Che cosa sono i ransomware?

La storia dei ransomware e l'aumento degli attacchi

Anche se i criminali informatici li utilizzano da oltre 30 anni, negli ultimi anni gli attacchi ransomware sono aumentati notevolmente. Secondo l'FBI, gli attacchi ransomware hanno cominciato a essere più diffusi nel 2012, e questa tendenza non sembra destinata a rallentare.

In passato, gli attacchi ransomware che bloccavano il computer o i file di un utente potevano essere facilmente contrastati da esperti qualificati. Negli ultimi anni, questi attacchi si sono fatti più sofisticati e, in molti casi, le vittime non hanno altra scelta se non pagare il riscatto o perdere i propri dati per sempre.

Un report di ThreatLabz del 2020 ha mostrato un aumento di oltre il 500% dei ransomware distribuiti sui canali criptati tra marzo e settembre. Si stima che, solamente nel 2020, i ransomware abbiano provocato danni per oltre 20 miliardi di dollari in tutto il mondo.

Un recente e notevole cambiamento in diverse varianti di ransomware è l'aggiunta di una funzione di esfiltrazione dei dati. Questa nuova funzione consente ai criminali informatici di esfiltrare dati sensibili dalle organizzazioni vittime prima di criptarli. I dati esfiltrati rappresentano una polizza di assicurazione per gli aggressori: anche se le vittime dispongono di ottimi backup, saranno probabilmente disposte a pagare il riscatto per evitare l'esposizione dei propri dati.

Negli ultimi anni, gli attacchi ransomware hanno preso di mira principalmente le amministrazioni municipali e le istituzioni accademiche, ma dall'inizio della pandemia di COVID-19, anche gli ospedali e i lavoratori a distanza sono entrati nel mirino delle bande di operatori di ransomware. Inoltre, nell'ultimo anno, è aumentata in modo significativo la segnalazione di ransomware distribuiti tramite traffico criptato.

A causa delle limitazioni di capacità delle tecnologie di sicurezza obsolete, come i firewall di ultima generazione, la maggior parte delle organizzazioni non è in grado di ispezionare l'intero traffico criptato. Gli aggressori ne sono consapevoli, perciò utilizzano sempre più la crittografia per nascondere i propri link e allegati dannosi.

Come funzionano i ransomware

Di solito i ransomware si diffondono tramite il phishing delle e-mail, le pubblicità con link infetti o siti web fittizi in cui sono incorporati malware. Le e-mail di phishing sembrano spesso inviate da un'organizzazione legittima o da qualcuno che la vittima conosce (negli attacchi mirati), e inducono l'utente a cliccare su un link o aprire un allegato dannoso.

Negli attacchi ransomware diretti a un individuo, ad essere bloccati e tenuti in ostaggio sono più comunemente i documenti, le foto e le informazioni finanziarie. Mentre gli individui possono costituire un obiettivo facile, le corporazioni (in particolare le grandi organizzazioni) sono vittime molto più appetibili. Se gli aggressori riescono a far scaricare il malware anche a un solo lavoratore, sono in grado di diffonderlo da quel dispositivo alla rete, dove la posta in gioco è molto più alta. Un attacco non è solo in grado di interrompere un'attività, ma la minaccia della perdita o esposizione dei dati può essere devastante e rappresentare un costo per l'azienda in termini di denaro e reputazione aziendale.

Alcune organizzazioni stipulano assicurazioni per coprire i costi di un eventuale attacco informatico o violazione dei dati, ma la scelta migliore per contrastare i ransomware è la prevenzione.

Per proteggere la propria organizzazione dai ransomware, la CISA (agenzia governativa statunitense per la sicurezza informatica e delle infrastrutture) e l'FBI consigliano quanto segue:

• Effettuare il backup dei computer, in modo da poter ripristinare il sistema allo stato precedente utilizzando i backup.
• Archiviare i backup separatamente, ad esempio su un hard drive esterno o sul cloud, in modo da renderli non accessibili dalla rete.
• Installare aggiornamenti e patch sui computer, per evitare che le applicazioni e i sistemi operativi vulnerabili vengano presi di mira.
• Formare i lavoratori con corsi continui e obbligatori sulla sicurezza informatica per garantire la conoscenza delle minacce attuali e delle migliori pratiche per la sicurezza. Far sì che prestino attenzione alle proprie e-mail, anche da mittenti conosciuti, verificandone la legittimità prima di aprire qualsiasi allegato o cliccare su qualsiasi link.
• Creare un piano di continuità da mettere in atto nel caso in cui la propria organizzazione sia vittima di un attacco ransomware.

Types/Examples of Ransomware Attacks

Among the myriad types of ransomware and ransomware groups, some of the most common and well-known are:

• Cryptolocker: In 2014, CryptoLocker malware was largely neutralized by an international collaboration of security companies and law enforcement. However, as a result of its success, a slew of Cryptolocker copycats has spawned.
• GandCrab: According to VirusTotal’s Ransomware in Global Context report, this family has been the most prevalent in ransomware attacks since 2020, with 78.5% of the samples taken for the report coming from this family.
• REvil/Sodinokibi: This group is notorious for stealing large quantities of information in the legal and entertainment industries as well as the public sector. They first made headlines in May 2020, but carried out successive attacks each month from March to October 2021, including the Kaseya VSA attack.
• WannaCry: A ransomware cryptoworm that targets the Microsoft Windows operating system, it has impacted more than 300,000 systems (and counting) worldwide since its release in 2017.
• Ryuk: This strain of ransomware has been tied to a number of groups that have impacted industries such as healthcare, the public sector, and education, particularly US school systems.
• Evil Corp: This group is responsible for Dridex, a type of malware deployed through phishing emails that’s known for stealing banking credentials. It has since been associated with other types of ransomware such as WastedLocker, BitPaymer, and DoppelPaymer.

These are but a few of the most noteworthy examples of ransomware; there are new ransomware variants being born every day, each one designed to attack a variety of vectors. So, how safe are you against ransomware attacks? Run a free Internet Threat Exposure Analysis to find out.

Ransomware as a Service (RaaS)

Ransomware as a service is a byproduct of ransomware's popularity and success. Like many legal SaaS offerings, RaaS tools are usually subscription-based. They're often inexpensive and readily available on the dark web, providing a platform for anyone—even those without programming skills—to launch an attack. If a RaaS attack is successful, the ransom money is divided between the service provider, the coder, and the subscriber.

Ransomware Prevention Best Practices

While some organizations are investing in cybersecurity insurance to help cover costs in the event of a cyberattack or data breach, the best course of action when it comes to ransomware is prevention. To protect your organization from ransomware, CISA, the Cybersecurity & Infrastructure Security Agency and the FBI recommend the following:

• Back up computers, so you can restore your system to its previous state using your backups.
• Store backups separately, such as on an external hard drive or in the cloud, so they cannot be accessed from a network.
• Update and patch computers to negate vulnerabilities in applications and operating systems.
• Train employees with ongoing, mandatory cybersecurity awareness sessions to ensure they are aware of current cyberthreats and security best practices. Be sure they are cautious with email—even from senders they know, verifying the sender’s legitimacy before opening any email attachments or clicking links.
• Create a continuity plan for remediation in the event your organization becomes the victim of a ransomware attack.
• Use anti-malware and/or antivirus software to assist users in stopping threats before they can wreak havoc.
• Implement strong authentication measures using zero trust to prevent hackers from breaching your network, applications, and data.

Prevenzione dagli attacchi ransomware

La moderna tecnologia di difesa dai ransomware è altamente efficace e facile da distribuire. Una prevenzione dai ransomware adeguata inizia con l'adozione di un profilo di sicurezza che sia creato in modo nativo sul cloud, per proteggere utenti, applicazioni e dati sensibili dagli attacchi, indipendentemente dal luogo di connessione degli utenti o dai dispositivi utilizzati.

Per difendersi dalle più comuni minacce ransomware di oggi, la strategia di prevenzione deve comprendere i seguenti principi e strumenti, in modo da evitare l'esposizione dei propri dati, l'interruzione della propria attività e perdite di tempo e denaro:

• Utilizzare la quarantena in una sandbox basata su IA per bloccare e ispezionare i contenuti sospetti, prima di consentirne il passaggio al ricevente
• Ispezionare l'intero traffico criptato con SSL/TLS per garantire l'assenza di minacce nascoste
• Implementare la protezione sempre attiva per gli utenti all'interno e all'esterno della rete

Senza un sistema di sicurezza dedicato, nessuna azienda, grande o piccola che sia, è al sicuro dai ransomware. Evita che la tua azienda sia la vittima del prossimo ransomware o che si guadagni il prossimo titolo di giornale in seguito a un attacco.

Rafforza la tua strategia di protezione dai ransomware oggi stesso

Come mostrano le ricerche e i titoli delle testate, i ransomware sono una minaccia costante. Zscaler, tuttavia, ha già aiutato migliaia di clienti a evitare che ransomware e innumerevoli altri attacchi raggiungessero le loro reti, offrendo una scalabilità impareggiabile e un'esperienza utente d'eccellenza.

Ecco alcune ulteriori risorse da prendere in considerazione per affinare la propria strategia di sicurezza generale:

• Analisi dell'esposizione alle minacce Internet - strumento gratuito di analisi dell'esposizione alle minacce
• Tre segreti per bloccare immediatamente i ransomware - webinar su richiesta
• Tre segreti per bloccare immediatamente i ransomware - white paper
• Zscaler Cloud Sandbox
• Ispezione SSL di Zscaler