
Risorse sullo zero trust
Offri agli utenti un accesso fluido, sicuro e affidabile alle applicazioni e ai dati.
Sviluppa ed esegui app cloud sicure, abilita la connettività zero trust al cloud e proteggi i carichi di lavoro dal data center al cloud.
Fornisci una connettività zero trust ai dispositivi IoT e OT e un accesso remoto sicuro ai sistemi OT.
Trasforma la tua organizzazione con servizi nativi del cloud al 100%
Fai crescere il tuo business con soluzioni zero trust che proteggono e connettono le risorse aziendali
Blocca gli attacchi informatici
Proteggi i dati
Accesso zero trust alle app
Alternativa alla VPN
Integrazione accelerata durante fusioni e acquisizioni
Ottimizza le esperienze digitali
SD-WAN zero trust
Crea ed esegui app cloud sicure
Connettività zero trust sul cloud
Lo zero trust per IoT/OT
Lo zero trust per il 5G privato
Trova un prodotto o una soluzione
Trova un prodotto o una soluzione
Scopri lo zero trust di Zscaler, offerto tramite una piattaforma nativa del cloud e basata sul security cloud più grande del mondo.
Accelera il tuo percorso di trasformazione
Realizza i tuoi progetti di business e IT
Un tipico attacco ransomware si svolge in quattro fasi.
La prima fase è la consegna, che avviene solitamente tramite un'e-mail di phishing che l'utente è indotto ad aprire. Spesso, questa e-mail sembra provenire da una fonte attendibile, come un marchio noto. Società di spedizioni, banche e grandi rivenditori vengono generalmente "emulati" nelle e-mail di phishing con messaggi che riguardano ritardi nelle consegne, acquisti fraudolenti, saldo insufficiente e così via.
Queste e-mail sono state progettate affinché sembrino provenire da mittenti familiari, ma includono dei file dannosi, come PDF o link di Google Drive. Questi file contengono dei loader di malware che, una volta aperto il file, rilasciano il contenuto dannoso nel sistema della vittima e preparano l'attacco.
La fase successiva è lo sfruttamento, che prevede la diffusione dell'attacco dopo il caricamento del malware. In genere, questa fase inizia dopo che il destinatario apre un allegato di un'e-mail che trasmette il malware a un dispositivo.
Se il dispositivo infetto si trova in una rete, il malware identifica il controller di dominio con cui il dispositivo sta comunicando. Una volta identificato, ruba le credenziali, in modo da potersi spostare all'interno della rete e infettare altri dispositivi.
La fase successiva è il callback, in cui il payload del malware tenta di comunicare con i suoi server di comando e controllo (C2), a cui vengono inviati i dati rubati.
I server di C2 inviano al payload le istruzioni su come eseguire la fase finale: la detonazione. Durante questa fase, il malware ruba i dati e installa il ransomware, criptando e bloccando il sistema o i dati in modo che un individuo o un'azienda non possano accedervi. La vittima ha in genere un tempo limitato per pagare il riscatto prima che i dati vadano persi per sempre e, a volte, il riscatto richiesto aumenta nelle ore che precedono la scadenza del pagamento.
Se il riscatto viene pagato, le vittime dovrebbero ottenere una chiave di decriptazione per recuperare i dati, ma non sempre la ricevono, e quando lo fanno, non sempre funziona.
Negli attacchi recenti, alcuni criminali hanno iniziato a rubare i dati prima di criptarli, minacciando poi di renderli pubblici. In questo modo, anche se le vittime dispongono di buoni backup, le probabilità che paghino il riscatto aumentano.
Cybersecurity and Infrastructure Security Agency
Il ransomware è forse lo strumento preferito dai criminali informatici di oggi, ma in realtà è presente in varie forme ormai da decenni.
Il primo ransomware noto è stato introdotto nel 1989 dal dott. Joseph Popp, il quale inviò dei floppy disk intitolati "Dischetto introduttivo e informativo sull'AIDS" ai partecipanti alla conferenza sull'AIDS dell'OMS tenutasi a Stoccolma. Questi dischetti contenevano un codice dannoso che si installava sui sistemi MS-DOS e iniziava a contare il numero di volte in cui gli utenti avviavano i loro computer.
Alla 90° volta, il Trojan del dott. Popp nascondeva tutte le directory e criptava tutti i file sull'unità, rendendoli inutilizzabili. Le vittime ricevevano poi una nota, apparentemente proveniente da PC Cyborg Corporation, che indicava che il contratto di licenza del software del proprietario era scaduto e che andavano inviati 189 dollari a un indirizzo di Panama per riottenere l'accesso.
La successiva ondata di attacchi informatici di tipo ransomware è stata battezzata "scareware". Gli utenti ricevevano un avviso relativo a un errore catastrofico sul proprio computer, seguito dall'ordine di pagare e scaricare un software per pulire o riparare il dispositivo. Ovviamente, il software era semplicemente un altro malware progettato per rubare informazioni dal computer.
Man mano che la condivisione di file è diventata più popolare, si è sviluppata un'altra forma comune di ransomware, chiamata attacco Police Locker. Spesso nascosto su siti di download peer-to-peer o siti web che ospitano materiale pirata o per adulti, questo attacco modificava il desktop dell'utente affinché mostrasse una nota con l'informazione che le forze dell'ordine avevano bloccato il computer a causa di attività illegali sospette. La paura spingeva molte vittime a pagare qualche centinaio di dollari per farsi sbloccare il computer. Tuttavia, in molti di questi attacchi, il locker poteva essere rimosso semplicemente riavviando il sistema.
Tra le varie tipologie di ransomware e di gruppi di ransomware, alcuni dei più comuni e conosciuti sono:
La tua organizzazione è davvero al sicuro dagli attacchi ransomware? Esegui gratuitamente un'analisi dell'esposizione alle minacce provenienti da Internet per scoprirlo.
Paul Webber, Senior Director Analyst, Gartner
All'inizio, le richieste di riscatto ammontavano generalmente a poche centinaia di dollari, perché venivano presi di mira prevalentemente utenti privati. Le vittime dei ransomware pagavano con valute standard, quindi gli aggressori avevano maggiori possibilità di essere identificati.
Con la diffusione delle criptovalute, ovvero valute digitali basate sull'anonimato e sulla crittografia, si è vista un'inversione di tendenza per gli aggressori. Le criptovalute, come i bitcoin, fanno sì che le transazioni siano praticamente impossibili da tracciare, e questo consente agli utenti malintenzionati di coprire le proprie tracce.
Il ransomware as a service è un prodotto della popolarità e del successo dei ransomware. Come per molte soluzioni SaaS legali, solitamente, gli strumenti RaaS sono basati su un abbonamento. Sono spesso economici e prontamente disponibili sul dark web, e forniscono a chiunque una piattaforma per lanciare un attacco, anche a coloro che non dispongono di competenze di programmazione. Se un attacco RaaS ha successo, il denaro incassato con il riscatto viene diviso tra il provider del servizio, il programmatore e l'abbonato.
Quando si parla di ransomware, l'annosa questione è questa: il riscatto va pagato, sì o no?
Naturalmente, a causa del rischio che i dati vengano esposti, molte organizzazioni sono disposte a pagare, ma questo è davvero il modo giusto per affrontare la situazione? Secondo i dati di Gartner, l'80% (delle organizzazioni che pagano) subisce un altro attacco ransomware. Forse pagare non è la soluzione migliore, ma qual è l'alternativa? Lasciare che gli utenti malintenzionati espongano i dati al mondo?
Purtroppo, non esiste una risposta corretta e assoluta. Secondo Paul Proctor, analista presso Gartner, la risposta dipende dall'azienda: “Dipende da quanto i risultati aziendali saranno influenzati dalla mancanza dei dati rubati. L'organizzazione deve valutare se la perdita di fatturato vale il rischio di effettuare il pagamento".
Basta dare un'occhiata alle notizie per capire in che modo i ransomware colpiscono le aziende di tutti i settori. Tuttavia, nel caso in cui abbia vissuto su Marte fino ad oggi e non abbia mai visto una notizia del genere, ecco alcuni dei modi in cui un ransomware può danneggiare il bilancio aziendale:
Perdita di denaro e/o dati
Il problema più evidente dei ransomware è che chi li distribuisce cerca di tenere in ostaggio i dati ("ransom" significa infatti "riscatto") fino a quando non si paga una somma di denaro per la restituzione. Questo fattore alimenta un pericoloso circolo vizioso per l'azienda, in particolare se questa opera nel settore sanitario, pubblico, finanziario o in altri settori che ospitano elevate quantità di dati sensibili.
Se si ignorano le richieste degli utenti malintenzionati, si rischia di esporre i dati al pubblico o, peggio, ad altri gruppi di minacce che pagheranno ingenti somme per accedervi. Tuttavia, anche se si paga il riscatto, c'è comunque la possibilità che i dati non vengano recuperati. Ecco perché è fondamentale mettere in atto tecniche di prevenzione.
Danneggiamento della reputazione
Che si scelga o meno di pagare il riscatto, si ha l'obbligo di segnalare il crimine, e questo significa che, prima o poi, l'organizzazione finirà sui titoli di giornale. Molti ne hanno già fatto le spese, e l'elenco delle organizzazioni continuerà ad aumentare finché i ransomware continueranno a evolversi e le aziende continueranno a non prepararsi per affrontarli nel modo adeguato.
Spesso, le aziende vittime di ransomware registrano perdite di fatturato a causa della perdita di fiducia da parte dei clienti. Anche se la responsabilità non è solo ed esclusivamente dell'azienda, è probabile che i clienti e i potenziali consumatori la pensino diversamente.
Ripercussioni legali
Sì, pagare il riscatto di un attacco ransomware è illegale. In una sentenza del 2020, l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense e il Financial Crimes Enforcement Network (FinCEN) hanno dichiarato illegale il pagamento di un riscatto, nella maggior parte dei casi.
Se la perdita di dati e fatturato e il danno all'immagine pubblica non fossero sufficienti, anche le spese legali potrebbero rivelarsi costose.
Gartner ha indicato i "nuovi modelli di ransomware" come il principale rischio che le organizzazioni si trovano a dover affrontare. Secondo il suo report sul monitoraggio dei rischi emergenti (Emerging Risks Monitor Report), la preoccupazione per i ransomware ha addirittura superato quella per la pandemia.
Se non lo era prima, ora è chiaro: non basta sapere come prepararsi all'eventualità di subire un attacco ransomware; ciò che è fondamentale, è capire come prevenirlo.
Fermare tutti gli attacchi ransomware è impossibile, ma attraverso una rigorosa due diligence, una formazione che accresca la consapevolezza degli utenti e le giuste tecnologie, è possibile ridurre al minimo la minaccia che questi attacchi rappresentano per l'azienda.
I ransomware possono essere eliminati, ma questa operazione deve essere svolta con attenzione e cautela, seguendo una procedura ben precisa.
1° passaggio: isolare il dispositivo infetto
Ciò significa scollegare il dispositivo da qualsiasi connessione cablata o wireless per mettere in quarantena il ransomware e impedirne la diffusione. Se non è ancora stato richiesto il riscatto, assicurati di rimuovere immediatamente il malware dal sistema.
2° passaggio: scoprire di che tipo di ransomware si tratta
Con l'aiuto di un professionista della sicurezza o di uno strumento, scopri quale ceppo di ransomware deve essere rimosso. In questo modo, otterrai una maggiore comprensione di come mitigare il ransomware che si sta diffondendo nel sistema.
3° passaggio: rimuovere il ransomware
Rimuovi l'infezione dal disco rigido con uno strumento di rimozione dei ransomware, l'aiuto di un professionista della sicurezza IT o tramite la tua procedura manuale. Utilizza quindi un decodificatore di ransomware o uno strumento di decodifica per recuperare i dati criptati tenuti in ostaggio.
4° passaggio: ripristinare il sistema con un backup
Utilizza un archivio di sistema o recupera i file dal sistema operativo compromesso. Per questa procedura, è importante che sia stato eseguito il backup, perché questo sarà l'unico modo per accedere ai dati una volta che il ransomware li avrà criptati. Questa è una procedura consigliata sia per i ransomware che per le violazioni di dati.
Per rimanere al passo con la costante minaccia dei ransomware, è necessario implementare un'efficace strategia anti-ransomware che includa principi e strumenti per:
Secondo le moderne best practice di sicurezza informatica, il modo migliore per proteggersi dai ransomware è quello di abbinare soluzioni moderne a un approccio difensivo proattivo.
Zscaler offre una protezione dai ransomware nativa del cloud per proteggere le organizzazioni attraverso Zero Trust Exchange™, una piattaforma che:
Con una quarantena in sandbox basata su AI e integrata in un'architettura proxy nativa del cloud, i file possono essere messi in quarantena e analizzati completamente prima di essere consegnati, azzerando così il rischio di infezioni da paziente zero. A differenza degli approcci passthrough tradizionali, i file sospetti o sconosciuti saranno trattenuti per l'analisi e non raggiungeranno l'ambiente.
Una soluzione nativa del cloud e basata sull'IA, come Zscaler Cloud Sandbox (parte di Zero Trust Exchange) offre dei vantaggi che vanno ben oltre quelli delle soluzioni antimalware legacy, tra cui:
2. Ispeziona tutto il traffico criptato
Zscaler gestisce un'architettura proxy nativa del cloud, che consente di eseguire un'ispezione SSL completa su vasta scala, senza doversi preoccupare delle prestazioni o di espandere la potenza di elaborazione di costosi apparecchi fisici.
Utilizzando un cloud globale, distribuito su più di 150 data center in sei continenti, il traffico SSL può essere ispezionato con la massima attenzione, per ricercare minacce ransomware nascoste senza alcun calo delle prestazioni, anche nel caso in cui la larghezza di banda dell'utente dovesse aumentare drasticamente.
3. Segue le connessioni fuori dalla rete
Zero Trust Exchange è in grado di fornire queste due strategie, la quarantena in sandbox basata sull'IA e l'ispezione SSL completa, a tutti gli utenti, indipendentemente dalla loro posizione o dispositivo. Tutte le connessioni, su qualsiasi rete, ricevono la stessa protezione, affinché sia possibile individuare e contrastare le minacce conosciute e quelle sconosciute e proteggere l'azienda dalle infezioni ransomware da paziente zero.
Questo approccio alla prevenzione dei ransomware inizia con la protezione delle connessioni degli utenti. Gli utenti al di fuori della rete devono solo aggiungere sui propri laptop o dispositivi mobili Zscaler Client Connector, il nostro agente leggero per endpoint (disponibile per Android, iOS, macOS e Windows), per ottenere la protezione offerta dagli stessi strumenti di sicurezza, policy e controlli di accesso di cui usufruirebbero nella sede centrale.
In poche parole, la prevenzione degli attacchi ransomware inizia con lo zero trust e con Zero Trust Exchange.
Dati sugli attacchi criptati nel 2021
Download the reportTre segreti per fermare il Ransomware
Watch the webinarI ransomware nel 2022: cosa c'è da sapere e come prepararsi
Watch the webinarLa protezione dai ransomware più efficace del mondo
Learn moreCome proteggere i dati dai ransomware e dalla doppia estorsione
Read the blog
