Essendo uno dei tipi più devastanti di attacchi alla sicurezza informatica degli ultimi dieci anni, il ransomware è cresciuto fino a colpire organizzazioni di tutte le dimensioni in tutto il mondo.
Il rapporto sul panorama delle minacce sugli attacchi ransomware pubblicato il 29 luglio dall’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) svela le carenze degli attuali meccanismi di segnalazione in tutta l’UE.
Cos’è il ransomware?
Il ransomware è un tipo di attacco alla sicurezza informatica che prende il controllo del computer e può bloccare, crittografare, eliminare o rubare i dati, per poi richiedere un riscatto per ripristinarne il normale funzionamento.
Rapporto ENISA
Il rapporto sul panorama delle minacce ha analizzato un totale di 623 incidenti ransomware nell’UE, nel Regno Unito e negli Stati Uniti per un periodo di riferimento da maggio 2021 a giugno 2022. I dati sono stati raccolti dai rapporti di Governi e società di sicurezza, dalla stampa, blog verificati e in alcuni casi utilizzando fonti correlate dal dark web.
I risultati
Tra maggio 2021 e giugno 2022 circa 10 terabyte di dati sono stati rubati ogni mese a seguito di attacchi ransomware. Il 58,2% dei dati rubati includeva dati personali dei dipendenti.
Sono stati trovati almeno 47 attori unici di minacce ransomware.
Per il 94,2% degli incidenti, non sappiamo se l’azienda abbia pagato o meno il riscatto. Tuttavia, quando la negoziazione fallisce, gli aggressori di solito espongono e rendono disponibili i dati sulle loro pagine web. Questo è ciò che accade in generale per il 37,88% degli incidenti.
Possiamo quindi concludere che il restante 62,12% delle aziende o ha trovato un accordo con gli aggressori o ha trovato un’altra soluzione.
Lo studio mostra anche che sono colpite dagli attacchi le aziende di ogni dimensione e di tutti i settori.
Le cifre di cui sopra possono tuttavia rappresentare solo una parte del quadro generale. In realtà, lo studio rivela che il numero totale di attacchi ransomware è molto maggiore. Al momento questo totale è impossibile da catturare poiché troppe organizzazioni ancora non rendono pubblici i loro incidenti o non ne segnalano le autorità competenti.
Anche le informazioni sugli incidenti divulgati sono piuttosto limitate poiché nella maggior parte dei casi le organizzazioni interessate non sono a conoscenza di come gli attori delle minacce siano riusciti a ottenere l’accesso iniziale. Alla fine, le organizzazioni potrebbero affrontare la questione internamente (ad es. decidere di pagare il riscatto) per evitare pubblicità negativa e garantire la continuità aziendale. Tuttavia, un tale approccio non aiuta a combattere la causa, anzi, incoraggia il fenomeno, alimentando nel processo il modello di business del ransomware.
È nel contesto di tali sfide che l’ENISA sta esplorando i modi per migliorare la segnalazione di incidenti. La revisione della direttiva sulla sicurezza delle reti e dell’informazione (NIS 2) dovrebbe cambiare il modo in cui vengono notificati gli incidenti di sicurezza informatica. Le nuove disposizioni mireranno a supportare una migliore mappatura e comprensione degli incidenti rilevanti.
Come agisce il ransomware: il ciclo di vita
Secondo l’analisi effettuata nel rapporto, gli attacchi ransomware possono prendere di mira le risorse in quattro modi diversi: l’attacco può bloccare, crittografare, eliminare o rubare (LEDS) le risorse del sistema informatico attaccato. Le risorse prese di mira possono essere di diversa tipologia, come documenti o strumenti da file, database, servizi Web, sistemi di gestione dei contenuti, schermate, record di avvio principale (MBR), tabelle di file master (MFT), ecc.
Il ciclo di vita del ransomware è rimasto invariato fino al 2018 circa, quando il ransomware ha iniziato ad aggiungere più funzionalità e quando sono maturate le tecniche di ricatto. Possiamo identificare cinque fasi di un attacco ransomware: accesso iniziale, esecuzione, azione sugli obiettivi, ricatto e negoziazione del riscatto. Queste fasi non seguono un rigoroso percorso sequenziale.
Come difendersi:
Nel Rapporto vengono consigliati i seguenti comportamenti:
- mantenere un backup aggiornato dei file aziendali e dei dati personali;
- mantenere questo backup isolato dalla rete;
- applicare la regola 3-2-1 del backup: 3 copie, 2 diversi supporti di memorizzazione, 1 copia fuori sede;
- eseguire software di sicurezza progettato per rilevare la maggior parte dei ransomware nei dispositivi endpoint;
- limitare i privilegi amministrativi.
Se si cade vittima di un attacco ransomware, nel Rapporto si consiglia di:
- contattare le autorità nazionali per la sicurezza informatica o le forze dell’ordine per assistenza;
- non pagare il riscatto e non negoziare con gli attori della minaccia;
- mettere in quarantena il sistema interessato;
- visitare il progetto No More Ransom, un’iniziativa di Europol.
Si consiglia di condividere le informazioni sugli incidenti ransomware con le autorità per essere in grado di allertare potenziali vittime, identificare gli attori delle minacce, supportare la ricerca sulla sicurezza e sviluppare mezzi per prevenire tali attacchi o rispondere meglio ad essi.
Scopri di più nel rapporto: ENISA Threat Landscape for Ransomware Attacks
Leggi anche:
Posta elettronica e sicurezza informatica: come difendersi dai potenziali rischi
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su Twitter, Facebook, YouTube, LinkedIn, Telegram