Al giorno d’oggi, gli hacker creano sistemi sempre più complessi per rubare le informazioni e creare danni irreparabili ai sistemi aziendali. Tra gli attacchi più comuni, troviamo quelli dei ransomware, che possono interrompere l’accesso alla rete, bloccare le operazioni interne e danneggiare la reputazione di un’azienda. Inoltre, possono rendere vulnerabile il sistema, che può essere oggetto di ulteriori attacchi con lo scopo di danneggiare o diffondere informazioni sensibili.
Infatti, i virus ransomware possono attaccare i dati archiviati sui sistemi informatici oppure sui dispositivi e, a volte, dopo aver pagato un riscatto ai cybercriminali, viene dato ai legittimi proprietari uno strumento per sbloccare i dati o il proprio dispositivo. In questo articolo analizzeremo approfonditamente il concetto di “ransomware” e tutte le minacce ad esso collegate.
Cos’è un ransomware?
Il termine “ransomware” indica un particolare virus informatico in grado di bloccare l’accesso ai sistemi informatici e crittografare i file, offrendo ai cybercriminali il controllo su qualsiasi informazione personale presente nei dispositivi. Queste minacce si sviluppano non solo verso i device e i computer, ma anche sui servizi cloud e IoT (dall’inglese “Internet of Things”, cioè una rete di oggetti e dispositivi connessi dotati di sensori che trasmettono e ricevono dati), rendendole molto pericolose per la sicurezza del tuo sistema informatico aziendale.
A causa dell’aumento di dispositivi IoT (come, ad esempio, gli assistenti virtuali come Google Home o Alexa), si espande anche il terreno di attacco per i ransomware, poiché questi dispositivi sono un potenziale punto di ingresso per gli aggressori. Questo tipo di malware va a minacciare l’accesso ai file o ai computer, mettendo in pericolo di diffusione i dati sensibili poiché spesso i criminali informatici chiedono che si paghi un riscatto per evitare queste situazioni.
Le due diverse famiglie di ransomware
In generale, esistono due grandi famiglie di virus ransomware che sono caratterizzate da specifiche differenti: quelle a blocco (“Locker”) e quelle di crittografia (“Crypto”). Vediamo ora insieme quali sono le maggiori differenze tra queste due varianti:
- Locker ransomware: questo tipo di attacco informatico è in grado di bloccare l’accesso al dispositivo, ma in questo caso non è obbligatorio che i file vengano criptati, come invece avviene con il ransomware crittografico. Nel concreto, questa minacciaimpedisce all’utente di accedere al proprio computer, poiché appare un messaggio di riscatto sulla schermata a meno che non si paghi la cifra che viene richiesta dai cyber criminali.
- Crypto ransomware: al contrario del precedente, in questo caso avviene un processo di codifica con algoritmi avanzati di crittografia (come, ad esempio, AES o RSA) che blocca i file fino all’arrivo di una chiave di decrittazione. Questa chiave viene fornita dagli autori dell’attacco ransomware solo dopo il pagamento di un riscatto, che può avvenire in forma di criptovalute.
- Esiste, inoltre, la variante RansomCloud, che colpisce i servizi come, ad esempio, Microsoft 365, Google Workspace e altri cloud storage. A differenza dei classici malware, che bloccano i dispositivi oppure criptano i file locali, questo tipo di ransomware si concentra sul cloud per estorcere denaro alle sue vittime. Questo vuol dire che questo sistema sfrutta le vulnerabilità delle applicazioni per accedere e, successivamente, criptare i dati.
Come funziona un ransomware?
Il ransomware, come abbiamo anticipato in precedenza, irrompe nelle reti utilizzando alcuni attacchi tradizionali come baiting, scareware e honey trap. Le due porte di ingresso fondamentali per i ransomware sono:
- E-mail e messaggi contenenti link, social engineering, phishing oppure siti dannosi.
- Sfruttare le vulnerabilità del protocollo del software e del desktop remoto.
Con lo smartworking, che sfrutta appunto il software desktop da remoto, si è potuto notare un consistente aumento del numero di e-mail dannose; inoltre, al giorno d’oggi le organizzazioni usano sistemi di archiviazione ibridi, che espongono maggiormente le vulnerabilità legate all’archiviazione in cloud. In mancanza di una segmentazione della rete efficace, gli hacker riescono ad entrare nella rete, andando ad infettare gli endpoint e i server. Inoltre, gli attacchi e-mail consentono al ransomware di entrare in una rete e si dimostrano poi molto difficili da fermare.
Una politica di sicurezza informatica efficace per difendersi dai ransomware
Per difendersi da questa tipologia di attacchi è necessario mettere in atto una politica di sicurezza informatica efficace e seguire alcune semplici regole. Ad esempio, una delle prime accortezze da attuare è di eseguire regolarmente il backup in un luogo sicuro, conservare più copie dei file e accertarsi che i backup corrispondano all’originale.
È importante anche utilizzare per le proprie e-mail degli efficienti filtri antispam, che possano essere in grado di adattarsi costantemente alle nuove minacce per impedire a più del 99% dei messaggi dannosi di arrivare ai mittenti. Mantenere aggiornato il proprio software è un’altra misura di sicurezza fondamentale da prendere: infatti, il software deve essere sempre aggiornato, in modo tale che gli update che includono le patch di sicurezza possano proteggere tutte le eventuali vulnerabilità scoperte.
Evoluzione Informatica protegge la tua azienda dagli attacchi informatici
Il team di professionisti di Evoluzione Informatica gode di una comprovata esperienza nel settore ed è in grado di offrirti il sostegno necessario per rendere la tua infrastruttura IT a prova di minacce informatiche. Con il nostro aiuto, sarai guidato nella scelta della soluzione migliore per te e per la tua attività, così da poterla proteggere al meglio eventuali vulnerabilità. Se sei interessato ad un supporto a 360° per la tua sicurezza informatica, allora non ti resta che contattarci per richiederci subito una consulenza gratuita. Ti aspettiamo!