Il ransomware è un tipo di malware che ha riscosso un grande successo. Questa insidiosa forma di malware utilizza varie tattiche, tra cui l'ingegneria sociale e il phishing, per infettare le reti e rubare e criptare i dati.
Una volta crittografati, i dati diventano inutilizzabili e causano il blocco delle aziende. Questo fatto e le minacce di rivelare i dati rubati vengono utilizzati come leva per estorcere denaro all'organizzazione.
Le infezioni da ransomware continuano ad aumentare. Alcuni settori, come quello sanitario, hanno registrato uno sbalorditivo aumento del 94% delle infezioni da ransomware nel periodo 2021-2022.
Il phishing continua a essere il metodo preferito per diffondere il malware, compreso il ransomware. Tuttavia, questo attacco informatico incentrato sull'uomo può essere mitigato grazie alla formazione dei dipendenti.
Qual è la differenza tra malware e ransomware?
Malware è un portmanteau di due parole, software maligno. Esistono molti tipi di malware: malware che rubano i dati; malware che catturano le credenziali di accesso mentre vengono digitate; malware utilizzato per estrarre criptovalute e così via.
Il ransomware è un tipo di malware che agisce su un computer o su altri dispositivi per causare interruzioni dell'attività. In genere, il ransomware blocca un dispositivo in modo che diventi inutilizzabile o cripta i dati in una rete in modo che non sia possibile svolgere il lavoro.
Una volta bloccato il dispositivo o crittografati i dati, il ransomware visualizza una nota di riscatto sullo schermo. La nota di solito richiede il pagamento di una criptovaluta, di solito bitcoin, per accedere a una chiave di decrittazione. Tuttavia, il pagamento di un riscatto non garantisce la decriptazione o la restituzione dei dati; un rapporto di Sophos ha rilevato che solo il 65% dei dati criptati è stato ripristinato dopo il pagamento del riscatto.
Attacchi ransomware
Gli attacchi ransomware affliggono tutti i settori e colpiscono le aziende, dalla più piccola impresa individuale alle imprese internazionali. Nella prima metà del 2021, il Dipartimento del Tesoro degli Stati Uniti ha riferito che le aziende statunitensi hanno subito costi legati al ransomware per 590 milioni di dollari.
Nelle ultime settimane, il ransomware è tornato alla ribalta delle cronache: l'NHS è diventato un bersaglio per le bande di ransomware con un attacco al servizio NHS 111, causando ritardi nei pazienti e scompiglio generale. L'NHS non è nuovo agli attacchi ransomware, con l'attacco WannaCry del 2017 che ha causato arresti diffusi.
Anche altri settori soffrono di ransomware. Il settore finanziario, il commercio al dettaglio e l'industria manifatturiera sono tutti sotto l'occhio vigile degli aggressori di ransomware. Il settore bancario, i servizi pubblici e il commercio al dettaglio sono stati i tre settori più bersagliati nel 2021.
Gli aggressori di ransomware hanno cambiato tattica, passando da un approccio di pura crittografia all'infezione da malware a un attacco a doppia estorsione. Le nuove infezioni ransomware prevedono il furto dei dati prima della loro crittografia in rete. In questo modo, i criminali informatici possono utilizzare i dati rubati per minacciare l'azienda di esporre i dati se non paga il riscatto. Un rapporto di Cisco ha rilevato che il 70% degli attacchi ransomware utilizza ora questo metodo di doppia estorsione.
Il ransomware è ormai un'impresa criminale altamente sofisticata e concertata. Gli aggressori cambiano regolarmente tattica e approccio per evitare di essere scoperti. Un recente avviso di Sophos evidenzia una nuova tattica che prevede attacchi multipli in cui diverse bande di hacker scelgono un obiettivo e attaccano simultaneamente o in contemporanea. Sophos osserva che le aziende dovrebbero considerare un attacco ransomware non come "se, o quando, ma quante volte?"
Perché non utilizzare semplicemente decrittatori di ransomware o software antivirus?
Esistono molte varianti di ransomware e di altre minacce informatiche. Talmente tante che i decriptatori di ransomware commerciali in genere si occupano solo di specifiche varianti di ransomware ben note. Il sito web NoMoreRansom contiene un elenco di decrittatori per ogni tipo di ransomware.
Tuttavia, gli attori del ransomware sono intelligenti e lavorano diligentemente per eludere gli strumenti software, presentando regolarmente nuove varianti. I software antivirus o gli strumenti di sicurezza anti-ransomware hanno un problema simile nel tenere il passo con le modifiche del codice software e dei meccanismi utilizzati dal malware.
L'utilizzo di strumenti software di sicurezza e di backup sicuri dei dati è essenziale. Tuttavia, il fattore critico per prevenire un'infezione da malware o ransomware è bloccarla prima che venga installata su un dispositivo. È qui che entra in gioco la formazione dei dipendenti. Le simulazioni di phishing e la formazione sulla consapevolezza della sicurezza equivalgono ad avere un firewall umano intorno alla vostra organizzazione e ai suoi dispositivi.
Cinque cose per prevenire malware e ransomware
La responsabilizzazione dei dipendenti attraverso la formazione è una misura di sicurezza vitale e rientra in un modello olistico di prevenzione di malware e ransomware. I dipendenti sono sempre più spesso manipolati dagli attori del ransomware tramite e-mail di phishing o sfruttati a causa di cattive abitudini di sicurezza.
Ecco cinque cose che la vostra organizzazione può fare per aiutare i vostri dipendenti a mitigare gli attacchi malware e ransomware:
Insegnare le buone abitudini di sicurezza
Aiutate i dipendenti a comprendere il loro ruolo nel mantenere la sicurezza della vostra organizzazione. Ad esempio, utilizzate pacchetti di formazione sulla consapevolezza della sicurezza con moduli su cosa sia il malware o il ransomware, su come infetti un dispositivo e sui danni che può provocare. Assicuratevi che questi pacchetti di formazione di sensibilizzazione siano interattivi e utilizzino esperienze di apprendimento mirate per aiutare i dipendenti a ridurre le infezioni da malware.
Phish per i vostri dipendenti
Utilizzate una piattaforma di phishing simulato per inviare a tutti i dipendenti messaggi di phishing dall'aspetto realistico, ma con spoofing. Utilizzate una piattaforma che offra molti modelli e adattateli in modo da riflettere i tipici messaggi di phishing contenenti minacce malware o ransomware.
Tenere al sicuro i dipendenti remoti
I dipendenti remoti sono ad alto rischio di phishing e altri attacchi informatici. Assicuratevi che tutti i dipendenti, in particolare quelli che lavorano a casa e in remoto, utilizzino una VPN sicura per accedere ai siti web e trasferire dati e credenziali in modo sicuro.
Coinvolgete i vostri dipendenti nella prevenzione attiva del malware
Incoraggiate tutti i dipendenti a informare il team IT o il responsabile di linea di qualsiasi attività sospetta. Tra queste, le e-mail e i messaggi di testo sospetti di phishing. In questo modo si ha il tempo di rispondere a una minaccia di ransomware o malware per evitare che diventi un incidente.
Essere socialmente consapevoli
I social media sono un luogo eccellente per i criminali informatici per reperire informazioni su un dipendente e un'azienda. Molti attacchi informatici iniziano con un attacco di social engineering alimentato da informazioni raccolte attraverso vari canali, tra cui i social media. Insegnate ai dipendenti i pericoli dell'eccessiva condivisione di informazioni personali e aziendali.
Un rapporto di Cybersecurity Ventures evidenzia che i danni globali da ransomware costeranno probabilmente 250 miliardi di dollari (207 miliardi di sterline) entro il 2031. Nessuna organizzazione può sentirsi al sicuro da un'infezione da malware o ransomware senza che l'intera azienda sia coinvolta nella prevenzione delle infezioni da malware.
Dipendenti ben addestrati offrono un modo per bloccare l'infezione da malware al primo ostacolo e, in ultima analisi, per salvare la vostra azienda dai problemi causati dalle minacce informatiche.