• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Sara Assicurazioni migra sul multicloud con Megaport
    • Integrity360 acquisisce Holiseum, Adsigo e Nclose
    • Adozione dell’AI: crescita vertiginosa tra gli impiegati
    • La sicurezza del cloud rimane tra le priorità principali delle aziende
    • AWS Security Hub: SentinelOne è partner promotore
    • Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint
    • Imprese italiane e l’evoluzione delle minacce informatiche
    • L’Iran e le operazioni cyber che minacciano il mondo
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Combattere il ransomware che “cerca” i tuoi dati

    Combattere il ransomware che “cerca” i tuoi dati

    By Redazione LineaEDP26/07/20226 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    La piaga del ransomware non sta andando via. Peggiorerà, e sempre più aziende saranno colpite. Occorre proteggersi coi giusti strumenti

    James Hughes, Rubrik - ransomware
    James Hughes, Rubrik

    Quando 30 paesi si riuniscono per discutere un problema, sai che è una cosa seria. Recentemente, gli Stati Uniti hanno ospitato un incontro multi-paese per discutere del ransomware. Il problema sta diventando così grave che non sta solo costando milioni alle aziende ogni anno, ma sta anche minacciando le infrastrutture critiche nazionali.

    Il ransomware è diventato un problema serio negli ultimi anni, ma esisteva già da molto prima. Il malware congelava i dispositivi delle vittime e chiedeva un pagamento già vent’anni fa. Il problema per i criminali era portare i soldi dai conti delle vittime ai loro.

    Qui arrivano le criptovalute! Gli hacker tradizionalmente dovevano cercare di convincere le vittime a comprare carte regalo o effettuare pagamenti tramite servizi di trasferimento di denaro. A partire dal Bitcoin nel 2009, le criptovalute hanno offerto un metodo di pagamento veloce e sicuro che è esploso nel decennio successivo, con nuove valute digitali che appaiono quasi ogni settimana. Alcune, come Monero, erano specificamente progettate per essere il più possibile anonime.

    Questo ha dato ai criminali un perfetto canale di pagamento, che ha aperto la strada ad attacchi più professionali. I primi ransomware erano spesso mal codificati, permettendo alle vittime di condividere le chiavi di crittografia e recuperare i propri dati.

    Il ransomware ha iniziato a cancellare i file dei shadow copy, che sono i backup dei file creati localmente dalle macchine Windows e uno strumento critico per Windows per ripristinare i file localmente. Ryuk è stato individuato mentre elimina automaticamente qualsiasi shadow copy o altri file di backup che trova, utilizzando semplici script. Locky, Wannacry e Cryptolocker hanno tutti come obiettivo i shadow copy. La maggior parte dei ransomware attacca anche le reti alla ricerca di volumi condivisi, il che significa che il backup su un’unità di rete non è al sicuro.

    Introduzione degli hacker “umani”

    Negli ultimi anni, il ransomware si è evoluto di nuovo. È diventato più simile a un business. I cyber criminali si sono separati in diversi gruppi che operano su un modello di affiliazione chiamato ransomware as a service. Gli autori del ransomware danno in licenza il loro software maligno ad altri che trovano vittime da infettare. Poi pagano gli autori una “tassa”.

    I gruppi di ransomware hanno iniziato a reperire grandi volumi di vettori di attacco vulnerabili sul dark web. Questi includevano non solo credenziali di accesso rubate, ma anche porte vulnerabili del protocollo RDP (Remote Desktop Protocol) che potevano usare per infettare gli endpoint con il ransomware. Hanno poi automatizzato gli attacchi, colpendo i punti vulnerabili utilizzando i bot per vedere quali reti erano attaccabili.

    Una volta che infettano una rete vulnerabile, molti degli attaccanti di oggi fanno molto di più che lasciare che il software venga eseguito. Passano il tempo a farsi strada manualmente attraverso la rete della vittima, trovando altre macchine da infettare. Questo movimento laterale permette loro di trovare le risorse più preziose per la vittima. Spesso usano strumenti amministrativi quotidiani che già esistono sulla rete dell’obiettivo, come PowerShell e gli strumenti di gestione di Windows, per evitare di destare sospetti. Questo processo è chiamato “living off the land” (letteralmente “che vivono dei frutti della terra”, in quanto perpetrati per mezzo di tool già presenti nel sistema)

    Questa tecnica più manuale permette agli hacker di fare di più che criptare i dati. Oggi, li rubano anche. In questo modo, se un’azienda è in grado di recuperare i suoi dati da un backup, possono comunque cercare di estorcere denaro minacciando di pubblicare le informazioni.

    Il risultato? Il ransomware si è evoluto da bomba a orologeria a missile intelligente, alla ricerca delle informazioni più preziose dell’organizzazione. Ma non si ferma a una sola cache di dati; trova tutti gli obiettivi che può, massimizzando il suo raggio d’azione.

    Gli aggressori non si fermano ai dati primari. Faranno del loro meglio per accedere anche ai backup di una vittima. Questo è spesso relativamente facile, poiché alcuni file di backup hanno intestazioni che contengono informazioni dettagliate sul loro contenuto.

    Questi backup sono spesso un modo semplice per raccogliere grandi quantità di dati sensibili in un unico raid. I backup nel cloud sono ancora meglio, perché gli hacker che hanno accesso a questi account possono spesso rubare i backup senza far scattare alcun allarme sulla rete interna della vittima.

    I criminali che trovano questi backup possono cancellarli prima di far esplodere il loro ransomware. Questo impedisce alle vittime di ripristinare i dati da essi.

    L’alternativa è quella di non cancellare affatto i backup, ma di lasciare il ransomware inattivo per settimane sulla rete. I file del ransomware saranno poi sottoposti a backup insieme a tutto il resto. Dopo la sua detonazione, la vittima potrebbe ripristinare i file solo per ritrovarsi immediatamente infettata.

    Il problema sta solo peggiorando

    Come possono le aziende proteggersi da questi attacchi ransomware? Si applicano le misure di base di igiene della cybersecurity. Addestrare gli utenti finali a stare attenti agli attacchi di phishing, scansionare le e-mail in entrata e le sessioni web in uscita sono tutte buone linee di difesa. Usare l’autenticazione a più fattori per gli account online aiuterà a fermare gli hacker che entrano negli account, mentre disattivare le porte RDP inutilizzate chiuderà le superfici di attacco, così come le patch regolari del software.

    Oltre a questo, però, le aziende hanno bisogno di soluzioni di sicurezza costruite per il ransomware – specialmente con l’aumento del Ransomware-as-a-Service.

    Il Ransomware-as-a-Service è esattamente quello che si pensa che sia, e sta diventando una minaccia significativa e poiché sempre più attori di minacce si stanno rivolgendo ad esso, ciò significa che le soluzioni per il recupero e la resilienza informatica saranno ancora più cruciali. Il mondo non è più quello di una volta, questo è certo. Non è più necessario temere solo chi ha la capacità di eseguire un attacco ransomware, ora bisogna assicurarsi di essere protetti da ogni angolo, perché RaaS ha permesso a chi ha poche conoscenze e know-how di scatenare attacchi a proprio piacimento. I kit sono di facile accesso sul dark web, il che significa in definitiva più attacchi e gli aggressori di solito utilizzano una tattica “spray”, sperando che qualcosa atterri.

    La piaga del ransomware non sta andando via. Peggiorerà, e sempre più aziende saranno colpite. Affidarsi ai backup tradizionali è ingombrante e inaffidabile.

     

    Di James Hughes, EMEA Enterprise CTO & VP of Systems Engineering a Rubrik

    ransomware Rubrik
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    La sicurezza del cloud rimane tra le priorità principali delle aziende

    01/07/2025

    Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint

    01/07/2025

    Imprese italiane e l’evoluzione delle minacce informatiche

    30/06/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    ExpertBook P5, il notebook con l’AI integrata
    La tua fabbrica è resiliente?
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Defence Tech

    La sicurezza del cloud rimane tra le priorità principali delle aziende

    01/07/2025

    Spionaggio e cybercrime si sovrappongono. La scoperta di Proofpoint

    01/07/2025

    Imprese italiane e l’evoluzione delle minacce informatiche

    30/06/2025

    L’Iran e le operazioni cyber che minacciano il mondo

    30/06/2025
    Report

    Adozione dell’AI: crescita vertiginosa tra gli impiegati

    01/07/2025

    Intelligenza Artificiale al centro delle operazioni IT

    27/06/2025

    Data Center in Italia in espansione, ma non sottovalutiamo le sfide

    24/06/2025

    IA quantistica: la nuova rivoluzione dell’Intelligenza Artificiale

    19/06/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.