Le vulnerabilità delle VPN ti preoccupano? Scopri come usufruire della nostra offerta per eliminare le VPN che include 60 giorni di prova gratuiti.

Parla con un esperto

Che cosa sono i ransomware?

Il ransomware è un tipo di malware (software dannoso), che cifra i dati (talvolta anche rubandoli) e li tiene in ostaggio in cambio del pagamento di un riscatto, che generalmente avviene in criptovaluta, ad esempio in bitcoin. Gli attacchi ransomware spesso cifrano i dati, impedendo alle vittime di accedervi a meno che non paghino un riscatto entro una data scadenza, decorsa la quale perdono definitivamente l'accesso. Il pagamento richiesto per una chiave di decifrazione può essere pari a centinaia o milioni di dollari.

Scarica il report del 2023: "Ultimi dati sui ransomware"

La storia dei ransomware e l'aumento degli attacchi

Sebbene i criminali informatici utilizzino gli attacchi ransomware da oltre 30 anni, ultimamente ne è stato registrato un incremento molto significativo. Secondo l'FBI, gli attacchi ransomware hanno iniziato ad aumentare nel 2012 e non mostrano alcun segno di rallentamento.

In passato, i tecnici esperti erano in grado di contrastare con facilità gli attacchi ransomware che bloccavano il computer o i file di un utente. Negli ultimi anni però, questi attacchi sono diventati molto più sofisticati e, in molti casi, le vittime non hanno altra scelta se non quella di pagare il riscatto o perdere i propri dati per sempre.

Un cambiamento recente e molto significativo, riscontrato in diverse famiglie di ransomware, consiste nell'aggiunta di una funzione per l'esfiltrazione dei dati. Questa nuova funzione consente ai criminali informatici di esfiltrare i dati sensibili dalle organizzazioni prese di mira prima di cifrarli. I dati esfiltrati rappresentano una sorta di polizza assicurativa per gli aggressori: anche se le vittime dispongono di ottimi backup, saranno probabilmente disposte a pagare il riscatto per evitare la divulgazione dei propri dati.

A causa delle limitazioni insite nelle tecnologie di sicurezza più obsolete, come i firewall di ultima generazione, la maggior parte delle organizzazioni non è in grado di ispezionare integralmente il traffico cifrato. Gli aggressori lo sanno bene, ecco perché utilizzano sempre più frequentemente la crittografia per nascondere i propri link e gli allegati dannosi.

Il modo migliore per evitare l'esposizione ai ransomware, o a qualsiasi tipo di malware, è utilizzare il computer in modo cauto e responsabile. I distributori di malware sono sempre più esperti, perciò bisogna fare attenzione a ciò che si scarica e si apre con un clic.

U.S. Federal Bureau of Investigation (FBI)

Come funzionano i ransomware

Un'infezione da ransomware viene diffusa comunemente tramite e-mail di phishing e annunci con link infetti, o siti web in cui viene inserito un malware. Queste truffe spesso sembrano provenire da un'organizzazione legittima o da qualcuno noto alla vittima (negli attacchi mirati), e inducono l'utente a fare clic su un link dannoso o ad aprire un allegato che distribuisce il payload del ransomware sul dispositivo.

Negli attacchi ransomware diretti a un utente, solitamente, sono documenti, foto e dati finanziari a essere bloccati e presi in ostaggio. Anche se gli utenti possono rappresentare un obiettivo facile, sono le multinazionali (in particolare le organizzazioni più grandi) a essere le vittime più appetibili. Se gli aggressori riescono a far scaricare il malware anche da un solo dipendente, sono in grado di diffonderlo da quel dispositivo alla rete, dove la posta in gioco è molto più alta. Oltre ai danni legati all'interruzione dell'attività causati da un attacco, si aggiunge la minaccia della perdita o esposizione dei dati, che può rivelarsi devastante e rappresentare un costo per l'azienda in termini monetari e reputazionali.

Il ransomware può essere devastante sia per un individuo che per un'organizzazione. Chiunque abbia archiviato dati importanti sul proprio computer o rete è a rischio, compresi i governi, le forze dell'ordine e i sistemi sanitari, o altri enti critici per le infrastrutture.

U.S. Cybersecurity & Infrastructure Security Agency

Tipi/esempi di attacchi ransomware

Tra le varie tipologie di ransomware e di gruppi di ransomware, alcuni dei più comuni e conosciuti sono:

  • Cryptolocker: nel 2014, il malware CryptoLocker è stato in gran parte neutralizzato grazie a una collaborazione internazionale tra società di sicurezza e autorità.Tuttavia, il successo dell'operazione ha portato allo sviluppo di una serie di sue imitazioni.
  • GandCrab: secondo il report di VirusTotal: "Ransomware in Global Context ", considerando gli attacchi ransomware avvenuti a partire dal 2020, questa famiglia è stata la più diffusa, presente nel 78,5% dei campioni prelevati per il report.
  • REvil/Sodinokibi: questo gruppo è noto per aver rubato grandi quantità di informazioni nel settore legale, dell'intrattenimento e della pubblica amministrazione. Ha fatto notizia per la prima volta a maggio del 2020, per poi lanciare attacchi ogni mese da marzo a ottobre del 2021, incluso l'attacco a Kaseya VSA.
  • WannaCry: un cryptoworm ransomware che prende di mira il sistema operativo Microsoft Windows, e che dal suo rilascio nel 2017 ha colpito più di 300.000 sistemi in tutto il mondo (un numero che continua a crescere).
  • Ryuk: questo ceppo di ransomware è stato collegato a una serie di gruppi che ha colpito settori come la sanità, la pubblica amministrazione e l'istruzione, in particolare i sistemi scolastici statunitensi.
  • Evil Corp: questo gruppo è responsabile di Dridex, un tipo di malware distribuito tramite e-mail di phishing noto per rubare le credenziali bancarie. Da allora è stato associato ad altri tipi di ransomware, come WastedLocker, BitPaymer e DoppelPaymer.

Questi sono solo alcuni degli esempi di ransomware più significativi, ma ogni giorno nascono nuove varianti, ciascuna progettata per attaccare vettori diversi. La tua organizzazione è davvero al sicuro dagli attacchi ransomware? Per scoprirlo, esegui un'analisi gratuita dell'esposizione alle minacce di Internet.

Per quanto riguarda il ransomware, ciò che conta non è tanto la sofisticazione tecnologica, quanto lo sfruttamento dell'elemento umano. Semplicemente, è la versione digitale di un'antica tattica criminale.

Institute for Critical Infrastructure Technology

Ransomware as a Service (RaaS)

Il ransomware as a service è un prodotto della popolarità e del successo dei ransomware. Come per molte soluzioni SaaS legali, solitamente, gli strumenti RaaS sono basati su un abbonamento. Sono spesso economici e prontamente disponibili sul dark web, e forniscono a chiunque una piattaforma per lanciare un attacco, anche a coloro che non dispongono di competenze di programmazione. Se un attacco RaaS ha successo, il denaro incassato con il riscatto viene diviso tra il provider del servizio, il programmatore e l'abbonato.

Le best practice per la prevenzione dei ransomware

Alcune organizzazioni stanno investendo nella stipulazione di assicurazioni per la sicurezza informatica, che le aiutino a coprire i costi di un eventuale attacco o violazione dei dati, ma la scelta migliore per contrastare i ransomware è la prevenzione. Per proteggere le organizzazioni dai ransomware, la CISA (Cybersecurity & Infrastructure Security Agency) e l'FBI raccomandano quanto segue:

  • Eseguire il backup dei computer, in modo da poter ripristinare il sistema allo stato precedente.
  • Archiviare i backup separatamente, ad esempio su un disco rigido esterno o sul cloud, in modo che non sia possibile accedervi da una rete.
  • Aggiornare e applicare le patch ai computer per eliminare le vulnerabilità nelle applicazioni e nei sistemi operativi.
  • Offrire ai dipendenti sessioni formative continue e obbligatorie, per sensibilizzarli sul tema della sicurezza informatica e assicurarsi che siano a conoscenza delle minacce informatiche esistenti e delle best practice di sicurezza da adottare. Inoltre, accertarsi che prestino attenzione alle proprie e-mail, anche se inviate da mittenti conosciuti, e che ne verifichino la legittimità prima di aprire qualsiasi allegato o cliccare su qualsiasi link.
  • Creare un piano di continuità per le procedure correttive da seguire nel caso in cui l'organizzazione venga colpita da un attacco ransomware.
  • Utilizzare un software antimalware e/o antivirus, per aiutare gli utenti a bloccare le minacce prima che possano provocare danni.
  • Implementare solide misure di autenticazione, utilizzando lo zero trust per impedire agli hacker di violare la rete, le applicazioni e i dati.

Le migliori difese tecnologiche

La moderna tecnologia di difesa dai ransomware è altamente efficace e facile da distribuire. Una prevenzione dai ransomware adeguata inizia con l'adozione di un profilo di sicurezza che sia creato in modo nativo sul cloud, per proteggere utenti, applicazioni e dati sensibili dagli attacchi, indipendentemente dal luogo di connessione degli utenti o dai dispositivi utilizzati.

Per difendersi dalle più comuni minacce ransomware di oggi, la strategia di prevenzione deve comprendere i seguenti principi e strumenti, in modo da evitare l'esposizione dei propri dati, l'interruzione della propria attività e perdite di tempo e denaro:

  • Utilizzare la quarantena in una sandbox basata su IA per bloccare e ispezionare i contenuti sospetti, prima di consentirne il passaggio al ricevente
  • Ispezionare l'intero traffico criptato con SSL/TLS per garantire l'assenza di minacce nascoste
  • Implementare la protezione sempre attiva per gli utenti all'interno e all'esterno della rete

Senza un sistema di sicurezza dedicato, nessuna azienda, grande o piccola che sia, è al sicuro dai ransomware. Evita che la tua azienda sia la vittima del prossimo ransomware o che si guadagni il prossimo titolo di giornale in seguito a un attacco.

Rafforza la tua strategia di protezione dai ransomware oggi stesso

Come mostrano le ricerche e i titoli delle testate, i ransomware sono una minaccia costante. Zscaler, tuttavia, ha già aiutato migliaia di clienti a evitare che ransomware e innumerevoli altri attacchi raggiungessero le loro reti, offrendo una scalabilità impareggiabile e un'esperienza utente d'eccellenza.

Ecco alcune ulteriori risorse da prendere in considerazione per affinare la propria strategia di sicurezza generale:

Vuoi proteggere la tua organizzazione dai ransomware avanzati? Scopri di più sulla protezione dai ransomware di Zscaler.

Risorse Suggerite

FAQs

Come funzionano gli attacchi ransomware?

Solitamente, un attacco ransomware si svolge in quattro fasi. Consegna: viene inviata un'e-mail di phishing che sembra rilevante per l'utente. Se l'utente la apre, l'attacco viene lanciato.Sfruttamento: dopo il caricamento del malware, l'attacco si diffonde. Callback: il payload del malware tenta di comunicare con i suoi server di comando e controllo (C2), a cui vengono inviati i dati rubati. Detonazione: il malware ruba i dati e installa il ransomware, cifrando e bloccando il sistema o i dati in modo che un individuo o un'azienda non possano accedervi.

Il riscatto va pagato?

Purtroppo, non esiste una risposta corretta e assoluta. Secondo Paul Proctor, analista presso Gartner, la risposta dipende dall'azienda: “Dipende da quanto i risultati aziendali saranno influenzati dalla mancanza dei dati rubati. L'organizzazione deve valutare se la perdita di fatturato vale il rischio di effettuare il pagamento".

Quali sono gli effetti dei ransomware sulle aziende?

Basta dare un'occhiata alle notizie di cronaca per comprendere che i ransomware colpiscono le aziende di tutti i settori. Ma se si è vissuti su Marte fino a oggi e non si è a conoscenza di queste notizie, ecco illustrati alcuni dei modi attraverso cui un ransomware può danneggiare il bilancio aziendale: l'impresa potrebbe subire perdite di denaro e/o di dati (cosa che avverrà sicuramente), la sua reputazione ne risentirà e potrebbe persino dover avere ripercussioni legali.