Una delle principali e più pericolose minacce di questi ultimi anni è sicuramente costituita dal Ransomware ovvero un tipo di attacco rivolto ai sistemi informativi in cui gli aggressori cifrano i dati di un’organizzazione: per sbloccarli, serve una chiave che viene fornita solo dietro pagamento di un cospicuo riscatto (in inglese, ransom).
In alcuni casi, gli aggressori possono anche rubare le informazioni di un’azienda e richiedere un pagamento aggiuntivo in cambio della mancata divulgazione delle informazioni alle autorità, ai concorrenti o al pubblico.
È interessante notare che spesso, dietro questi tool di sviluppo di malware, ci sono vere e proprie multinazionali, se non organizzazioni governative.
I due vettori più diffusi per l’infezione sono l’e-mail (con tecniche di phishing) e gli attacchi “forza bruta” sui servizi Remote Desktop Protocol (RDP) in cui vengono utilizzati algoritmi automatizzati per ricavare le credenziali. Il vantaggio di questo metodo è che i criminali possono accedere alla rete sfruttando credenziali legittime e restando, in tal modo, inosservati.
Le aziende più grandi e strutturate monitorano questo tipo di attività ma la maggior parte di quelle piccole e medie non lo fa.
Le possibilità di ricavare credenziali RDP sono legate all’uso di password deboli, mancanza di un sistema di autenticazione a due fattori o dell’adozione di reti VPN sicure per accedere ai servizi remoti.
Le 10 regole per difendersi dal Ransomware
Quelle seguenti sono alcuni semplici regole che, se seguite, possono efficacemente contrastare il successo di un attacco Ransomware.
- Implementare strategie di backup sicure e ridondanti.
- Gestire le identità e le autorizzazioni di accesso in base al principio del minimo privilegio e della separazione dei compiti.
- Formare e sensibilizzare gli utenti, inclusi quelli di tipo privilegiato.
- Separare gli ambienti di sviluppo da quelli di produzione.
- Mantenersi aggiornati sulle più recenti tendenze del Ransomware
- Monitorare costantemente i sistemi per identificare rapidamente possibili infezioni.
- Utilizzare prodotti o servizi di sicurezza che bloccano l’accesso a siti di Ransomware noti.
- Fare in modo che le identità e le credenziali siano emesse, gestite, verificate, revocate e verificate per dispositivi, utenti e processi autorizzati.
- Testare periodicamente i piani di risposta e di ripristino in caso di Ransomware per essere sicuri che siano aggiornati rispetto all’evoluzione del Ransomware.
- Condividere le informazioni su incidenti o tentativi di attacco con le autorità e il mercato per contribuire a limitarne la diffusione.