PMI attaccate da ransomware
Il target preferito dagli hacker sono le piccole aziende, vi siete mai chiesti il motivo?
I ransomware sono software dannosi adoperati dai cyber criminali.
Si tratta di una tipologia di malware che può infettare un dispositivo digitale (smartphone, tablet, server e PC), bloccare l’accesso al sistema e criptare i dati.
Il termine ransomware deriva dall’inglese ransom, poiché i criminali chiedono un riscatto per eliminare gli effetti dell’attacco sui file.
Solitamente, la richiesta di pagamento giunge all’utente attraverso una finestra che appare automaticamente sul dispositivo infettato (può trattarsi di un file .txt, di un’immagine che appare sul desktop o di un messaggio via e-mail).
Il messaggio contiene le precise le istruzioni per il pagamento del riscatto: solitamente il tono è minaccioso e informa il malcapitato di avere pochi giorni a disposizione prima di predisporre il pagamento: pena l’irreversibilità del blocco, o peggio, la pubblicazione dei dati trafugati.
La tecnica di di attacco ransomware per tenere in ostaggio un computer è ormai assodata nell’ambiente informatico, ma è solo a partire dal 2015 che i ransomware sono diventati diffusi su larga scala.
Il Rapporto Clusit del 2021 offre una panoramica completa del fenomeno, attraverso un’importante ricerca. Nel 2019 quasi la metà di tutti i malware diffusi era rappresentata proprio dai cryptovirus (o ransomware), mentre nel 2020 il numero di questi malware ha raggiunto persino il 67 % del totale.
Oggi, i ransomware rappresentano circa i due terzi degli attacchi malware subiti dagli utenti.
Si tratta certamente di una statistica che deve in alcun modo essere sottovalutata.
Stando a quanto affermato dal Rapporto del The Crypsis Group e del Palo Alto Networks “Unit 42 Ransomware Threat Report 2021”, l’Italia si posizionerebbe al quarto posto per numero di attacchi ransomware.
Come si svolge un attacco ransomware
I ransomware possono attaccare i sistemi informatici in diversi modalità.
Prima di scoprire in che modo si insinuano nei dispositivi elettronici, è importante conoscere le due tipologie di ransomware più popolari.
Crypto-ransomware
I crypto-ransomware agiscono al fine di criptare dati presenti all’interno del dispositivo, come video, foto e documenti.
Tuttavia, questa tipologia di malware lascia intatte le funzioni di base del PC o similare, non interferendo con esso.
Gli utenti attaccati dai crypto-ransomware rimangono turbati, perché, pur riuscendo a vedere i file, non sono in grado di accedervi.
I cyber criminali che sviluppano questi programmi solitamente aggiungono un conto alla rovescia per il versamento del riscatto. Ad esempio, il malcapitato potrebbe visualizzare un messaggio di questa entità
“Se non paghi il riscatto entro il termine, i tuoi file verranno cancellati”.
Molti utenti ignorano l’importanza di effettuare un back-up dei file su dispositivi di archiviazione . Per questo motivo, i crypto-ransomware possono avere un impatto devastante sulle vittime, poiché, senza pagamento del riscatto, perderebbero definitivamente i propri file.
Ransomware locker
Questa tipologia di programma informatico dannoso incide sulle funzioni di base del dispositivo, bloccandole.
Ad esempio, potrebbero determinare un accesso limitato al mouse e alla tastiera e un accesso negato totale al desktop.
In questo modo, i cyber criminali lasciano aperta la possibilità di interagire con la finestra che mostra la richiesta di riscatto. Eccezion fatta per questa interazione, il PC rimane inutilizzabile. Tuttavia, i ransomware locker raramente sono in grado di distruggere totalmente i dati contenuti all’interno del dispositivo.
Ransomware: come attaccano le PMI
Ora che abbiamo capito quali sono i tipi di ransomware più diffusi e come vengono classificati, vediamo come attaccano le PMI questi programmi.
E-mail di phishing
Questa modalità rimane la più diffusa, considerato il suo alto tasso di successo. Infatti, anche a voi sarà capitato di ricevere delle e-mail con finte bollette allegate o da parte di corrieri. Nonostante appaiano alla maggior parte delle persone degli evidenti attacchi di phishing, secondo le statistiche, questi messaggi vengono aperti dal 10 % degli utenti.
Inoltre, nel 2-5% dei casi, i malcapitati cliccano sui link o sugli allegati presenti nelle e-mail, consentendo al ransomware di infiltrarsi.
Navigazione su siti compressi
Si tratta del cosiddetto drive-by download, ovvero scaricamento all’insaputa. I cyber criminali creano dei siti web fasulli, simili ad altri molto noti, oppure riescono a violare dei siti autentici, sfruttando la vulnerabilità dei browser, di Java o di Adobe Flash Player.
La dinamica è diversa rispetto alle email di phishing, perché in questo caso è l’utente stesso a recarsi sul sito web infetto, non il cyber criminale a spingere a visitarlo mediante una email. Spesso, si tratta di pulsanti o banner pubblicitari che sollecitano l’utente a cliccare. Dopo il click, il malcapitato viene reindirizzato su siti dannosi, su cui avviene il download del ransomware.
Supporto rimovibile
Questa tecnica sfrutta la curiosità umana in maniera subdola.
Infatti, viene lasciato incustodito in luogo comune (parcheggio, scuola, mensa, ingresso aziendale ecc. ecc.) un supporto rimovibile, come un hard disk o una chiavetta USB. Non appena la vittima, spinta dalla sua curiosità, inserirà il supporto nel suo dispositivo, verrà infettato dal malware.
Altri software
Spesso, i cyber criminali nascondono i ransomware in altri software, che vengono scaricati volontariamente dagli utenti. Nella maggior parte dei casi, si tratta di software gratis che promettono di effettuare il crack di programmi costosi o videogiochi.
RDP, Remote Desktop Protocol
Si tratta di attacchi che avvengono mediante il furto delle credenziali di accesso. Dopo aver ricavato l’accesso al sistema, i cyber criminali potranno eseguire le operazioni più svariate: dal furto di dati sensibili e credenziali, all’iniezione del ransomware.
I ransomware in Italia: quali sono le vittime più colpite
Secondo le statistiche, larga parte delle vittime colpite dai ransomware sono le aziende medio piccole.
Anche se non sembrerebbe, col passare del tempo, i cyber criminali hanno intensificato le loro ricerche e tecniche, introducendo tecnologie di attacco sempre più mirate e sofisticate.
Inoltre, persino il target prediletto dagli attaccanti con il tempo è mutato. Siamo abituati a leggere sui giornali le notizie di attacchi informatici ai danni di grandi aziende: Regione Lazio, Clementoni, Ikea, Amazon, Microsoft… Tutte informazioni che fanno certamente notizia e che attraggono un gran numero di utenti, curiosi di conoscere come anche le realtà imprenditoriali più importanti del paese possano essere vulnerabili a qualcosa che non possiamo nemmeno toccare con mano, ma che è in grado comunque di paralizzare l’operatività dell’intero business.
Quello di cui siamo certi è che esiste una porzione di aziende, studi di professionisti e uffici di piccole dimensioni che vengono attaccate ogni giorno, con la sola differenza che la notizia della loro infezione o non viene comunicata alle autorità competenti o passa più semplicemente sotto l’uscio.
Perché le PMI sono più esposte ai ransomware
Come abbiamo già anticipato ai nostri lettori, le PMI sono maggiormente esposte al rischio di ransomware rispetto alle grandi aziende.
Per quale motivo?
Da un lato, le aziende di grandi dimensioni possiedono certamente una maggiore disponibilità economica, più risorse ma sono anche quelle che possono contare su una rete più estesa e di conseguenza, implementano soluzioni di sicurezza informatica strutturate.
D’altro canto , le PMI sono quasi del tutto estranee al problema, considerano la cybersecurity un dipiù non necessario ai fini dell’operatività del business e per questo, sono spesso i soggetti più vulnerabili, insieme agli utenti privati.
Le PMI possiedono i medesimi dati delle grandi aziende (documenti riservati, know-how, documenti fiscali e personali), hanno minori protezioni di rete, spesso mancano del tutto di soluzioni cybersecurity e cosa ancor più grave, non percepiscono il pericolo degli attacchi.
Questo fattore è ben conosciuto dagli attaccanti che preferiscono colpire il pesce più piccolo ma con un tasso di successo di quali il 100%, piuttosto che mettersi in gioco con le grandi aziende.
Come difendersi dai ransomware se siete una piccola azienda
Per difendere la tua PMI dai ransomware è necessario come in tutti i casi avvalersi del supporto di professionisti, diffidate dal supporto dei tecnici generici. Ad ognuno il proprio lavoro.
Le minacce informatiche mutano di giorno in giorno, le aziende specializzate in cybersecurity studiano i cambiamenti tecnologici degli attacchi informatici per riuscire a sviluppare soluzioni efficaci anche contro le più moderne
Inoltre, è fondamentale adoperare una soluzione di sicurezza professionale, che sfrutti le tecnologie anti-ransomware e l’analisi comportamentale. Rivolgersi a un professionista del settore, specializzato in sicurezza informatica, è il punto di partenza per proteggere la tua azienda dai ransomware.
Cyberment è certificata ISO 27001 e ISO 9001 e offre servizi di Penetration Testing e Vulnerability Assessment.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.