Stando ai risultati di un recente studio condotto da Cisco Talos, la più grande organizzazione privata di intelligence al mondo dedicata alla cybersecurity, il 40% delle minacce informatiche rilevate tra luglio e settembre 2022 è riconducibile a ransomware e pre-ransomware.
Abbiamo già visto cos’è un ransomware tanto che questi componenti malevoli non hanno ormai bisogno di presentazioni. Corrispondono a quella particolare categoria di malware che i criminali informatici utilizzano per chiedere un riscatto in denaro bloccando l’accesso ai dati personali altrui o minacciando la rivelazione di informazioni riservate e sensibili online.
I gruppi di criminali che “muovono i fili” di ransomware come LockBit e BlackCat hanno costruito un fiorente business intorno a questi malware mettendo a disposizione degli “affiliati”, a pagamento, tutto il necessario per colpire obiettivi di elevato profitto, massimizzare il danno e i potenziali introiti illeciti.
Secondo Cisco Talos, per la prima volta dal quarto trimestre 2021 il settore delle telecomunicazioni non è stato il più colpito dalla minaccia ransomware. Sono invece stati presi di mira i settori dell’istruzione, molto probabilmente in coincidenza con il Back to School con la riapertura di scuole e università, oltre che quelli dell’energia, dei servizi finanziari e, in generale, gli enti governativi.
Come abbiamo cercato di spiegare in passato, un attacco ransomware che va a buon fine non può mai avvenire da solo. Un attacco informatico che culmina con un’infezione da ransomware nasce infatti molto prima ed è figlio di errori di sicurezza, nella configurazione della rete e nella sua segmentazione, nell’assegnazione dei permessi, nella separazione delle risorse, nella gestione dei sistemi (applicazione delle patch di sicurezza mai effettuata), nel mancato utilizzo degli strumenti di protezione più adatti, nella scarsa informazione e formazione del personale.
Ecco perché anche Cisco Talos parla di minacce pre-ransomware: senza un attacco che faccia da “apripista” all’ingresso del ransomware non si verificherebbe alcuna sottrazione di dati personali e il danneggiamento degli stessi attraverso un’operazione di cifratura che utilizza un algoritmo solido (la crittografia intermittente viene tra l’altro sempre più utilizzata per mantenere il ransomware under-the-radar ovvero per rendere le sue attività meno riconoscibili) e una chiave crittografica sconosciuta alla vittima.
La mancanza dell’autenticazione a due fattori (o a più fattori, MFA) rimane uno dei maggiori ostacoli per la sicurezza di professioni e imprese: quasi il 18% delle vittime non ha abilitato questo strumento di protezione o lo ha fatto solo su pochi account e servizi critici permettendo così al criminale informatico di accedere e autenticarsi (attenzione comunque agli Evil Proxy che con un attacco phishing ben realizzato permettono di superare anche i meccanismi 2FA/MFA).
In ambito aziendale sono essenziali per proteggere server e workstation soluzioni di Endpoint detection and response oltre che meccanismi di sicurezza centralizzati che consentano di analizzare il traffico di rete non limitandosi a una scansione del contenuto dei messaggi di posta elettronica che restano comunque uno dei veicoli primari di infezione.