Il ransomware si evolve e diventa as a service moltiplicando in modo esponenziale gli attacchi informatici. Come funziona, come fronteggiarlo e perché il nostro Paese guida la classifica europea degli attacchi.
Il ransomware, quella tipologia di virus informatico che cripta i dati per poi richiedere un riscatto: è la piaga principale della sicurezza informatica. I cybercriminali hanno da anni ormai scoperto che è più semplice agire sulle persone piuttosto che trovare falle nei sistemi informatici. Oggi, il ransomware si evolve passando ad un modello as a service che ne moltiplica la diffusione creando notevoli problemi alle aziende.
Ransomware as a service: perchè?
Il modello as a service è quella tipologia di contratto grazie al quale le aziende possono noleggiare un software sviluppato da terze parti senza dover acquistare la licenza e che si paga fino a che lo si usa. Esso ha portato alla fruizione in cloud di molti software che prima necessitavano di essere installati e manutenuti con i dovuti aggiornamenti.
Nel mondo del ransomware sta succedendo una cosa simile. In pratica ci sono due attori: Il primo si occupa di sviluppare il virus informatico e diffonderlo per ricavarne un guadagno. Siccome per trovare i bersagli giusti comporta un notevole lavoro di diffusione hanno pensato bene di vendere l’uso della loro creazione a terzi. Qui entrano in gioco i secondi attori, ovvero chi non ha sofisticate capacità di sviluppo di software ma che investe le risorse nella diffusione del ransomware riconoscendo agli sviluppatori un fee.
Un business criminale digitale
Il ransomware as a service permette una più grande diffusione di questa tipologia di attacco informatico. In pratica, anche chi non ha le capacità di sviluppo di software malevolo è in grado però di diffornderlo.
L’azienda (anche se criminale è necessario chiamarla così) sviluppa un kit completo da distribuire ai propri clienti attraverso il dark web, che include il codice del virus, i vari meccanismi per la cifratura e le modalità di pagamento (quasi sempre in criptovalute). In alcuni casi includono addirittura un supporto tecnico. Il tutto come una vera e propria azienda di sviluppo software.
I loro clienti si occuperanno invece della diffusione attraverso campagne e-mail, social engineering e attraverso vulnerabilità. Il ransomware poi mostrerà una schermata sugli schermi delle malcapitate vittime dove con le istruzioni per la rimozione del malware. I proventi del riscatto verranno condivisi con gli sviluppatori del programma malevolo
I problemi generati dal ransomware as a service
Il ransomware as a service ha portato ad una vera e propria esplosione di attacchi di questo tipo a livello mondiale. La decentralizzazione del fenomeno criminale porta ad una più difficile capacità di contrasto da parte delle forze dell’ordine e degli esperti in sicurezza informatica.
L’Italia poi, rimane uno dei Paesi più attaccati a causa dell’ancora scarsa politica di difesa informatica. Secondo Trend Micro deteniamo il record europeo con un +300% di attacchi malware
Mentre le grandi organizzazioni hanno intrapreso la via degli investimenti in sicurezza informatica, l’anello debole rimangono le PMI ed alcune PA.
Cosa si po’ fare?
Ci sono ovviamente alcune strategie da applicare anche se non è semplice se non si è addetti ai lavori. Vediamo le più importanti.
- Formazione e consapevolezza: È indispensabile istruire e formare il personale sull’importanza della prevenzione degli attacchi di ransomware. Gli individui devono essere informati sui pericoli, sulle strategie di phishing e sulle misure di sicurezza informatica per non diventare vittime di trappole cybernetiche.
- Manutenzione e aggiornamenti: È vitale garantire che i sistemi operativi, i software e le applicazioni siano costantemente aggiornati con le patch di sicurezza più recenti per risolvere le vulnerabilità conosciute. I ransomware tendono a sfruttare le lacune di sicurezza presenti nei software non aggiornati.
- Backup sicuri e periodici: È fondamentale effettuare backup periodici dei dati cruciali e conservarli in luoghi separati dall’ambiente di lavoro usuale (per esempio, su dispositivi di archiviazione non collegati alla rete). I backup possono essere utilizzati per recuperare i dati in caso di attacco di ransomware, evitando così di dover pagare un riscatto.
- Implementazione di tecnologie di sicurezza avanzate: È necessario adottare tecnologie di sicurezza avanzate, che non si limitano a software antivirus e antimalware, firewall e sistemi di rilevamento delle intrusioni (IDS), ma includono anche sistemi di prevenzione delle intrusioni. Questi strumenti sono utili per rilevare e bloccare l’azione dei ransomware.
- Gestione del traffico web e delle e-mail: È importante attuare filtri per il traffico web e le e-mail in modo da bloccare siti web e allegati sospetti che potrebbero nascondere ransomware o collegamenti dannosi.
- Gestione degli accessi e dei privilegi: È consigliabile limitare gli accessi e i privilegi degli utenti solo a ciò che è strettamente necessario per il loro lavoro. Questa misura riduce le possibilità per gli aggressori di spostarsi lateralmente all’interno delle reti e diffondere il ransomware.
- Monitoraggio e individuazione: È essenziale utilizzare sistemi di monitoraggio e individuazione avanzati per identificare comportamenti insoliti e segnali di attacchi ransomware in tempo reale. Un rilevamento tempestivo è cruciale per una reazione rapida e per minimizzare i danni.
Conclusione
Le PMI sono le più attaccate perché spesso non dispongono di personale interno sufficientemente preparato per la sicurezza informatica. Questo è abbastanza normale vista la difficoltà anche per le grandi organizzazioni di reperire manodopera di questo tipo.
La soluzione è possibile rivolgendosi ad aziende esterne che hanno invece il personale qualificato per la messa in sicurezza delle PMI. Come scritto in questo articolo, il ruolo degli MSP come noi di ERITEL sopperisce alla carenza di personale interno addetto alla sicurezza informatica.
1 commento