Gli attacchi ransomware rappresentano una delle minacce digitali più temute, tanto dai comuni utenti quanto dalle più grandi aziende al mondo.
A rendere così temibili queste campagne vi è anche il fatto che i cybercriminali dei vari gruppi sono sempre pronti ad ideare nuove e raffinate tecniche per raccogliere nuove vittime.
A tal proposito, l’ultima novità viene dalle tecniche definite come Initial Access, la cui pericolosità è sottolineata persino da un’avvertimento proveniente dall’FBI. Nello specifico, stiamo parlando di due nuove strategie che vengono ritenute dalla nota agenzia americana come potenzialmente devastanti.
Initial Access: l’FBI preoccupata dal nuovo trend nel contesto ransomware
Nel primo caso si parla dello sfruttamento delle vulnerabilità dei fornitori di terze parti. A quanto pare, infatti, negli ultimi tempi vi è stato un aumento di infezioni ransomware ai danni di casinò attraverso fornitori di software di terze parti, nel periodo che va tra il 2022 e il 2023. I cybercriminali hanno prevalentemente agito crittografando i server e le informazioni di identificazione personale di dipendenti e dei clienti.
Secondo l’FBI, i responsabili degli attacchi ransomware cercano di prendere di mira strumenti legittimi, utilizzati regolarmente dai dipendenti, per intromettersi nei sistemi e ottenere permessi elevati nel contesto della rete interna dell’organizzazione. In questo contesto, per esempio, rientra il recente attacco di Silent Ransom, che sfruttava i numeri telefonici per contattare le vittime.
Come difendersi efficacemente?
L’FBI ha stabilito una serie di raccomandazioni per limitare in modo considerevole i rischi legati all’approccio Initial Access dei ransomware. In questo caso, l’agenzia consiglia di:
- Prepararsi ad eventuali problemi, mantenendo backup offline (possibilmente crittografati);
- Gestire al meglio gli accessi, con account protetti da password robuste e con altri sistemi avanzati di protezione (come l’autenticazione a più fattori);
- Adottare una strategia di segmentazione della rete, con strumenti di monitoraggio utilizzati per rilevare e identificare ransomware;
- Utilizzare un antivirus adeguato, aggiornato regolarmente e presente su tutti gli host;
- Adottare il protocollo RDP (Remote Desktop Protocol) e monitorare lo stesso con regolarità;
- Mantenere aggiornati tutti i sistemi operativi e software attraverso i firmware e le patch più recenti.