Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Ransomware: perché il backup non basta
Il ransomware è una tipologia d’attacco di cui sentiamo parlare sempre più spesso ultimamente. I criminali criptano e quindi rendono illeggibili i dati salvati nei computer della vittima per poi richiedere un riscatto in cambio delle chiavi che servono a far tornare leggibili i dati.
Spesso, però, prima di criptare i dati, i criminali ne fanno una copia che scaricano sui loro computer. Questa copia serve da minaccia aggiuntiva.
In caso la vittima non voglia pagare per riavere i dati, i criminali minacciano di pubblicarli, causando un grave danno di immagine presso i suoi clienti. Sempre più aziende in tutto il mondo cadono vittime di questi attacchi e le richieste economiche, oltre ad altri danni a essi legati, sono molto onerose.
Dato che l’attacco blocca l’accesso ai dati dell’azienda per interromperne l’operatività, viene da pensare che basterebbe avere un backup per evitare di pagare il riscatto, ma nella realtà dei fatti non è così semplice.
Gastone Nencini, Country Manager di Trend Micro Italia, commenta: “Il backup è l’elemento fondamentale per cercare di recuperare i dati in quei casi in cui l’attacco abbia devastato l’infrastruttura a livello tale da rendere impossibile ogni ripristino, ma deve esser gestito in maniera corretta. Un backup online 24 ore su 24 all’interno di una rete, per esempio, è assolutamente vulnerabile a un attacco ransomware. Il malware, infatti, una volta installatosi all’interno della rete inizia a distribuirsi e se nel corso di questo processo trova la macchina di backup o il sistema di backup, anch’essi vengono criptati”.
Negli attacchi più sofisticati, la ricerca dei backup è mirata: i criminali vanno ad analizzare l’infrastruttura di rete per capire se i backup sono online e come poterli compromettere.
Risulta quindi importante difendere anche i backup da questo tipo di attacco tramite procedure e software adatti a gestire la situazione. Per farlo è importante anche capire come i ransomware arrivino a colpire le aziende.
Alex Galimi, Sales Engineer di Trend Micro Italia, ci spiega che “i canali che vengono utilizzati per veicolare il ransomware sono molteplici e tra i più diffusi possiamo sicuramente citare la posta elettronica, che viene usata per inviare un primo malware che diventa ransomware solo in un secondo momento.”
“Di vettori” – continua Galimi – “ce ne sono però molti altri, tra cui possiamo citare le vulnerabilità ancora sconosciute di sistemi operativi o applicativi esposti su Internet di dispositivo connessi a periferiche esterne. In linea generale qualsiasi momento in cui ci sia un punto di contatto tra il dispositivo e il resto dell’infrastruttura è un potenziale rischio”.
Una volta che questa tipologia di attacco, che può arrivare sia dall’interno sia dall’esterno dell’azienda, ha colpito, bisogna decidere se conviene pagare il riscatto che viene chiesto o se sia meglio agire in altro modo.
“Pagare il riscatto non porta garanzie e non porta a nessun tipo di vantaggio perché abbiamo visto nel corso degli anni che, nonostante i gruppi e le organizzazioni criminali citino dei codici etici, non mancano i casi in cui i dati non vengono restituiti” – prosegue Alex Galimi.
“I rischi sono veramente molti, tra cui quello di non recuperare i dati e che gli strumenti forniti non siano effettivamente di aiuto per ripristinare la situazione.
Uno dei fattori più critici è inoltre il fatto che l’organizzazione criminale può lasciare all’interno della nostra infrastruttura delle porzioni di malware, delle backdoor, che gli saranno utili in futuro per lanciare nuovi attacchi oppure per rivendere le informazioni al mercato nero e quindi lucrare ulteriormente su questa situazione”.
Nel rispondere a una richiesta di riscatto bisogna prima di tutto ricordarsi che si ha a che fare con dei criminali, quindi non è detto che rispetteranno l’accordo: possono semplicemente prendere il denaro e sparire nel nulla lasciando la vittima senza le chiavi di decriptazione.
Rimane poi, in ogni caso, il problema di proteggere l’infrastruttura. È necessario capire come i cybercriminali si sono fatti largo tra le difese informatiche per evitare che altri seguano la stessa strada o che gli stessi si ripresentino a distanza di mesi. Per fortuna, le tecnologie per proteggere l’azienda ed evitare di arrivare a subire un attacco ransomware non mancano: basta implementarle nel modo corretto.
“Le soluzioni di protezione aiutano a proteggere e a bloccare oggetti o minacce informatiche tradizionali. Un attacco di questo tipo, che spesso viene studiato e viene architettato ad hoc per le organizzazioni, richiede l’impiego di tecnologie che garantiscano visibilità e controllo. Quindi parliamo di tecnologie XDR per la rilevazione e la risposta a un attacco informatico avanzato che, per sua natura, si muove trasversalmente all’interno dell’infrastruttura. Non colpisce quindi l’end-point o il server ma tutta l’organizzazione, muovendosi lateralmente.
Con XDR si ha la possibilità di poter rintracciare e recuperare tutte le attività svolte dalle controparti malevole e poi andare ad orchestrare la risposta all’incidente da un’unica piattaforma” – conclude Alex Galimi.
Condividi l'articolo
7 istanze su 10 di ServiceNow esposte per errori di configurazione
Enti governativi USA colpiti da APT41
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
