Il ransomware è una categoria di malware che blocca l'accesso ai dati o minaccia di pubblicare informazioni sensibili a meno che la vittima dell'attacco non accolga le richieste degli hacker. Il ransomware opera criptando i file sul computer; gli utenti sono dunque costretti a pagare il riscatto richiesto o a correre il rischio di affrontare le conseguenze minacciate.
Con la crescita delle nostre interazioni e della nostra dipendenza dai sistemi digitali, cresce anche il valore dei nostri dati sensibili. E mentre alcuni criminali informatici sono più interessati a rubare i dati per venderli o usarli per scopi personali, altri si accontentano di tenerli in ostaggio. Quando un utente malintenzionato esterno prende il controllo del sistema, dei dati, delle applicazioni e così via di un utente, e poi tenta di ricattarlo affinché paghi per riprendere il controllo, si parla di attacco ransomware.
Purtroppo, questo tipo di crimine informatico è fin troppo comune: solo nel 2020, l'Internet Crime Complaint Center dell'FBI ha ricevuto quasi 2.500 segnalazioni di attacchi ransomware, con perdite rettificate superiori a 29,1 milioni di dollari. E il rischio continua a crescere: le segnalazioni di ransomware a livello globale sono aumentate di oltre il 700% nel periodo 2019-2020. In effetti, nel maggio del 2021, in risposta a questo crescente pericolo per i cittadini, le aziende e i dipartimenti governativi americani, il presidente Biden ha emesso un ordine esecutivo (Improving the Nation's Cybersecurity) che contiene dettagli, politiche federali e best practice per offrire una maggiore protezione dai pericoli del ransomware.
Benché la minaccia del ransomware sia riconosciuta come una delle più gravi per la sicurezza informatica nell'era di Internet, in realtà le sue origini risalgono a prima che il web fosse accessibile al pubblico. Il ransomware ha una storia complessa, che ha semplicemente continuato a evolversi di pari passo con la tecnologia informatica.
Gli eventi chiave che hanno contribuito allo sviluppo del ransomware come pericolo significativo includono:
- 1989: trojan AIDS
Il trojan AIDS, noto anche come virus "PC Cyborg", è stato uno dei primissimi esempi di ransomware. Veniva distribuito tramite floppy disk e richiedeva l'invio di un riscatto a una casella postale a Panama per sbloccare il computer infetto. - 2005: Gpcode
Il ransomware Gpcode ha segnato una recrudescenza degli attacchi ransomware. Utilizzava potenti algoritmi di crittografia e richiedeva un riscatto in cambio della chiave di decrittazione. Questa versione ha dimostrato il potenziale del ransomware di diventare un problema serio. - 2013: CryptoLocker
CryptoLocker ha segnato una svolta nella storia del ransomware. Ha introdotto l'uso di una efficace crittografia asimmetrica, rendendo quasi impossibile il recupero dei file senza il pagamento del riscatto. I criminali informatici richiedevano pagamenti in Bitcoin, più difficili da rintracciare. - 2016: Locky e Cerber
Le campagne ransomware come quelle di Locky e Cerber hanno utilizzato metodi di distribuzione sofisticati, come allegati e-mail dannosi ed exploit kit, per infettare un gran numero di dispositivi in tutto il mondo. Hanno messo in luce le motivazioni economiche alla base degli attacchi ransomware. - 2017: WannaCry
L'epidemia di ransomware WannaCry ha colpito centinaia di migliaia di computer in oltre 150 paesi. Sfruttava una vulnerabilità di Microsoft Windows, dimostrando il potenziale per attacchi ransomware globali su larga scala. - 2018: Ryuk
Il ransomware Ryuk si è fatto conoscere come una gravissima minaccia per le organizzazioni. È stato spesso distribuito dopo una compromissione iniziale da parte di altri malware come TrickBot. Ryuk ha dimostrato il coinvolgimento dei gruppi di criminalità informatica organizzata negli attacchi ransomware. - 2019: Maze e ransomware-as-a-service (RaaS)
Il ransomware Maze ha reso popolare la tattica della "doppia estorsione", in cui i criminali informatici non si limitavano a criptare i dati, ma minacciavano anche di divulgarli pubblicamente in caso di mancato pagamento del riscatto. Grazie ai modelli RaaS, che prevedono il ricorso ai servizi di operatori competenti, per gli hacker meno qualificati è diventato più semplice lanciare campagne ransomware. - 2021: Colonial Pipeline e JBS
Gli attacchi ransomware di alto profilo su infrastrutture critiche, come quelli che hanno colpito Colonial Pipeline e l'azienda di lavorazione della carne JBS, hanno reso evidenti il potenziale di gravi disagi economici e sociali causati da incidenti legati a casi di ransomware. - Dal 2022 a oggi: ransomware moderno
Oggigiorno il ransomware è più sofisticato in termini di crittografia e gli attacchi sono molto più mirati a settori specifici. Forse l'aspetto che desta in assoluto più preoccupazione è che il ransomware moderno sta iniziando a integrare la tecnologia di intelligenza artificiale, creando attacchi intelligenti e potenziati dal machine learning (ML) che sono in grado di identificare gli obiettivi di maggior valore e realizzare attacchi personalizzati progettati per contrastare le difese consolidate.
Purtroppo, proteggere un'organizzazione dalla crescente minaccia del ransomware non è sempre semplice. Gli attacchi di questo tipo stanno diventando sempre più sofisticati e non si limitano a colpire i dati di superficie. Al contrario, i nuovi ransomware sono progettati per acquisire e trattenere i dati di backup e persino prendere il controllo delle funzioni di amministrazione di alto livello. Questi attacchi sono spesso realizzati come singolo componente di una strategia più ampia, con l'obiettivo di compromettere completamente i sistemi critici.
Allo stesso modo, gli attori di minaccia stessi degli attacchi stanno diventando più sofisticati: non sono dei singoli criminali informatici che operano con risorse limitate, ma sono piuttosto gruppi organizzati e ben finanziati, team di spionaggio industriale sostenuti da aziende e persino agenzie governative straniere ostili.
Data l'ubiquità e la diversità di questi attacchi informatici, le aziende di tutto il mondo rischiano seriamente di diventare vittime di questo racket delle estorsioni dell'era digitale.
Come qualsiasi altro malware, il ransomware può entrare nella rete in diversi modi, ad esempio attraverso un allegato di un'e-mail di spam, utilizzando credenziali rubate, tramite un collegamento Internet non sicuro, attraverso un sito Web compromesso o persino nascosto come parte di un pacchetto software scaricabile. Alcune forme di ransomware utilizzano strumenti incorporati di ingegneria sociale per cercare di ingannare l'utente e indurlo a concedere l'accesso amministrativo, mentre altre tentano di aggirare completamente l'autorizzazione sfruttando le falle di sicurezza esistenti.
Una volta all'interno della rete, il software si installa, eseguendo una serie di comandi in background. Spesso si tratta di violare gli account amministrativi critici che controllano i sistemi, come le console di amministrazione di backup, archiviazione, Active Directory (AD) e Domain Name System (DNS). Il malware attacca quindi la console di amministrazione di backup, consentendo all'hacker di disattivare o modificare i processi di backup, cambiare i criteri di archiviazione e individuare più facilmente i dati sensibili che potrebbe valere la pena di prendere in ostaggio.
A questo punto, il malware inizia in genere a criptare alcuni o tutti i file. Una volta che i file sono stati protetti contro l'accesso, il malware informa l'utente che i suoi dati sono tenuti in ostaggio per un riscatto e che dovrà soddisfare le richieste per riottenere l'accesso. In altri tipi di malware (spesso chiamati leakware), l'hacker può minacciare di rendere pubblici alcuni tipi di dati sensibili nel caso in cui il riscatto non venga pagato. Spesso i dati non vengono solo criptati, ma anche copiati e rubati per essere utilizzati in future attività criminali.
Il ransomware può assumere molteplici forme, ciascuna caratterizzata da metodologie e obiettivi specifici. Comprendere i diversi tipi di ransomware è fondamentale per mettere a punto un ecosistema di sicurezza informatica efficace. Ecco alcuni dei tipi più comuni:
Il ransomware con crittografia è il tipo di ransomware più comune ai nostri giorni. Prende il nome dalla capacità di criptare i file della vittima o persino di bloccare l'accesso all'intero sistema. Alle vittime viene quindi richiesto di pagare un riscatto per ricevere la chiave di decrittazione. Ciò che rende così efficace questa forma di ransomware è che molte organizzazioni scelgono di assecondare le richieste degli hacker, considerandola la soluzione più semplice e diretta. Detto questo, una volta che una vittima ha ceduto alle richieste, l'hacker può semplicemente scegliere di non fornire la chiave di decrittazione, richiedendo invece più denaro. Esempi ransomware con crittografia includono CryptoLocker e Ryuk.
Meno pericoloso del ransomware con crittografia, ma potenzialmente altrettanto snervante, Scareware non cripta i file, bensì sfrutta la tattica della paura per ingannare le vittime. Questa forma di ransomware visualizza falsi avvisi o messaggi pop-up nei sistemi infetti, in cui non di rado viene indicato che il computer della vittima è stato infettato da malware o che sono stati trovati contenuti illegali. Gli utenti vengono quindi sollecitati a effettuare un pagamento per una soluzione di sicurezza falsa o a intraprendere altre azioni non sicure.
Alcuni esempi includono annunci pubblicitari falsi, popup o modifiche non autorizzate all'interno del browser della vittima.
Gli screen locker sono un tipo di ransomware che impedisce agli utenti di accedere ai loro dispositivi o sistemi operativi, visualizzando sullo schermo un messaggio di riscatto. Le vittime non hanno la possibilità di accedere al desktop o ai file fintanto che il riscatto non viene pagato. Questi attacchi sono più comuni sui dispositivi mobili. Invece di criptare i dati della vittima, gli screen locker bypassano il sistema operativo per impedire agli utenti autorizzati di accedere ai propri dati.
Esempi di screen locker includono gli attacchi ransomware in cui gli hacker impersonano le forze dell'ordine o l'FBI accusando le vittime di attività illegali e ordinando il pagamento di una multa per sbloccare i sistemi.
Sebbene gli attacchi ransomware rientrino generalmente nelle categorie menzionate sopra, all'interno di queste categorie si osservano molteplici varianti specifiche, ciascuna con caratteristiche e modus operandi differenti. Queste varianti si evolvono continuamente, rendendo imprescindibile sia per le singole persone che per le organizzazioni restare al passo con le ultime minacce.
Tra le varianti più importanti è possibile citare:
Ryuk è noto per prendere di mira obiettivi di alto valore, tra cui aziende, organizzazioni sanitarie ed enti pubblici. Spesso fa seguito a una compromissione iniziale a opera di altri malware (come TrickBot). Ryuk cripta i file e richiede riscatti di importo elevato, generalmente in criptovaluta.
Come già indicato, Maze è stato tra i primi tipi di ransomware a impiegare la doppia estorsione, impedendo l'accesso ai dati da parte degli utenti e minacciando di divulgare dati sensibili in caso di mancato pagamento degli hacker. Questa variante ha acquisito popolarità per il suo livello di sofisticazione e per l'efficacia nel compromettere i file e i sistemi delle grandi aziende.
REvil, noto anche come Sodinokibi, è famoso per il suo modello ransomware-as-a-service (RaaS), che consente ad altri criminali informatici di utilizzare questo ransomware in cambio di una quota dei profitti. Spesso prende di mira le organizzazioni e compie furti di dati di grande entità prima di mettere in atto la crittografia.
Lockbit è un'altra variante di ransomware che utilizza il modello RaaS e che cripta i file per poi richiedere un riscatto per la relativa decrittazione. Questa variante si distingue per la rapidità con cui riesce a criptare enormi quantità di dati a livello di intere organizzazioni, spesso portando a termine il misfatto prima che possa essere rilevato. Lockbit viene spesso diffuso attraverso e-mail di phishing e connessioni Remote Desktop Protocol (RDP) vulnerabili.
DearCry è una variante di ransomware relativamente più recente che si è fatta notare nel 2021. Prende di mira principalmente i server Microsoft Exchange e i sistemi Windows, criptando i file e chiedendo un riscatto prima di restituire l'accesso agli utenti autorizzati.
Come già accennato, l'uso del ransomware negli attacchi informatici è in aumento. Questa esponenziale escalation può essere attribuita a una serie di fattori diversi:
Sono lontani i tempi in cui i criminali informatici dovevano possedere le conoscenze tecniche necessarie per creare i propri programmi malware. Oggi i mercati online di ransomware vendono kit, programmi e ceppi di malware, consentendo a qualsiasi potenziale criminale di accedere facilmente alle risorse necessarie per iniziare a operare.
Un tempo gli autori di ransomware erano limitati in termini di piattaforma da colpire e dovevano creare versioni specifiche per ogni piattaforma aggiuntiva. Oggi, gli interpreti generici (programmi in grado di tradurre rapidamente il codice da un linguaggio di programmazione a un altro) consentono ai ransomware di essere affidabili praticamente su qualsiasi tipo di piattaforma.
Le nuove tecniche non solo facilitano l'introduzione di malware nei sistemi, ma consentono anche di fare più danni una volta entrati. Ad esempio, i moderni programmi di ransomware possono essere in grado di criptare l'intero disco, piuttosto che singoli file, bloccando di fatto l'accesso al sistema.
Purtroppo non esiste un unico approccio alla sicurezza di rete in grado di proteggere completamente l'organizzazione da ogni tipo di attacco ransomware. Al contrario, le strategie anti-ransomware più efficaci consistono nel tenere pienamente conto dell'infrastruttura IT esistente e delle sue eventuali falle, nello stabilire solide procedure di backup e di autenticazione e nel promuovere un cambiamento culturale all'interno dell'organizzazione, orientato a una maggiore consapevolezza in materia di sicurezza.
Per iniziare, considera i seguenti passi:
È necessario eliminare i semplici protocolli di condivisione di rete durante il backup dei dati e implementare funzioni di sicurezza valide per proteggere i dati di backup e le console di amministrazione dagli attacchi. In questo modo si potrà garantire la disponibilità di copie di dati non corrotti da utilizzare all'occorrenza.
Ogni volta che viene identificato un nuovo malware, i fornitori di software di sicurezza e altri fornitori aggiornano i propri prodotti e sistemi in modo da contrastare le nuove minacce. Purtroppo, a volte le organizzazioni non provvedono a implementare le ultime patch di sicurezza, rendendosi vulnerabili alle minacce già note. Occorre dunque controllare regolarmente la presenza di nuovi aggiornamenti e installarli non appena sono disponibili.
Crea e distribuisci in tutta l'organizzazione criteri sull'utilizzo di Internet con una descrizione dettagliata delle best practice e delle misure di sicurezza che i dipendenti devono seguire quando sono online. Ad esempio, non permettere mai ai dipendenti di svolgere attività aziendali o di accedere a sistemi sensibili mentre sono connessi a una rete Wi-Fi pubblica. Provvedi a formare tutto il personale interessato sulle politiche definite e sviluppa piani di risposta da seguire in caso di esposizione a malware.
Proteggi gli account amministrativi da accessi e controlli non autorizzati utilizzando l'autenticazione a due (o più) fattori. Configura gli account in modo che forniscano per impostazione predefinita solo i privilegi di sistema minimi necessari.
Inserisci il ripristino a seguito di ransomware nella tua strategia complessiva di ripristino in caso di disastro creando un ambiente di ripristino isolato (IRE), ovvero un data center separato e chiuso in cui le copie dei dati possono essere protette dall'accesso esterno. Includi l'IRE in tutti i test di ripristino in caso di disastro.
La conoscenza e la consapevolezza sono alcune delle armi più efficaci dell'arsenale anti-ransomware: è necessario tenerle sempre aggiornate seguendo i professionisti e gli esperti di sicurezza sui social media, controllando regolarmente le sezioni di consulenza sui rischi e i siti di consulenza e aggiornandosi sulle notizie rilevanti.
Sviluppa un piano dettagliato di risposta al ransomware con la procedura da intraprendere in caso di attacco. Questo piano deve includere procedure per identificare e isolare i sistemi infetti, contattare le forze dell'ordine, informare le parti interessate e avviare i processi di ripristino. Disporre di un piano ben definito può ridurre significativamente la confusione e i tempi di inattività associati agli incidenti del ransomware.
Esegui regolarmente il backup di tutti i dati e i sistemi critici. Assicurati che i backup siano archiviati in modo sicuro e offline per evitare che possano essere criptati o eliminati tramite ransomware. Verifica regolarmente l'integrità dei backup per garantirne l'affidabilità in caso di perdita di dati. Una solida strategia di backup può fornire un mezzo per recuperare i dati senza pagare un riscatto.
Conduci una formazione approfondita sulla sicurezza informatica per tutti i dipendenti, che sottolinei l'importanza della sicurezza dei dati. Insegna a riconoscere i tentativi di phishing, nonché i link e gli allegati e-mail sospetti. Incoraggia l'adozione di una gestione efficace delle password e l'uso dell'autenticazione a più fattori. I dipendenti devono comprendere il ruolo assunto in prima persona nella prevenzione degli attacchi ransomware e sapere come segnalare tempestivamente qualsiasi attività sospetta. La formazione continua dei dipendenti è un elemento essenziale di una difesa efficace contro il ransomware.
È importante che la vittima di un attacco ransomware non ceda alle richieste dei criminali. Se ciò avviene, infatti, la vittima e la sua organizzazione verranno identificate come vittime consenzienti, incoraggiando i criminali a compiere ulteriori attacchi ai loro danni. Nella maggior parte dei casi, le aziende che pagano per riavere i propri dati o file non ricevono mai una chiave di crittografia funzionante. Al contrario, gli aggressori continuano ad aumentare le loro richieste finché l'azienda colpita non smette di pagare. Inoltre, pagando i ricattatori, si finanzia la loro attività criminale e si espongono altre organizzazioni o individui allo stesso rischio.
Se ti accorgi di essere vittima di un ransomware, agisci rapidamente seguendo questi passaggi:
Il ransomware entra in una rete infettando un singolo dispositivo o sistema, ma ciò non significa necessariamente che rimanga in quel punto. Il ransomware, infatti, può facilmente diffondersi attraverso la rete. Pertanto, la prima cosa da fare quando si scopre un ransomware è scollegare il sistema infetto e isolarlo dal resto della rete. Se agisci abbastanza rapidamente, potresti riuscire a contenere il malware in un'unica posizione, semplificando il resto del lavoro.
Proprio come i vigili del fuoco rimuovono le sterpaglie e gli alberi dal percorso di un incendio incontrollato, è necessario prendere dei provvedimenti per fermare un'eventuale diffusione del ransomware scollegando e isolando qualsiasi altro sistema che potrebbe essere stato esposto al rischio di infezione, tra cui tutti i dispositivi che sembrano comportarsi in modo anomalo, compresi quelli che potrebbero non venire utilizzati on premise. Puoi ostacolare ulteriormente la diffusione disattivando tutte le opzioni di connettività wireless.
Una volta isolati i file sospetti dalla rete, è il momento valutare l'entità del danno subito. Determina quali sistemi sono stati effettivamente colpiti cercando i file che sono stati criptati di recente (spesso hanno nomi con estensioni strane). Osserva attentamente le condivisioni criptate in ogni dispositivo: se un dispositivo ha più condivisioni degli altri, potrebbe essere il punto di ingresso originale del ransomware nella tua rete. Spegni questi sistemi e dispositivi e crea un elenco completo di tutti gli elementi che potrebbero essere stati colpiti (compresi dischi rigidi esterni, dispositivi di archiviazione di rete, sistemi basati su cloud, desktop, laptop, dispositivi mobili e qualsiasi altro apparecchio in grado di eseguire o trasmettere il ransomware).
Come menzionato nel punto precedente, controllare se i dispositivi colpiti presentano un numero elevato di azioni di crittografia può aiutare a individuare il "paziente zero". Altri metodi per individuare l'origine del ransomware includono la verifica di eventuali avvisi antivirus che precedono direttamente l'infezione e l'analisi di eventuali azioni utente sospette, come ad esempio il clic su un link sconosciuto o l'apertura di un'e-mail spam. Una volta individuata la fonte, porre rimedio alla situazione diventa molto più semplice.
La capacità di contrastare efficacemente un attacco ransomware dipende spesso dalla capacità di identificare in modo preciso la specifica varietà di ransomware. Esistono diversi modi per identificare il ransomware. Il ransomware potrebbe essere identificato direttamente nella nota inclusa nell'attacco, ovvero il messaggio in cui viene richiesto di inviare denaro per sbloccare i file. Un'altra opzione è cercare l'indirizzo e-mail associato alla nota per scoprire il tipo di ransomware utilizzato nel caso specifico dall'hacker e i passi che altre organizzazioni hanno intrapreso dopo essere state infettate. Infine, in rete sono disponibili siti e strumenti che aiutano a identificare i tipi di ransomware. Prima di sceglierne uno, tuttavia, è opportuno fare una ricerca approfondita, per non rischiare di scaricare uno strumento inaffidabile e, di conseguenza, introdurre altro malware nel sistema già compromesso.
Una volta bloccato il ransomware, hai il dovere di contattare le forze dell'ordine. In molti casi, questo approccio è molto più che un semplice protocollo: alcune leggi sulla privacy dei dati, infatti, prevedono l'obbligo di presentare un rapporto entro un periodo di tempo prestabilito per qualsiasi violazione dei dati subita da un'azienda, e il mancato rispetto di questo obbligo può comportare multe o altre sanzioni. Tuttavia, contattare le forze dell'ordine dovrebbe essere una priorità assoluta anche in assenza di un obbligo legale in tal senso. Basti solo pensare che le agenzie che si occupano di criminalità informatica hanno probabilmente accesso a un'autorità, a risorse e a un'esperienza più adeguate a risolvere questo tipo di problemi e possono aiutare l'azienda a ritornare più rapidamente alla normalità.
Passata l'emergenza, è il momento di iniziare a riparare i sistemi. Idealmente, se disponi di dati di backup non corrotti, il ripristino non dovrebbe porre troppi problemi. Prima di ripristinare i dati, verifica attentamente che tutti i dispositivi siano privi di ransomware e altre forme di malware. Tieni presente che i moderni attacchi ransomware spesso prendono di mira i backup dei dati, pertanto è necessario accertarsi che i dati siano integri prima di ripristinarli.
Se non disponi di un backup dei dati o se i dati in sé sono stati danneggiati, l'opzione migliore è quella di cercare una soluzione di decrittazione. Come accennato in precedenza, facendo qualche ricerca è possibile trovare online una chiave di decrittazione che consenta di ripristinare l'accesso e il controllo.
Dopo un attacco ransomware, è tua responsabilità mettere i clienti al corrente dell'incidente. La trasparenza è fondamentale per preservare il rapporto di fiducia. Se non provvedi ad aggiornare i clienti su quello che succede, la fiducia che ripongono nella tua attività verrà presto a mancare. Contatta le persone che supportano la tua azienda per informarle della situazione, delle azioni che hai messo in atto per rimediare ai danni e di qualsiasi potenziale impatto sui loro dati o servizi. Fornire informazioni tempestive e accurate può contribuire a mitigare i danni di reputazione che spesso accompagnano simili incidenti.
Anche se fare i conti con un attacco ransomware può essere destabilizzante, è essenziale adoperarsi per mantenere operativa l'azienda durante il processo di ripristino. Implementa dei Business Continuity Plan per garantire la continuità operativa delle funzioni critiche. A tal fine, potrebbe essere necessario riassegnare delle attività ad aree non colpite o riorganizzare temporaneamente le operazioni per ridurre al minimo i tempi di inattività. Il mantenimento della continuità di business può ridurre le perdite finanziarie associate agli incidenti di ransomware e fornire una prova di resilienza a clienti e stakeholder.
Che tu ripristini i dispositivi, trovi una soluzione di decrittazione o accetti semplicemente che i tuoi dati sensibili siano andati perduti per sempre, il passo finale rimane sempre lo stesso: ricostruire e andare avanti. Anche negli scenari migliori, tornare ai livelli di produttività precedenti all'attacco può essere un processo lungo e costoso. Quello che davvero conta è trarre tesoro dall'esperienza vissuta acquisendo una maggiore consapevolezza delle minacce a cui la tua organizzazione è esposta e idee più chiare su come difenderti.
Man mano che i criminali informatici si adattano alle più recenti tecnologie e misure di sicurezza, anche il ransomware continuerà a evolversi di pari passo. Comprendere le tendenze future del ransomware è essenziale per stare al passo con le minacce emergenti. Ecco alcune tendenze chiave da tenere d'occhio:
Con le organizzazioni che migrano sempre più dati e servizi nel cloud, si può prevedere che i criminali informatici prenderanno di mira molto più frequentemente gli endpoint basati su cloud. I servizi cloud sono obiettivi interessanti in quanto archiviano grandi quantitativi di dati, il che rende i ransomware potenzialmente più redditizi per gli hacker. Per mitigare queste minacce, è importante che le organizzazioni proteggano i loro ambienti cloud e implementino controlli di accesso efficaci.
Storicamente il ransomware ha preso di mira piattaforme ampiamente utilizzate come Windows e iOS, ma le tendenze future potrebbero vedere un'espansione verso sistemi operativi e piattaforme meno comuni. I criminali informatici, infatti, cercano di sfruttare le vulnerabilità in contesti in cui le misure di sicurezza potrebbero essere meno avanzate. Di conseguenza, è opportuno che le organizzazioni garantiscano misure di sicurezza complete in tutti i loro sistemi, compresi quelli considerati più marginali.
Sempre più gli autori di attacchi ransomware non si limitano solamente a criptare i dati, ma procedono all'esfiltrazione delle informazioni sensibili prima della crittografia. Quindi minacciano di divulgare i dati sottratti se il riscatto non viene pagato, rendendo l'estorsione dei dati una tattica potente. Anche se l'estorsione dei dati non è una novità, l'utilizzo di funzionalità all'avanguardia rende più semplice per gli hacker condividere i dati rubati, così i criminali possono contare su uno strumento aggiuntivo per ricattare le loro vittime. Questa tendenza sottolinea l'importanza di proteggere non solo la disponibilità dei dati, ma anche la relativa confidenzialità.
Uno spiacevole effetto collaterale dell'esfiltrazione dei dati è che gli hacker possono ora diversificare più facilmente i loro flussi di entrate vendendo i dati rubati sul dark web, e questo anche nel caso in cui le vittime acconsentano al pagamento del riscatto. Questa pratica espone le organizzazioni a ulteriori rischi oltre all'impatto immediato di un attacco ransomware.
Gli hacker stanno già iniziando a sfruttare il potere dell'intelligenza artificiale e del machine learning per migliorare i loro attacchi ransomware. L'intelligenza artificiale è in grado di automatizzare attività come l'identificazione degli obiettivi vulnerabili e la creazione di e-mail di phishing personalizzate, mentre la tecnologia di machine learning può essere utilizzata per eludere la rilevazione da parte dei sistemi di sicurezza, solo per citare alcuni casi d'uso. Questa tendenza sottolinea l'importanza di integrare l'intelligenza artificiale e il machine learning nelle difese della sicurezza informatica per rilevare e contrastare in modo efficace le minacce in continua evoluzione, comprese quelle fanno affidamento su tecnologie intelligenti.
Nella difesa e nella risposta agli attacchi ransomware, il tempo può essere la risorsa più preziosa. ServiceNow, leader nella gestione dell'IT e nell'automazione dei workflow, consente di ottimizzare il tempo a disposizione, con funzionalità di controllo e monitoraggio chiare e centralizzate. Elimina le falle di sicurezza prima che possano essere sfruttate, identifica le attività di rete sospette, reagisci alle violazioni tempestivamente e riprenditi più rapidamente dagli attacchi ransomware e di altro tipo con soluzioni di risposta di sicurezza automatizzate. Con ServiceNow, tutto ciò è possibile.
Proteggi la tua organizzazione dal ransomware e da altri elementi di attacco con un monitoraggio continuo e una risposta automatizzata. Scopri di più sul ransomware e su come ServiceNow può aiutare la tua azienda a gestire le situazioni impreviste.
Abbatti i silo per gestire i rischi e migliorare la conformità in tutta l'azienda.