Il virus che chiede il riscatto colpisce anche le aziende

Pubblicato il 05 Apr 2017

Cryptolocker-Virus

Il ransomware, il malware che infetta i PC, ne cripta i dati e li rende inservibili per poi ricattare il proprietario chiedendo un riscatto, è una piaga sempre più diffusa anche nel mondo aziendale. E si tratta di un’attività organizzata a opera di gruppi criminali. I ricercatori di Kaspersky Lab hanno identificato almeno otto gruppi di criminali informatici coinvolti nello sviluppo e nella distribuzione di malware criptatori, che hanno colpito principalmente le organizzazioni finanziarie di tutto il mondo. Gli esperti di Kaspersky Lab hanno scoperto alcuni casi in cui la richiesta di pagamento ha raggiunto oltre mezzo milione di dollari.

Gli otto gruppi identificati comprendono PetrWrap, gruppo che ha attaccato organizzazioni finanziarie in tutto il mondo, Mamba e altri sei gruppi senza nome che prendono di mira utenti aziendali. È importante notare che questi sei gruppi erano stati precedentemente coinvolti in attacchi che hanno preso di mira principalmente gli utenti privati, mentre adesso si sono focalizzati sulle reti aziendali. Secondo i ricercatori di Kaspersky Lab, la ragione di questo trend è chiara: i criminali considerano gli attacchi ransomware mirati contro le aziende potenzialmente più profittevoli degli attacchi di massa contro gli utenti privati. Un attacco ransomware andato a buon fine può facilmente bloccare le attività di un’azienda per ore o persino giorni, inducendone i proprietari a pagare il riscatto.

Strategie di attacco…

In generale, le tattiche, tecniche e procedure usate da questi gruppi sono molto simili. Innanzitutto, infettano col malware l’organizzazione presa di mira attraverso server vulnerabili o email di spear phishing. Dopo essersi infiltrati nella rete della vittima, i criminali identificano le risorse aziendali vulnerabili da criptare, per poi chiedere il riscatto in cambio della decriptazione. Oltre a queste somiglianze, alcuni gruppi presentano caratteristiche uniche.

Ad esempio, il gruppo Mamba usa un malware criptatore di proprietà, basato sul software open source DiskCryptor. Dopo aver ottenuto l’accesso al network, gli hacker vi installano il malware, usando una utility legittima per il controllo remoto di Windows. Questo approccio rende le operazioni meno sospette agli occhi dei responsabili della sicurezza dell’azienda presa di mira. I ricercatori di Kaspersky Lab hanno incontrato casi in cui il riscatto ammontava fino a un bitcoin (circa 1.000 dollari alla fine di marzo 2017) per la decriptazione di un endpoint.

Un altro esempio unico di tool utilizzato negli attacchi ransomware mirati viene da PetrWrap. Questo gruppo colpisce principalmente le aziende più grandi che hanno numerosi nodi di rete. I criminali selezionano accuratamente gli obiettivi di ogni attacco, che può durare per diverso tempo: PetrWrap è riuscito a mantenere una persistenza costante in una rete fino a 6 mesi.

… e di difesa

Per proteggere le aziende da questi attacchi, gli esperti di sicurezza di Kaspersky Lab consigliano di:

  • Effettuare regolarmente e correttamente il backup dei dati, in modo da poter ripristinare i file originali in caso di perdita.
  • Usare una soluzione di sicurezza con tecnologie di rilevamento basate sui comportamenti. Queste tecnologie consentono di scoprire i malware, compresi i ransomware, osservando la loro attività sul sistema attaccato e permettendo di rilevare sample di ransomware nuovi e ancora sconosciuti.
  • Visitare il sito “No More Ransom”, un’iniziativa congiunta con l’obiettivo di aiutare le vittime dei ransomware a recuperare i dati criptati senza dover pagare i criminali.
  • Controllare i software installati – non solo sugli endpoint, ma anche su tutti i nodi e server della rete – e assicurarsi di tenerli aggiornati.
  • Condurre una valutazione di sicurezza della rete di controllo (ad esempio, audit di sicurezza, penetration testing e gap analysis) per identificare e rimuovere ogni vulnerabilità. Rivedere le policy di sicurezza dei vendor esterni e delle terze parti in caso abbiano accesso diretto alla rete di controllo.
  • Richiedere un’intelligence esterna: l’intelligence offerta da vendor affidabili aiuta le organizzazioni a prevedere attacchi futuri all’azienda.
  • Formare gli impiegati, facendo particolare attenzione allo staff operativo ed ingegneristico e alla loro consapevolezza degli ultimi attacchi e minacce.
  • Fornire protezione all’interno e all’esterno del perimetro. Una corretta strategia di sicurezza deve dedicare significative risorse al rilevamento e alla risposta agli attacchi per bloccarli prima che raggiungano oggetti critici.

Valuta la qualità di questo articolo

Franco Canna
Franco Canna

Fondatore e direttore responsabile di Innovation Post. Grande appassionato di tecnologia, laureato in Economia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende.

email Seguimi su

Articoli correlati

Articolo 1 di 4