Messaggi

Vi siete mai chiesti che cos'è un ransomware o che impatto può avere su di voi? Lo scopo del ransomware è quello di criptare i vostri file importanti utilizzando un software dannoso. I criminali chiedono poi il pagamento in cambio della chiave di decrittazione, sfidandovi a dimostrare di aver pagato il riscatto prima di fornirvi le istruzioni per recuperare i vostri file. È l'equivalente di pagare un rapitore per ottenere il rilascio della persona amata.

"Nella prima metà del 2022 sono stati registrati 236,1 milioni di attacchi ransomware in tutto il mondo. Tra il secondo e il quarto trimestre del 2021, ci sono stati 133 milioni di attacchi in meno, un netto calo rispetto ai circa 189 milioni di casi." ~Statista

Il ransomware ha fatto parlare di sé e probabilmente avrete visto notizie di computer che si bloccano fino a quando non si paga una chiave per uscirne. Ma cos'è esattamente, come funziona e come possiamo difenderci da esso?

Come funziona il ransomware?

Il ransomware viene tipicamente installato come allegato a e-mail di spam o sfruttando le vulnerabilità del software sul computer della vittima.

L'infezione può essere nascosta in un file che l'utente scarica da Internet o installata manualmente da un aggressore, spesso tramite un software fornito con prodotti commerciali.

Una volta installato, attende una condizione di attivazione (come la connessione a Internet) prima di bloccare il sistema e chiedere un riscatto per il suo rilascio. Il riscatto può essere pagato utilizzando criptovalute o carte di credito.

Tipi di Ransomware

"Nel 2021, il costo medio di una violazione di ransomware è stato di 4,62 milioni di dollari, escluso il riscatto".~IBM

Ecco alcuni tipi comuni:

WannaCry

Nel 2017l'attacco ransomware noto come WannaCry ha colpito più di 150 nazioni. Quando infetta un computer Windows, WannaCry cripta i file degli utenti e chiede un riscatto in bitcoin per sbloccarli.

Locky

Locky è una delle forme più antiche di ransomware ed è stato scoperto per la prima volta nel febbraio 2016. Il malware cripta rapidamente i file e si diffonde attraverso e-mail di phishing con allegati che sembrano fatture o altri documenti aziendali.

Labirinto

Maze è un ransomware più recente che è stato scoperto per la prima volta in maggio 2019. Funziona in modo simile a Locky, tranne per il fatto che termina i nomi dei file crittografati con .maze invece che con locky. Anche le e-mail di spam diffondono Maze, che però infetta il computer aprendo un file allegato.

NonPetya

Secondo i primi rapporti, NotPetya è una variante ransomware di Petya, un ceppo inizialmente scoperto nel 2016. Ora, NotPetya è un tipo di malware chiamato wiper, che distrugge i dati invece di chiedere un riscatto.

Spaventapasseri

Lo scareware è un software fasullo che richiede un pagamento per risolvere i problemi che sostiene di aver trovato sul computer, come virus o altri problemi. Mentre alcuni scareware bloccano il computer, altri saturano lo schermo con notifiche pop-up senza causare alcun danno ai file.

Doxware

A causa di doxware o leakware, le persone si allarmano e pagano un riscatto per evitare che le loro informazioni riservate vengano divulgate online. Una variante è il ransomware a tema poliziesco. Per evitare il carcere è necessario pagare una multa e l'azienda si spaccia per le forze dell'ordine.

Petya

Il ransomware Petya cripta interi computer, a differenza di molte altre varianti. Petya sovrascrive il master boot record, impedendo l'avvio del sistema operativo.

Ryuk

Ryuk infetta i computer scaricando malware o inviando e-mail di phishing. Utilizza un dropper per installare un trojan e stabilire una connessione di rete permanente sul computer della vittima. Le minacce costanti evolutive vengono create con strumenti quali keylogger, escalation dei privilegi e movimento laterale, che iniziano tutti con Ryuk. L'aggressore installa Ryuk su ogni altro sistema a cui ha accesso.

Qual è l'impatto del ransomware sulle aziende?

Il ransomware è una delle minacce informatiche in più rapida crescita. 

Ecco alcuni dei modi in cui il ransomware può colpire la vostra azienda:

  • Il ransomware può compromettere i vostri dati, che possono essere costosi da recuperare o sostituire.
  • I sistemi potrebbero essere danneggiati in modo irreparabile, poiché alcuni attacchi ransomware sovrascrivono i file con caratteri casuali fino a renderli inutilizzabili.
  • Potreste subire tempi di inattività e perdita di produttività, con conseguente perdita di fatturato o di fedeltà dei clienti.
  • L'hacker potrebbe rubare i dati della vostra azienda e venderli sul mercato nero o usarli contro altre aziende in attacchi futuri.

Come proteggere la vostra azienda dagli attacchi ransomware?

"Installate un software di sicurezza e tenetelo aggiornato con le patch di sicurezza. Molti attacchi ransomware utilizzano versioni precedenti per le quali sono disponibili contromisure del software di sicurezza". ~Steven Weisman, professore della Bentley University. 

Per proteggere la vostra azienda dal ransomware, potete adottare le seguenti misure:

Segmentazione della rete

La segmentazione della rete è il processo di isolamento di una rete da un'altra. Isolando le reti, è possibile proteggere l'azienda e i suoi dati. 

Dovreste creare segmenti separati per il Wi-Fi pubblico, i dispositivi dei dipendenti e il traffico di rete interno. In questo modo, se un attacco si verifica in un segmento, non avrà ripercussioni sugli altri.

Backup di AirGap

I backup AirGap sono un tipo di backup completamente offline, a cui non si può accedere senza rimuovere fisicamente il dispositivo di archiviazione dal computer a cui è collegato. L'idea è che se non c'è modo di accedere ai file su quel dispositivo, non c'è nemmeno modo per un aggressore di accedervi. Un buon esempio è l'utilizzo di un disco rigido esterno che sia stato completamente scollegato da qualsiasi connessione a Internet o da altri dispositivi che vi abbiano accesso.

Autenticazione, reportistica e conformità dei messaggi basati sul dominio

Il più delle volte, il ransomware viene distribuito tramite e-mail. Le e-mail fraudolente contengono link di phishing che possono avviare l'installazione di ransomware sul computer. Per evitare che ciò accada, DMARC agisce come prima linea di difesa contro il ransomware.

Il DMARC impedisce alle e-mail di phishing di raggiungere i vostri clienti. Questo aiuta a bloccare alla radice il ransomware distribuito tramite e-mail. Per saperne di più, leggete la nostra guida dettagliata su DMARC e ransomware.

Least Privilege (Zero Trust per i permessi degli utenti)

Il concetto di "minimo privilegio" si riferisce alla concessione agli utenti solo dei permessi minimi necessari per il loro ruolo all'interno dell'organizzazione. Quando assumete una nuova persona o le riassegnate un ruolo all'interno dell'azienda, le concedete solo i permessi necessari per il suo ruolo specifico, niente di più o di meno di quanto richiesto per svolgere il suo lavoro in modo efficiente ed efficace.

Proteggere la rete

I firewall sono la prima linea di difesa delle reti. Monitorano il traffico in entrata e in uscita sulla rete e bloccano le connessioni indesiderate. Il firewall può anche monitorare il traffico di alcune applicazioni, come la posta elettronica, per garantirne la sicurezza.

Formazione del personale e test di phishing

La formazione dei dipendenti sugli attacchi di phishing è essenziale. Questo li aiuterà a identificare le e-mail di phishing prima che diventino un problema aziendale importante. Un test di phishing può anche aiutare a identificare i dipendenti che potrebbero essere più suscettibili agli attacchi di phishing perché non sanno come identificarli correttamente.

Manutenzione e aggiornamenti

Una manutenzione regolare dei vostri computer vi aiuterà a evitare che il malware li infetti in primo luogo. È inoltre necessario aggiornare regolarmente tutti i software per garantire che i bug vengano risolti il prima possibile e che vengano rilasciate nuove versioni del software con nuove funzioni di sicurezza integrate.

Leggi correlate: Come recuperare da un attacco ransomware?

Conclusione

Il ransomware non è un errore. È un metodo di attacco deliberato, con implementazioni dannose che vanno da quelle leggermente fastidiose a quelle decisamente distruttive. Il ransomware non accenna a rallentare e il suo impatto è significativo e in crescita. Tutte le aziende e le organizzazioni devono essere preparate.

Per garantire la sicurezza di voi stessi e della vostra azienda, dovete essere sempre al passo con i tempi. Utilizzate gli strumenti e le guide fornite da PowerDMARC se volete essere al sicuro da queste vulnerabilità.

Negli ultimi anni sono aumentati gli attacchi di ransomware, che infettano i computer e costringono gli utenti a pagare multe per riavere i propri dati. Poiché le nuove tattiche del ransomware, come la doppia estorsione, si dimostrano vincenti, i criminali chiedono il pagamento di riscatti più elevati. Le richieste di riscatto sono state in media 5,3 milioni di dollari nella prima metà del 2021, un aumento del 518% rispetto allo stesso periodo del 2020. Dal 2020, il prezzo medio del riscatto è salito dell'82%. 82%, raggiungendo 570.000 dollari nella prima metà del 2021 da solo.

RaaS, o Ransomware-as-a-Service, rende questo attacco ancora più pericoloso consentendo a chiunque di lanciare attacchi ransomware su qualsiasi computer o dispositivo mobile con pochi clic. Finché dispongono di una connessione a Internet, possono prendere il controllo di un altro computer, persino quello utilizzato dal vostro capo o datore di lavoro! Ma cosa significa esattamente RaaS? 

Che cos'è il Ransomware-as-a-Service (RaaS)?

Il ransomware-as-a-service (RaaS) è diventato un modello di business popolare nell'ecosistema della criminalità informatica. Il ransomware-as-a-service consente ai criminali informatici di distribuire facilmente attacchi ransomware senza alcuna conoscenza di codifica o hacking.

Una piattaforma RaaS offre una serie di funzionalità che rendono facile per i criminali lanciare un attacco con poca o nessuna esperienza. Il fornitore RaaS fornisce il codice malware, che il cliente (attaccante) può personalizzare per adattarlo alle proprie esigenze. Dopo la personalizzazione, l'aggressore può distribuirlo istantaneamente tramite il server di comando e controllo (C&C) della piattaforma. Spesso non è necessario un server C&C; un criminale può memorizzare i file di attacco su un servizio cloud come Dropbox o Google Drive.

Il fornitore RaaS fornisce anche servizi di supporto che comprendono l'assistenza tecnica per l'elaborazione dei pagamenti e il supporto per la decodifica dopo un attacco.

Ransomware-as-a-Service spiegato in parole povere

Se avete sentito parlare di Sofware-as-a-Service e ne conoscete il funzionamento, capire RaaS dovrebbe essere un gioco da ragazzi, dato che opera su un livello simile. Anche PowerDMARC è una piattaforma SaaS, in quanto assume il ruolo di risolutore di problemi per le aziende globali, aiutandole ad autenticare i loro domini senza dover ricorrere a sforzi manuali o al lavoro umano. 

 

Questo è esattamente ciò che è il RaaS. Attori malintenzionati tecnicamente dotati su Internet formano un conglomerato che opera sotto forma di attività illegale (di solito vendono i loro servizi sul dark web), vendendo codici maligni e allegati che possono aiutare chiunque su Internet a infettare qualsiasi sistema con un ransomware. Vendono questi codici agli aggressori che non vogliono svolgere da soli la parte più difficile e tecnica del lavoro e cercano invece terze parti che li assistano. Una volta effettuato l'acquisto, l'aggressore può infettare qualsiasi sistema. 

Come funziona il Ransomware-as-a-Service?

Questa forma di modello di guadagno ha recentemente guadagnato molta popolarità tra i criminali informatici. Gli hacker installano il ransomware su una rete o un sistema, criptano i dati, bloccano l'accesso ai file e chiedono il pagamento di un riscatto per le chiavi di decrittazione. Il pagamento avviene in genere in bitcoin o in altre forme di criptovaluta. Molte famiglie di ransomware possono criptare i dati gratuitamente, rendendo il loro sviluppo e la loro diffusione economicamente vantaggiosi. L'aggressore si fa pagare solo se le vittime pagano, altrimenti non ci guadagna nulla. 

I quattro modelli di reddito RaaS:

Sebbene sia possibile creare un ransomware da zero utilizzando una botnet e altri strumenti liberamente disponibili, i criminali informatici hanno un'opzione più semplice. Invece di rischiare di essere scoperti costruendo il loro strumento da zero, i criminali possono sottoscrivere uno dei quattro modelli di base di ricavi RaaS: 

  • Programmi di affiliazione
  • Abbonamenti mensili
  • Vendite all'ingrosso
  • Vendite ibride di abbonamenti e di grandi quantità

Il più comune è un programma di affiliazione modificato, perché gli affiliati hanno meno spese generali rispetto ai criminali informatici professionisti che spesso vendono servizi di malware su forum clandestini. Gli affiliati possono iscriversi per guadagnare promuovendo siti web compromessi con link in e-mail di spam inviate a milioni di vittime nel tempo. In seguito, devono pagare solo quando ricevono un riscatto dalle vittime.

Perché il RaaS è pericoloso?

Il RaaS consente ai criminali informatici di sfruttare le loro limitate capacità tecniche per trarre profitto dagli attacchi. Se un criminale informatico ha difficoltà a trovare una vittima, può venderla a un'azienda (o a più aziende).

Se un criminale informatico trova difficile attaccare obiettivi online, ora ci sono organizzazioni che gli vendono obiettivi vulnerabili da sfruttare. In sostanza, chiunque può lanciare un attacco ransomware da qualsiasi dispositivo senza ricorrere a metodi sofisticati, esternalizzando i propri sforzi attraverso un fornitore di servizi di terze parti, rendendo l'intero processo facile e accessibile.

Come prevenire gli exploit di Ransomware-as-a-Service?

In un attacco ransomware-as-a-service, gli hacker affittano i loro strumenti ad altri criminali, che pagano per accedere al codice che li aiuta a infettare i computer delle vittime con il ransomware. I venditori che utilizzano questi strumenti vengono pagati quando i loro clienti generano entrate dalle vittime infette.

Seguire questi passaggi può aiutarvi a prevenire gli attacchi di ransomware-as-a-service:

1. Conoscere i metodi di attacco

Esistono diversi modi in cui il ransomware può infettare la vostra organizzazione. Sapere come vengono condotti gli attacchi è il modo migliore per proteggersi da essi. Conoscendo le modalità di attacco è possibile concentrarsi sui sistemi di sicurezza e sulle protezioni necessarie, anziché limitarsi a installare un software antivirus e incrociare le dita. 

Le e-mail di phishing sono un percorso comune per molti attacchi informatici. Di conseguenza, i dipendenti devono essere consapevoli di non cliccare sui link incorporati o aprire gli allegati provenienti da mittenti sconosciuti. La revisione periodica delle politiche aziendali relative agli allegati di posta elettronica può aiutare a prevenire le infezioni da truffe di phishing e altri metodi di trasmissione di malware, come macro virus e trojan.

2. Utilizzare una suite di sicurezza di sistema affidabile

Assicuratevi che sul vostro computer sia sempre installato un software di sicurezza aggiornato. Se non avete un software antivirus, prendete in considerazione l'idea di installarne subito uno. Il software antivirus è in grado di rilevare i file dannosi prima che raggiungano i computer di destinazione, impedendo che vengano arrecati danni.

3. Eseguire regolarmente il backup di tutto

Il backup di tutti i dati aiuta a prevenire la perdita di informazioni importanti se il sistema viene infettato da malware o ransomware. Tuttavia, se venite colpiti da attacchi di virus o malware, è probabile che tutti i vostri file non vengano comunque sottoposti a backup regolari, quindi assicuratevi di avere più backup in posizioni diverse, nel caso in cui uno di essi si guasti!

4. Optare per la protezione dal phishing con l'autenticazione via e-mail

Le e-mail di phishing sono vettori di attacco estremamente comuni e potenti negli exploit di ransomware. Il più delle volte, gli hacker utilizzano le e-mail per cercare di convincere le vittime a fare clic su link o allegati dannosi che possono poi infettare i loro computer con il ransomware. 

L'ideale sarebbe seguire sempre le pratiche di sicurezza più aggiornate del mercato e scaricare software solo da fonti affidabili per evitare queste truffe di phishing. Ma ammettiamolo, quando si fa parte di un'organizzazione con diversi dipendenti, è sciocco aspettarsi questo da ciascuno di essi. È inoltre impegnativo e dispendioso in termini di tempo tenere sempre sotto controllo le loro attività. Ecco perché l'implementazione di una politica DMARC è un buon modo per proteggere le e-mail dagli attacchi di phishing.

Vediamo dove si colloca il DMARC nel ciclo di vita delle infezioni di RaaS: 

  • L'attaccante acquista un allegato dannoso contenente ransomware da un operatore RaaS 
  • L'attaccante invia un'e-mail di phishing spacciandosi per l'azienda XYZ con l'allegato acquistato a una vittima ignara. 
  • Il dominio impersonato (XYZ inc.) ha attivato il DMARC, che avvia un processo di autenticazione verificando l'identità del mittente. 
  • Se la verifica fallisce, il server della vittima considera l'e-mail come dannosa e la rifiuta in base alla politica DMARC configurata dal proprietario del dominio.

Per saperne di più DMARC come prima linea di difesa contro il ransomware qui.

  • Filtraggio DNS

Il ransomware utilizza server di comando e controllo (C2) per comunicare con la piattaforma degli operatori RaaS. Una query DNS viene spesso comunicata da un sistema infetto al server C2. Le organizzazioni possono utilizzare una soluzione di sicurezza di filtraggio DNS per rilevare quando il ransomware tenta di comunicare con il server C2 di RaaS e bloccare la trasmissione. Questo può fungere da meccanismo di prevenzione delle infezioni. 

Conclusione

Sebbene il Ransomware-as-a-Service (RaaS) sia un'invenzione e una delle minacce più recenti per gli utenti digitali, è fondamentale adottare alcune misure preventive per combattere questa minaccia. Per proteggersi da questo attacco, è possibile utilizzare potenti strumenti antimalware e protocolli di sicurezza per le e-mail come una combinazione di DMARCSPF e DKIM per proteggere in modo adeguato ogni uscita.

Uno dei maggiori focus per la sicurezza delle e-mail nell'ultimo anno è stato intorno a DMARC e il ransomware è emerso come uno dei crimini informatici più dannosi dal punto di vista finanziario di quest'anno. Ma cos'è DMARC? Domain-Based Message Authentication, Reporting and Conformance è un protocollo di autenticazione e-mail utilizzato dai proprietari di domini di organizzazioni grandi e piccole, per proteggere il loro dominio da Business Email Compromise (BEC), spoofing di dominio diretto, attacchi di phishing e altre forme di frode e-mail.

DMARC ti aiuta a godere di molteplici benefici nel tempo, come un notevole aumento della deliverability delle tue email e della reputazione del dominio. Tuttavia un fatto meno noto è che DMARC serve anche come prima linea di difesa contro il Ransomware. Enunciamo come DMARC può proteggere dal Ransomware e come il ransomware può influenzarvi.

Cos'è il Ransomware?

Il ransomware è un tipo di software maligno(malware) che viene installato su un computer, di solito attraverso l'uso di malware. L'obiettivo del codice maligno è quello di criptare i file sul computer, dopo di che tipicamente richiede un pagamento per decifrarli.

Una volta che l'installazione del malware è in atto, il criminale richiede il pagamento di un riscatto da parte della vittima per ripristinare l'accesso ai dati. Permette ai criminali informatici di criptare i dati sensibili sui sistemi informatici, proteggendoli efficacemente dall'accesso. I criminali informatici chiedono poi alla vittima di pagare un riscatto per rimuovere la crittografia e ripristinare l'accesso. Le vittime si trovano tipicamente di fronte a un messaggio che dice loro che i loro documenti, foto e file musicali sono stati criptati e di pagare un riscatto per "ripristinare" presumibilmente i dati. In genere, chiedono agli utenti di pagare in Bitcoin e li informano su quanto tempo devono pagare per evitare di perdere tutto.

Come funziona il ransomware?

Il ransomware ha dimostrato che le scarse misure di sicurezza mettono le aziende a grande rischio. Uno dei meccanismi di consegna più efficaci per il ransomware è l'email phishing. Il ransomware è spesso distribuito attraverso il phishing. Un modo comune in cui questo avviene è quando un individuo riceve un'email malevola che lo convince ad aprire un allegato contenente un file di cui dovrebbe fidarsi, come una fattura, che invece contiene malware e inizia il processo di infezione.

L'e-mail sosterrà di essere qualcosa di ufficiale da una società ben nota e contiene un allegato che finge di essere un software legittimo, motivo per cui è molto probabile che clienti ignari, partner o dipendenti che sono a conoscenza dei vostri servizi ne cadano preda.

I ricercatori di sicurezza hanno concluso che per un'organizzazione diventare un bersaglio di attacchi di phishing con link malevoli per scaricare malware, la scelta è "opportunistica". Un sacco di ransomware non ha alcuna guida esterna su chi prendere di mira, e spesso l'unica cosa che lo guida è la pura opportunità. Questo significa che qualsiasi organizzazione, che si tratti di una piccola impresa o di una grande azienda, può essere il prossimo obiettivo se hanno delle falle nella loro sicurezza e-mail.

2021 un recente rapporto sulle tendenze della sicurezza ha fatto le seguenti scoperte angoscianti:

  • Dal 2018, c'è stato un aumento del 350% degli attacchi ransomware, rendendolo uno dei vettori di attacco più popolari negli ultimi tempi.
  • Gli esperti di sicurezza informatica ritengono che ci saranno più attacchi ransomware che mai nel 2021.
  • Più del 60% di tutti gli attacchi ransomware nel 2020 hanno coinvolto azioni sociali, come il phishing.
  • Le nuove varianti di ransomware sono aumentate del 46% negli ultimi 2 anni
  • Sono stati rilevati 68.000 nuovi Trojan ransomware per cellulari
  • I ricercatori della sicurezza hanno stimato che ogni 14 secondi un'azienda è vittima di un attacco ransomware

DMARC protegge dal ransomware? DMARC e Ransomware

DMARC è la prima linea di difesa contro gli attacchi ransomware. Poiché il ransomware viene solitamente consegnato alle vittime sotto forma di email di phishing malevole da domini aziendali falsificati o spoofati, DMARC aiuta a proteggere il vostro marchio dall'essere impersonato, il che significa che tali email false saranno contrassegnate come spam o non saranno consegnate quando il protocollo è configurato correttamente. DMARC e Ransomware: come aiuta DMARC?

  • DMARC autentica le vostre email contro gli standard di autenticazione SPF e DKIM che aiutano a filtrare gli indirizzi IP malevoli, la falsificazione e l'impersonificazione del dominio.
  • Quando un'e-mail di phishing curata da un attaccante con un link dannoso per installare un ransomware derivante dal vostro nome di dominio raggiunge un server del cliente/dipendente, se avete
  • DMARC implementato l'e-mail è autenticata contro SPF e DKIM.
  • Il server ricevente cerca di verificare la fonte di invio e la firma DKIM
  • L'email malevola fallirà i controlli di verifica e alla fine fallirà l'autenticazione DMARC a causa del disallineamento del dominio
  • Ora, se avete implementato DMARC in una modalità di politica forzata (p=reject/quarantine) l'email dopo aver fallito DMARC sarà contrassegnata come spam, o rifiutata, annullando le possibilità che i vostri destinatari cadano preda dell'attacco ransomware
  • Infine, evita ulteriori errori SPF come troppe ricerche DNS, errori sintattici ed errori di implementazione, per evitare che il tuo protocollo di autenticazione e-mail venga invalidato
  • Questo alla fine salvaguarda la reputazione del vostro marchio, le informazioni sensibili e i beni monetari

Il primo passo per ottenere protezione contro gli attacchi ransomware è quello di iscriversi a DMARC analyzer oggi stesso! Ti aiutiamo a implementare DMARC e a passare all'applicazione di DMARC facilmente e nel minor tempo possibile. Inizia oggi il tuo viaggio verso l'autenticazione delle email con DMARC.