I 5 settori maggiormente presi di mira dagli attacchi ransomware

Le nuove minaccePer gli utentiProtezione dei dati

L’anno scorso gli attacchi ransomware hanno spostato la loro attenzione sui settori più propensi a pagare, come la sanità, il governo, le infrastrutture strategiche, l’istruzione e le piccole imprese.

Secondo uno studio pubblicato dalla società di difesa dal phishing PhishLabs la scorsa settimana, il volume di phishing nei cinque settori più presi di mira è cresciuto in media di oltre il 33%.

Il phishing è, in assoluto, il modo più diffuso per il ransomware di attaccarsi ai file delle organizzazioni e di crittografarli, tenendoli sotto riscatto fino a che

a) le vittime pagano per avere una chiave di decodifica,

b) le vittime pagano per avere una chiave di decrittazione che non arriva mai, perché i truffatori hanno preso i soldi e sono scappati,

c) le vittime snobbano le richieste dei truffatori e i loro dati finiscono distrutti.

PhishLabs ha constatato che il ransomware ha avuto un alto tasso di infezione, ma un basso tasso di successo, dato che una “piccola frazione” delle vittime ha pagato il riscatto. Esso tuttavia sta crescendo in popolarità, dato che è semplice, è redditizio, ed è fattibile.

Si legge nel report:

“Il ransomware consente agli aggressori di utilizzare efficacemente una sola configurazione per tutti gli utenti presi di mira. Esso consente anche di monetizzazione all’istante – non ci sono credenziali da vendere, nessuna transazione fraudolenta per iniziare, e non è richiesta ulteriore ingegneria sociale.”

Inoltre, l’avvento della criptovaluta nell’economia generale ha fatto sì che i truffatori non debbano correre ulteriori rischi affidandosi a pagamenti con carta di credito o carte prepagate: modalità, queste ultime, della vecchia scuola che non garantiscono ai criminali lo stesso anonimato dei Bitcoin, loro meccanismo di pagamento ora preferito.”

Simon Reed, Guru dei SophosLabs, concorda sul fatto che si tratta di un ottimo business per i cattivi ragazzi.  Egli afferma che:

“Il ransomware è stato l’attacco più dominante e di maggior successo tra i malware commerciali degli ultimi tempi. I cyber-criminali sono riusciti a sviluppare una vera e propria attività commerciale redditizia e sostenibile contro chi non è protetto o si trova impreparato.”

Un altro punto chiave per la fattibilità e la redditività del ransomware è stato il passaggio dal prendere di mira individui allo scagliarsi contro le aziende che hanno ben poca scelta se non quella di pagare.”

Gli ospedali sono un esempio lampante. Un anno fa l’Hollywood Presbyterian è stato tenuto in ostaggio e ha sborsato $ 17.000 per riavere le sue cartelle mediche elettroniche scomparse, l’accesso ai raggi X e alle informazioni sulle TAC e la possibilità per i dipendenti di riaccendere i loro computer, dopo una settimana in cui avevano dovuto lavorare basandosi solamente su fax e documenti cartacei.

Diversi studi hanno dimostrato che l’assistenza sanitaria è il settore più attaccato di qualsiasi altro, ed è facile capire perché: in poche parole, perché è lì che stanno i soldi.

Il profitto può venire attraverso i pagamenti ransomware o vendendo le estremamente redditizie cartelle cliniche.

In base al resoconto della società di  monitoraggio LogDog, gli ambiti numeri di previdenza sociale si vendevano sul Dark Web per la misera somma di $ 1 il febbraio scorso – lo stesso prezzo di un account Facebook. Praticamente nulla in confronto al prezzo richiesto per i dati medici, che sono stati venduti a $ 50 se non di più.

L’ IT del settore sanitario è proprio come quello di ogni altro tipo, tranne che per il fatto che è più critico. Quello delle forze dell’ordine è un settore che può dire di no al pagamento di un riscatto … e perdere le prove digitali di anni in un attacco ransomware, come è accaduto all’inizio di questo mese a un dipartimento di polizia del Texas.

E’ stato un disastro, ma non è stata messa a repentaglio la vita di nessuno. Al contrario, la vita è sempre in gioco quando si tratta di accesso all’assistenza sanitaria e questo rende la possibilità di pagamento ransomware molto più probabile.

Per quanto riguarda i truffatori che si focalizzano sulle aziende, invece che sugli individui, PhishLabs dice che gli schemi di targeting dei ladri stanno maturando. Si è verificato uno spostamento verso campagne spear-phishing mirate che si sono concentrate su piccole imprese, scuole, enti pubblici, infrastrutture strategiche, e strutture mediche.

Essi sono gli obiettivi principali per alcuni motivi citati nel report:

  • Hanno dati importanti. La disponibilità dei dati è fondamentale per le operazioni quotidiane di queste organizzazioni che, in molti casi, sono disposte a pagare un riscatto per ripristinare l’accesso rapidamente.
  • Spesso hanno piccoli budget per il personale IT e non possono essere adeguatamente preparati per proteggere le loro risorse IT o reagire ad un incidente.
  • Tali organizzazioni sono spesso soggette a regole che possono complicare la loro capacità di creare e memorizzare i backup. In questi casi, il pagamento di un riscatto può essere l’unico mezzo per recuperare i dati crittografati.

I trend futuri in fatto di ransomware

E già abbastanza spiacevole ora, ma ci sono già nuove tendenze che cominciano a svilupparsi. Ad esempio, PhishLabs osserva che una grande percentuale di ransomware colpisce gli utenti di Windows, ma sta iniziando a vedere anche alcuni autori di malware che cominciano a creare campioni che prendono di mira altre piattaforme, e si aspetta di vedere più malware attaccare OS X, Linux, sistemi operativi server e piattaforme mobili.

Altre tendenze in via di sviluppo includono l’aumento di attacchi sull’Internet of Things (IoT). Non sorprende, dato lo stato della sicurezza di questi proliferanti gadget connessi, troppi dei quali sono vulnerabili a causa di una progettazione senza il rispetto del principio di sicurezza delle informazioni del minimo privilegio.

PhishLabs dice che gli aggressori molto probabilmente sono alla ricerca di funzionalità estese. Mentre i messaggi di riscatto da tempo minacciano la pubblica divulgazione, recenti campioni di ransomware hanno di fatto incluso funzionalità di esfiltrazione per consentire a tali minacce di essere attuate.

Le aziende hanno anche visto campioni di ransomware reclutare computer in botnet, rubare bitcoin wallet, distruggere dati volutamente, e raccogliere indirizzi e-mail e credenziali di accesso.

Simon Reed aggiunge:

“Oggi i cyber-criminali ottimizzano il loro modello di business e si concentrano sull’incremento del ritorno sugli investimenti essendo più selettivi, andando più a fondo per realizzare un attacco di successo e ampliando la gamma degli IT assets presi di mira.”

Cosa fare?

Per quanto ci riguarda offriamo regolarmente consigli sulla prevenzione (e il recupero da) attacchi da parte di ransomware e altre minacce.

Ecco alcuni link che pensiamo troverete utili:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s