Secondo l’Associazione Italiana per la Sicurezza Informatica (Clusit) nei primi sei mesi del 2023 il ransomware è stata la principale tecnica di attacco utilizzata dai cybercriminali in Italia (31%), e benché anche le altre insidie non siano assolutamente da sottovalutare, rappresenta una delle minacce più insidiose nel panorama della sicurezza informatica, sia per le aziende, sia per le Pubbliche Amministrazioni.
In ordine di tempo, uno degli attacchi ransomware che ha avuto conseguenze significative, è stato quello che a fine novembre 2023 ha colpito Westpole, un Service Provider che fornisce servizi digitali alla Pubblica Amministrazione italiana. L’attacco eseguito dal collettivo Lockbit 3.0 ha colpito sia i sistemi server che quelli di storage dell’infrastruttura cloud, causando il blocco totale dei sistemi della società Pa Digitale e di molti enti nazionali.
Un attacco che rappresenta campanello d’allarme sulla vulnerabilità delle infrastrutture digitali della pubblica amministrazione italiana.
Cos’è il ransomware?
Senza entrare in dettagli troppo tecnici, possiamo definire il ransomware come un tipo di software malevolo che impedisce alle vittime di accedere ai loro sistemi e ai dati in essi contenuti finché non viene pagato un riscatto.
Il funzionamento del ransomware inizia con l’infezione del sistema. Una volta attivato, il ransomware cripta i file sul dispositivo della vittima con una chiave di crittografia robusta. In seguito, viene mostrato un messaggio che informa la vittima del blocco dei suoi dati e vengono fornite istruzioni per il pagamento del riscatto, nella maggior pare dei casi in criptovaluta.
Tipologie di attacco ransomware
Il ransomware può essere suddiviso in varie categorie, le principali sono definite come Locker Ransomware (impedisce l’accesso a computer, server e conseguentemente all’infrastruttura) e Crypto Ransomware (cripta file individuali). Benché in misura minore, esistono anche ransomware per dispositivi mobili, specificamente progettati per colpire smartphone e tablet.
Il sistema viene infettato con diversi metodi di tra cui:
Phishing e Spear Phishing, il ransomware viene diffuso tramite email di phishing che ingannano l’utente a cliccare su un link o aprire un allegato infetto. Nello spear phishing invece, l’attacco è mirato e l’email sembra provenire da una fonte fidata, per esempio un collega, un fornitore di servizi o un cliente noto.
Exploit Kit: sistemi che sfruttano le vulnerabilità esistenti nei software non aggiornati per infiltrare il ransomware nel sistema.
Drive-by-Download: la vittima viene infettata visitando un sito web compromesso, senza fare clic su nulla.
Social engineering: tattiche che ingannano l’utente a eseguire azioni che consentono l’installazione del ransomware. Buona parte di queste vengono implementate sfruttando informazioni trovate sui social network.
Infiltrazione e criptazione: una volta immesso nel sistema il ransomware può agire in vari modi, come per esempio la così detta Esecuzione Silenziosa in cui il malware rimane inattivo, evitando il rilevamento, mentre studia il sistema e la rete. Il suo scopo è quello di ottenere l’accesso a livelli di privilegio più elevati per avere un controllo più ampio sul sistema.
A seguire c’è la scansione dei file e criptazione in cui il malware identifica e cripta file importanti usando algoritmi di crittografia forti. I file “bersaglio” includono documenti, database, immagini e file di sistema. Infine vengono generate le chiavi di criptazione usando un sistema di crittografia asimmetrica. Ovviamente la chiave per lo sblocco è in possesso solo dei cybercriminali.
Richiesta del riscatto
Come ultimo passaggio, dopo la criptazione, il ransomware mostra un messaggio che informa la vittima dell’infezione e fornisce istruzioni su come pagare il riscatto, spesso in Bitcoin o altre criptovalute. Alcuni ransomware includono un timer, con la minaccia di cancellare i file o aumentare il riscatto se non viene pagato entro un certo periodo.
Sgradite sorprese
Alla fine di questo percorso, è bene ricordare che alcuni attaccanti non solo criptano i dati, ma li rubano anche, minacciando la divulgazione se il riscatto non viene pagato (Double Extortion). I responsabili dell’azienda che ha subito un attacco devono tenere conto che il ransomware può tentare di mantenere l’accesso al sistema per future infezioni o per diffondersi ad altri dispositivi nella rete. Situazione pericolosa se l’azienda è parte di una supply chain.
Inoltre, anche se il riscatto viene pagato, non c’è garanzia che il ransomware venga rimosso completamente o che i dati vengano decifrati. Devono quindi essere eseguite approfondite analisi dell’infrastruttura per l’accertamento della totale rimozione della minaccia.
Soluzioni Hypergrid
La comprensione dettagliata di queste fasi è cruciale per sviluppare strategie di prevenzione e risposta. Le misure di sicurezza devono essere proattive e includere la formazione degli utenti, l’aggiornamento costante dei sistemi, l’implementazione di soluzioni antivirus e antimalware robuste, e la creazione di backup regolari e sicuri dei dati. In tutta questa procedura Hypergrid con oltre vent’anni di esperienza nel settore può esservi di aiuto.
Valutazione e analisi del rischio
Vulnerability Assessment e Pen Test sono le migliori opzioni per l’analisi delle eventuali vulnerabilità nei sistemi IT dei clienti. Hypergrid può anche eseguire l’analisi dettagliata dei rischi specifici legati al ransomware.
Prevenzione e protezione
Il servizio di protezione HyperSafe fornisce un pacchetto completo interamente gestito in outsourcing con monitoraggio H24 dell’infrastruttura. Configurabile in base alle esigenze dei clienti e comprende l’installazione e la configurazione di firewall e sistemi di rilevazione/prevenzione delle intrusioni. Fornitura di soluzioni anti malware avanzate. Analisi dei comportamenti sospetti in ambienti isolati per prevenire infezioni. Hypergrid può anche assicurarsi che i sistemi dei clienti siano aggiornati con le ultime patch di sicurezza.
Backup e ripristino
Grazie all’infrastruttura yCloud certificata da ACN anche per le PA, Hypergrid è in grado di garantire soluzioni di Backup sicure e regolarmente testate. Così come di fornire consulenza sui piani di Disaster Recovery, compresi quelli di ripristino in caso di attacchi di ransomware.
Formazione
Corsi di formazione per aumentare la consapevolezza sui rischi del ransomware e sulle migliori pratiche di sicurezza, oltre a corsi avanzati per DPO, Network Vulnerability Assessment, Intrusion Detection System.
Consulenza
Servizi di Consulenza dedicati alle strategie di sicurezza e assistenza tecnica per prevenire e risolvere le minacce cyber.
Conclusioni
Questi servizi rappresentano un approccio alla protezione contro le minacce informatiche che offre tecnologia all’avanguardia, formazione, pratiche operative solide e una risposta rapida agli incidenti. Un tale mix di servizi non solo aiuta a prevenire gli attacchi di ransomware ma garantisce anche che l’organizzazione sia preparata a rispondere efficacemente nel caso in cui un attacco abbia successo.
Per maggiori informazioni: https://hypergrid.it/
Devi effettuare l'accesso per postare un commento.