Il ransomware è un malware progettato per penetrare, in alcuni casi estrarre e criptare i dati della vittima. Con questa crittografia i file diventano inaccessibili, e viene richiesto un riscatto affinché la vittima possa accedere nuovamente ai propri file.
Gli hacker prendono sempre di mira le aziende con grandi quantità di dati sui loro server, più dati vengono criptati, più alto è il riscatto. Pertanto, i principali obiettivi degli attacchi sono: Server, macchine virtuali, archivi NAS, DAS, SAN, sistemi RAID, database e altri. In breve, ogni dispositivo che memorizza dati è un obiettivo per i criminali.
Anche se i gruppi di ransomware sono estremamente sofisticati nei loro attacchi, ci sono delle barriere da superare, che non sono affatto facili, e la principale è l’irruzione nel sistema della vittima. Le aziende hanno investito molto in firewall, antivirus, anti-ransom, e soprattutto nella formazione dei loro dipendenti.
Per questo motivo, i criminali hanno creato strategie per aggirare queste difese.
Forme di attacco Ransomware
Anche se c’è tutto questo investimento nella sicurezza, nessuno di loro garantisce la sicurezza dei dati al 100%, e gli hacker approfittano di queste lacune per i loro attacchi. Vediamo quali sono le principali tattiche che usano per invadere la rete della vittima.
Via RDP (Remote Desktop Protocol)
RDP è una porta di Windows per l’accesso remoto, i gruppi di hacker usano un attacco di forza bruta È necessario sviluppare protocolli per l’accesso remoto e limitare gli utenti che possono accedervi, oltre ad avere password forti. Questa tattica è usata per attaccare obiettivi specifici.
Campagne e-mail di spam
Le campagne email di spam consistono in un invio di massa di email che contengono link dannosi o documenti allegati, questi documenti sono i più comuni, come .word, .excel, .pdf, .jpg e altri.
Le email sono progettate per essere identiche alle email di grandi aziende come banche, uffici postali, negozi e simili.
Questa campagna si basa sulla disattenzione dell’utente, la massima è, non scaricare mai file da e-mail da mittenti sconosciuti. La consapevolezza dei dipendenti è vitale per le grandi aziende.
Programmi non ufficiali/cracked
Si può trovare quasi qualsiasi programma gratuitamente su internet, possono anche non far pagare per essere scaricati, ma possono comprare un valore molto più alto in seguito.
I gruppi di ransomware nascondono il loro malware in questi programmi, e possono manifestarsi molto tempo dopo che il programma è stato scaricato, quindi la connessione al programma scaricato non è evidente.
Questi programmi quando vengono scaricati chiedono all’utente di disabilitare la sicurezza di Windows, questo è come aprire le porte di una casa per far entrare il dirottatore.
Non scaricate mai questi programmi, optate sempre per quelli ufficiali.
Phishing
Il phishing è la tattica più semplice, ma anche una delle più pericolose. Non si basa su un difetto del sistema, ma piuttosto sulla disattenzione dell’utente che può rilasciare un nome utente e una password, in modo che il gruppo possa penetrare nel sistema senza la resistenza dei firewall.
Il phishing va oltre la posta elettronica, e può anche essere usato su siti non sicuri come i pop-up che una volta cliccati portano gli utenti a pagine con messaggi di emergenza che richiedono informazioni personali.
La consapevolezza dei dipendenti è la migliore contromisura per questo tipo di tattica.
La cura dei dipendenti
Questa tattica è una delle più dannose che gli hacker utilizzano, ha la capacità di mettere in ginocchio tutti gli investimenti che l’azienda ha fatto in firewall, antivirus, formazione, ecc.
Sono già stati identificati gruppi che hanno contattato i dipendenti attraverso LinkedIn, offrendo valori elevati per le loro credenziali.
Conclusione
Queste sono le tattiche più comunemente utilizzate dagli hacker, ma non sono le uniche. Ci sono diversi gruppi che cercano nuove strade per fare attacchi.
Il ransomware è un ramo del malware che ha elevato i suoi attacchi in modo sorprendente, non si può mai essere troppo attenti alla sicurezza.
La cura più importante è la routine di backup, non è destinata a prevenire gli attacchi ransomware, ma è una salvaguardia nel caso in cui un attacco avvenga.
Ma anche se il backup è criptato dal ransomware, c’è ancora una via d’uscita, la decrittazione dei file ransomware da RansomHunter.