Alla luce degli ultimi avvenimenti, quale l’attacco che ha interessato l’oleodotto Colonial Pipeline o la città di Tulsa, emerge in modo rilevante come gli attacchi di ransomware siano una delle principali preoccupazioni a livello globale.
Tuttavia, come sottolineato da Check Point Software Technologies, persiste una reale mancanza di impegno da parte delle organizzazioni nel prepararsi a difendersi da questo tipo di incidenti o persino nel cercare di proteggersi in primo luogo.
Check Point Research (CPR), la division threat intelligence di Check Point Software Technologies, ha registrato a livello globale un aumento del 57% degli attacchi ransomware da inizio anno dovuto anche alle vulnerabilità di Microsoft Exchange. In generale, comunque si stima che nel 2020 i ransomware siano costati alle aziende di tutto il mondo circa 20 miliardi di dollari, quasi il 75% in più rispetto al 2019.
Ma non solo. Da aprile, il team di ricerca di Check Point ha notato che, in media, più di 1.000 organizzazioni vengono colpiti da ransomware ogni settimana. Da ciò ne consegue un significativo aumento del numero di organizzazioni colpite finora: + 21% nel primo trimestre del 2021 e + 7% da aprile fino ad ora. Questa crescita ha portato a un incredibile aumento complessivo del 102% di aziende colpite da ransomware rispetto all’inizio del 2020.
I settori più colpiti
I settori industriali che stanno attualmente sperimentando i volumi più elevati di tentativi di attacco ransomware a livello globale sono: l’healthcare, con una media di 109 tentativi di attacco per organizzazione ogni settimana, il settore delle utility con 59 attacchi, e, infine, il settore assicurativo / legale con 34 tentativi.
Le aree più colpite
È l’APAC la zona più colpita. Un’organizzazione dell’Asia Pacifico attualmente, subisce il maggior volume di attacchi ransomware. In media, le organizzazioni nell’APAC vengono attaccate 51 volte a settimana. Si tratta di un aumento del 14% rispetto all’inizio di quest’anno. Inoltre, le organizzazioni africane hanno visto il più alto aumento di attacchi, il 34%, da aprile.
In media, un’organizzazione nordamericana subisce 29 attacchi a settimana, le aziende europee e latinoamericane 14 e le aziende africane hanno quattro attacchi settimanali ciascuna.
I cinque Paesi al mondo più colpiti
L’India ha registrato il maggior numero di tentativi di attacco per organizzazione, con una media di 213 attacchi settimanali dall’inizio dell’anno. Seguono l’Argentina con 104 per organizzazione, il Cile con 103, la Francia con 61 e Taiwan con 50.
I principali settori attaccati per regione nel 2021
Gli attacchi ransomware si stanno concentrando in tutti i settori a livello globale. Mentre in Nord America le organizzazioni sanitarie hanno subito il maggior numero di attacchi dall’inizio dell’anno, in Europa sono le organizzazioni di servizi pubblici ad essere maggiormente colpite. In APAC, è invece il settore assicurativo / legale il più colpito, mentre in Sudamerica, il settore più colpito è quello delle comunicazioni. In Africa, infine, il settore finanziario e bancario è il più attaccato.
5 regole per prevenire un attacco ransomware
- alzare la guardia durante i fine settimana e durante le vacanze: la maggior parte degli attacchi ransomware nell’ultimo anno si sono verificati durante i fine settimana e le vacanze, quando le persone prestano meno attenzione.
- aggiornare le patch – al momento del famoso attacco WannaCry nel maggio 2017, esisteva una patch per la vulnerabilità EternalBlue utilizzata da WannaCry. Questa patch era disponibile un mese prima dell’attacco ed era etichettata come “critica” a causa del suo alto potenziale di sfruttamento. Tuttavia, molte organizzazioni e individui non hanno applicato la patch in tempo, provocando un’epidemia di ransomware che ha infettato più di 200.000 computer in tre giorni. Mantenere i computer aggiornati e applicare le patch di sicurezza, in particolare quelle etichettate come critiche, può aiutare a limitare la vulnerabilità di un’organizzazione agli attacchi ransomware.
- installare un anti-ransomware: sebbene le precedenti misure di prevenzione del ransomware possano aiutare a mitigare l’esposizione di un’organizzazione alle minacce ransomware, queste non forniscono una protezione perfetta. Alcuni attori di ransomware utilizzano e-mail di spear phishing ben studiate e altamente mirate come vettore di attacco. Queste e-mail possono ingannare anche il dipendente più diligente, con il risultato che il ransomware ottiene l’accesso ai sistemi interni di un’organizzazione. Proteggersi da questo ransomware richiede una soluzione di sicurezza specializzata. Per raggiungere il suo obiettivo, il ransomware deve eseguire determinate azioni anomale, come l’apertura e la crittografia di un gran numero di file. Le soluzioni anti-ransomware monitorano i programmi in esecuzione su un computer per comportamenti sospetti comunemente causati dal ransomware e, se questi comportamenti vengono rilevati, il programma può intervenire per interrompere la crittografia prima che possano essere causati ulteriori danni.
- istruire i dipendenti: è fondamentale formare gli utenti su come identificare ed evitare potenziali attacchi ransomware. Molti degli attuali attacchi informatici iniziano con un’e-mail mirata che non contiene malware, ma un messaggio che incoraggia l’utente a fare clic su un collegamento dannoso. La formazione degli utenti è spesso considerata una delle difese più importanti che un’organizzazione può implementare.
- gli attacchi ransomware non iniziano con il ransomware: Ryuk e altri ransomware acquistano virus nelle organizzazioni che hanno individuato. I professionisti della sicurezza dovrebbero essere a conoscenza dei virus da Trickbot, Emotet, Dridex e CobaltStrik all’interno delle loro reti e rimuoverli utilizzando soluzioni di ricerca delle minacce, poiché aprono la porta a Ryuk o ad altri virus ransomware per infiltrarsi nelle organizzazioni.
I dati utilizzati in questo report sono stati rilevati dalle tecnologie di Check Point Threat Prevention, archiviati e analizzati in Check Point ThreatCloud. Quest’ultimo fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e dispositivi mobili.
