Una volta che un ransomware si è impadronito delle tue preziose informazioni, c'è ben poco che puoi fare per riaverlo se non acconsentire alle richieste dell'attaccante. ransomware, un tipo di malware che tiene in ostaggio un computer, è diventato particolarmente diffuso negli ultimi anni e la crittografia praticamente indistruttibile lo ha reso una forza ancora più potente.

Il ransomware viene in genere distribuito da potenti botnet utilizzate per inviare milioni di e-mail dannose a vittime prese di mira casualmente. Questi mirano a estorcere somme di denaro relativamente piccole (normalmente £ 300- £ 500, ma più in tempi recenti) dal maggior numero possibile di vittime. Ma secondo gli agenti di polizia che abbiamo intervistato dalle unità di criminalità informatica del Regno Unito, gli attacchi ransomware stanno diventando sempre più mirati a vittime di alto valore. Di solito si tratta di aziende che possono permettersi di pagare somme di denaro molto elevate, fino a £1, 000, 000 per riavere i loro dati.

Nel 2017 e nel 2018 si è verificato un aumento di tali attacchi ransomware mirati alle aziende del Regno Unito. Gli aggressori utilizzano sempre più software per cercare computer e server vulnerabili e quindi utilizzano varie tecniche per penetrarli. Più comunemente, gli autori utilizzano attacchi di forza bruta (usando il software per provare ripetutamente password diverse per trovare quella giusta), spesso su sistemi che consentono di utilizzare i computer in remoto.

Se gli aggressori ottengono l'accesso, cercheranno di infettare altre macchine sulla rete e raccogliere informazioni essenziali sulle operazioni aziendali dell'azienda, Infrastruttura IT e ulteriori potenziali vulnerabilità. Queste vulnerabilità possono includere quando le reti non sono efficacemente segregate in parti diverse, o non sono progettati in modo da renderli facili da monitorare (visibilità della rete), o avere password di amministrazione deboli.

Quindi caricano il ransomware, che crittografa dati preziosi e invia una richiesta di riscatto. Utilizzando informazioni come le dimensioni dell'azienda, fatturato e utili, gli aggressori valuteranno quindi l'importo che l'azienda può permettersi e adatteranno di conseguenza la loro richiesta di riscatto. Il pagamento è tipicamente richiesto in criptovaluta e solitamente tra 35 e 100 bitcoin (valore al momento della pubblicazione £ 100, 000–£288, 000).

Secondo gli agenti di polizia con cui abbiamo parlato, un altro metodo di attacco popolare è lo "spear phishing" o la "caccia grossa". Ciò comporta la ricerca di persone specifiche che gestiscono le finanze in un'azienda e l'invio di un'e-mail che finge di provenire da un altro dipendente. L'e-mail creerà una storia che incoraggerà il destinatario ad aprire un allegato, normalmente un documento Word o Excel contenente codice dannoso.

Questi tipi di attacchi mirati sono tipicamente effettuati da gruppi professionali motivati ​​esclusivamente dal profitto, sebbene alcuni attacchi cerchino di interrompere attività o infrastrutture. Questi gruppi criminali sono altamente organizzati e le loro attività si evolvono costantemente. sono metodici, meticoloso e creativo nell'estorsione di denaro.

Per esempio, gli attacchi ransomware tradizionali richiedono un importo fisso come parte di un messaggio iniziale intimidatorio, a volte accompagnato da un conto alla rovescia. Ma negli attacchi più mirati, i perpetratori in genere rilasciano un file "prova di vita" sul computer della vittima per dimostrare che controllano i dati. Invieranno inoltre i dati di contatto e di pagamento per il rilascio dei dati, ma anche aprire un duro processo di negoziazione, che a volte è automatizzato, per estrarre più denaro possibile.

Secondo la polizia, i criminali di solito preferiscono prendere di mira le aziende completamente digitalizzate che fanno molto affidamento su IT e dati. Tendono a favorire le piccole e medie imprese ed evitano le grandi aziende che hanno una sicurezza più avanzata. Le grandi aziende hanno anche maggiori probabilità di attirare l'attenzione dei media, che potrebbe portare a un aumento dell'interesse della polizia e a significative interruzioni delle operazioni criminali.

Come proteggersi

Quindi cosa si può fare per combattere questi attacchi? Il nostro lavoro fa parte del progetto di ricerca multiuniversitario EMPHASIS, che studia l'economia, impatto sociale e psicologico del ransomware. I dati (non ancora pubblicati) raccolti da EMPHASIS indicano che la debole sicurezza informatica nelle organizzazioni colpite è la ragione principale per cui i criminali informatici hanno avuto così tanto successo nell'estorsione di denaro.

Un modo per migliorare questa situazione sarebbe proteggere meglio l'accesso al computer remoto. Questo potrebbe essere fatto disabilitando il sistema quando non è in uso, e utilizzando password più complesse e autenticazione in due passaggi (quando un secondo, è necessario un codice appositamente generato per accedere insieme a una password). O in alternativa passare a una rete privata virtuale, che collega le macchine via internet come se fossero in una rete privata.

Quando abbiamo intervistato il ricercatore sulla criminalità informatica Bob McArdle della società di sicurezza IT Trend Micro, ha informato che i filtri e-mail e il software antivirus contenente una protezione ransomware dedicata sono fondamentali. Le aziende dovrebbero anche eseguire regolarmente il backup dei propri dati, quindi non importa se qualcuno si impossessa dell'originale. I backup devono essere testati e archiviati in posizioni inaccessibili al ransomware.

Questo tipo di controlli è fondamentale perché gli attacchi ransomware tendono a lasciare pochissime prove e quindi sono intrinsecamente difficili da indagare. Come tale, gli attacchi ransomware mirati non si fermeranno presto, e gli aggressori possono solo diventare più sofisticati nei loro metodi. Gli aggressori sono altamente adattivi, quindi le aziende dovranno rispondere in modo altrettanto intelligente.

Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale. Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Read the original articl