Ciclo di vita di un attacco ransomware

Ciclo di vita di un attacco ransomware

Oggi i criminali informatici usano tecniche sempre più sofisticate con forme e vettori di attacco più disparati che mai per colpire le organizzazioni. Nonostante lo sviluppo di contromisure più efficaci, i cybercriminali riescono ad adattare le tattiche e gli strumenti per ovviare agli sforzi di difesa delle aziende. 

Gli attacchi ransomware possono sembrare incomprensibili, ma in realtà seguono uno schema ben definito. Una volta che avrai capito come funzionano, potrai preparare una strategia di riduzione dei rischi più esaustiva che annulli o quanto meno limiti le conseguenze.

Vediamo più da vicino com'è strutturato un attacco ransomware e come fanno gli autori a infiltrarsi in un sistema e infettarlo. 

Come proteggersi dai ransomware: la guida definitiva.

Scarica l'eBook

Vettori di infezione e distribuzione

I ransomware sono un tipo di malware utilizzato per criptare file o dati sensibili importanti; per recuperarli viene quindi richiesto il pagamento di un riscatto. L'infezione avviene quando il malware viene scaricato e installato nei dispositivi in rete di un'organizzazione. 

Per entrare nel sistema preso di mira, i ransomware sfruttano varie tecniche. La più comune è rappresentata dalle e-mail di phishing che contengono un link a un sito web compromesso o un allegato con il malware incorporato. Quando un utente clicca sul link o sull'allegato, il malware viene scaricato ed eseguito sul sistema informatico. 

Per saperne quali sono le quattro aree più vulnerabili ai ransomware, leggi questo post del blog. >>

Il protocollo di desktop remoto (RDP) è un altro vettore di attacco diffuso: facile da usare, permette agli autori dell'attacco di ottenere accesso al sistema a livello avanzato. Nel 2020, l'RDP è stato il vettore di attacco iniziale nella metà di tutti gli attacchi ransomware segnalati

L'accesso con RDP compromesso può avvenire nel dark web e per trovare una connessione RDP esposta basta creare uno script che rilevi la porta predefinita. Gli hacker spesso si servono degli stessi strumenti utilizzati dagli esperti di sicurezza e sono in grado di analizzare l'intera rete di Internet per trovare una porta aperta in meno di un minuto. 

Altri vettori di distribuzione invece, come il ransomware WannaCry, tentano di infettare direttamente il sistema. WannaCry colpisce i computer con sistema operativo Microsoft Windows criptando i file presenti sul disco rigido per poi chiedere un riscatto in Bitcoin. WannaCry, rilasciato per la prima volta nel 2017, è ancora attivo e ha colpito oltre 100.000 organizzazioni in tutto il mondo.

Guarda il webinar on demand per scoprire com'è fatto un ransomware e come preparare una strategia difensiva per ogni fase dell'attacco

Crittografia

Una volta che il ransomware viene installato sul sistema colpito, resta in attesa mentre raccoglie dati e infetta quanti più sistemi possibile in maniera invisibile. Quindi sottrae e/o cripta i file system insieme ai dati sensibili e più importanti di un'azienda. I ransomware possono arrivare a distruggere le copie di backup o rubare i dati, ma l'obiettivo principale è in genere criptare quanti più file o sistemi per bloccare le attività di un'organizzazione.

Esistono tantissimi tipi e varianti di ransomware, tra cui crypto-ransomware, locker, ransomware a estorsione e Ransomware-as-a-Service (RaaS).

Il crypto-ransomware crittografa i file, altera i contenuti e li rende illeggibili. Per ripristinare i file in formato leggibile è necessaria una chiave di decrittografia. I criminali informatici presentano quindi una richiesta di riscatto, con la promessa di decriptare i dati o rilasciare la chiave di decrittografia una volta ricevuto il pagamento.

Il ransomware locker non cripta i file ma impedisce alla vittima di accedere al proprio sistema o dispositivo. I criminali informatici presentano quindi una richiesta di riscatto per sbloccarlo. In generale, con un buon backup è possibile ripristinare il sistema o impedire un attacco crypto-ransomware, ma riprendersi da un attacco locker è più difficile e costoso. Anche con il backup dei dati, il dispositivo deve essere sostituito.

L'obiettivo principale di un attacco ransomware è estorcere denaro. Le organizzazioni però possono rifiutarsi di pagare il riscatto, soprattutto quando hanno un buon sistema di backup e ripristino. Per questo motivo, i criminali informatici hanno cominciato a usare una nuova tecnica negli ultimi anni detta "doppia estorsione", in cui i dati vengono sia criptati che sottratti. Se l'azienda rifiuta di pagare, gli hacker minacciano di diffondere le informazioni online o venderle al miglior offerente.

Ma c'è di peggio. Per quanto devastanti siano gli effetti di una doppia estorsione, gli esperti in sicurezza mettono in guardia da una minaccia ancora più grave: il ransomware a tripla estorsione. In questo caso, i criminali informatici chiedono il denaro ai terzi interessati dall'attacco, oltre che alla vittima iniziale. 

Infine, il Ransomware-as-a-Service (RaaS) utilizza il modello del Software-as-a-Service (SaaS). È un servizio su abbonamento con cui i criminali informatici hanno accesso a strumenti ransomware preconfezionati e pronti a colpire. Gli abbonati a questo tipo di servizio vengono definiti affiliati e guadagnano una percentuale a ogni riscatto pagato.

Note e richieste di riscatto

La richiesta di riscatto parte una volta che il ransomware è stato distribuito nella rete presa di mira. Gli hacker avvertono la vittima dell'attacco e presentano la richiesta di riscatto per annullarne gli effetti. La richiesta di riscatto viene visualizzata in un messaggio a schermo o lasciata in una nota nella directory dei file criptati. 

Le richieste di riscatto in genere contengono i dettagli sull'importo, il metodo e la scadenza del pagamento, insieme alla promessa di restituire l'accesso ai file criptati una volta pagato il riscatto. In caso di esfiltrazione dei dati, gli hacker possono anche dichiarare che si impegnano a non divulgare i dati e dare prova di averli distrutti. Solitamente il pagamento è richiesto in criptovaluta (es. Bitcoin o Monero).

Tuttavia, anche pagando il riscatto, non è detto che gli hacker ripristineranno i dati o manterranno le promesse. Potrebbero conservare una copia dei dati rubati e utilizzarla in un secondo momento. Le chiavi di decrittografia potrebbero non funzionare correttamente, lasciando alcuni dati criptati, o potrebbero contenere malware non rilevati che verranno sfruttati in futuro.

La negoziazione: pagare o non pagare?

La decisione di pagare o meno il riscatto può essere difficile e dipende da diversi fattori:

  • Quanto incide la violazione sulle operazioni aziendali?
  • I dipendenti resteranno fermi? Se sì, quanti e per quanto tempo?
  • Quanto è grande il rischio di esposizione dei dati?

Per un'analisi più approfondita dei pro e contro di pagare o meno il riscatto, leggi il post di blog You’ve Been Hit by Ransomware. Now What? (Hai subito un attacco ransomware. E adesso?).

Se il sistema di backup e ripristino non è stato colpito, potresti evitare di pagare il riscatto, sempre a seconda del tipo di attacco ransomware. Ma se pagare il riscatto è davvero l'unica opzione possibile, è opportuno farsi assistere da un team di esperti in risposta agli incidenti nella fase di negoziazione e pagamento.

La fase successiva: restore e ripristino

In media, il downtime dovuto a un attacco ransomware è di 21 giorni. Se paghi il riscatto, potrebbero volerci molti altri giorni per ricevere la chiave di decrittografia e annullare l'attacco. 

Tieni presente che alcune varianti di ransomware sono in grado di identificare e distruggere i backup nella rete compromessa. Se i backup sono stati distrutti o criptati, il processo di ripristino può risultare più complicato. Anche nel caso in cui i backup siano utilizzabili, il ripristino potrebbe comunque richiedere tanto tempo, tutto dipende dal sistema di backup e ripristino utilizzato.

Sia se decidi di pagare il riscatto o se tenti di ripristinare i dati, è opportuno pianificare diversi giorni per completare l'intero processo di ripristino. Devi inoltre tener conto di eventuali perdite finanziarie, per via del riscatto, dei costi per la risposta agli incidenti o dei guadagni persi a causa del downtime.

Guarda come può cambiare il processo di ripristino tra due organizzazioni fittizie con diverse funzionalità di ripristino nell'articolo A Tale of Two Ransomware Attacks: Which Company Are You? (Storia di due attacchi ransomware: che tipo di azienda sei?).

Prepararsi per rispondere agli attacchi

Un attacco ransomware è un rischio che non puoi permetterti di sottovalutare. Se hai fatto tutto il necessario per garantire la sicurezza dei tuoi sistemi, ma ti affidi ancora ad architetture di backup legacy, la tua azienda non sarà protetta dagli attacchi moderni. 

Qual è il modo migliore per rispondere a un attacco? Solo le soluzioni moderne come Pure Storage® FlashBlade® con snapshot SafeMode™ e Rapid Restore®, che offre performance di ripristino dei dati fino a 270 TB/ora, possono portare la tua strategia di sicurezza a un livello superiore.

Pure Storage è tra le aziende leader nel Gartner® Magic Quadrant™ 2021

per i file system e e l'object storage distribuiti

Scarica il report
800-379-7873 +44 2039741869 +43 720882474 +32 (0) 7 84 80 560 +33 1 83 76 42 54 +49 89 12089253 +353 1 485 4307 +39 02 9475 9422 +31 202457440 +46850541356 +45 2856 6610 +47 2195 4481 +351 210 006 108 +966112118066 +27 87551 7857 +34 51 889 8963 +41 43 505 28 17 +90 850 390 21 64 +971 4 5513176 +7 916 716 7308 +65 3158 0960 +603 2298 7123 +66 (0) 2624 0641 +84 43267 3630 +62 21235 84628 +852 3750 7835 +82 2 6001-3330 +886 2 8729 2111 +61 1800 983 289 +64 21 536 736 +55 11 2655-7370 +52 55 9171-1375 +56 2 2368-4581 +57 1 383-2387 +48 22 343 36 49
Il browser che stai usando non è più supportato.

I browser non aggiornati spesso comportano rischi per la sicurezza. Per offrirti la migliore esperienza possibile sul nostro sito, ti invitiamo ad aggiornare il browser alla versione più recente.