Durante il 21° secolo, il ransomware si è diffuso così tanto che è diventato a tutti gli effetti una piaga globale, infettando agenzie governative e aziende di tutte le dimensioni e di ogni settore. Il ransomware, che altri non è che una forma di malware, è un software dannoso che impedisce alle vittime di accedere ai loro file e/o sistemi informatici fino al pagamento di un riscatto.
Gli attacchi di ransomware causano interruzioni alle operazioni aziendali con la potenziale perdita di sistemi critici e dati, in quanto si diffonde attraverso email phishing, spear phishing, download di allegati email, sfruttamento di vulnerabilità, worm informatici e attraverso molti altri vettori.. Sebbene esistano innumerevoli varianti di ransomware, principalmente si suddividono in tre tipi: crypto ransomware, locker ransomware e double extortion.
Il codice del crypto ransomware rimane interdetti il più a lungo possibile affinché l’hacker possa continuare a estrarre criptovalute, utilizzando il dispositivo della vittima, criptando file o esetendedosi autonomamente verso altri computer e dispositivi di rete.
Il locker ransomware va oltre la semplice crittografia dei file, in quanto blocca la vittima rendendole impossibile utilizzare il proprio dispositivo. Questo tempo in cui la vittima rimane ferma è il momento in cui l’hacker richiede un riscatto per sbloccare il device.
Il ransomware double extortion non solo crittografa i file, ma esporta anche dati per ricattare le vittime a pagare un riscatto.
Di seguito sono riportate alcune delle varianti di ransomware più note e violente:
WannaCry | CryptoLocker | Petya |
Bad Rabbit | TeslaCrypt | Locky |
Jigsaw | Cerber | CryptoWall |
Ryuk | SimpleLocker | Gandcrab |
SamSam | ZCryptor | Reveton |
I cybercriminali approfitteranno di qualsiasi vulnerabilità del software o del firmware, di configurazioni errate, di password deboli e di utenti ignari e colpiranno non appena verrà rivelata una falla o una vulnerabilità. Pertanto, i professioni e responsabili della difesa aziendale devono essere proattivi, vigili e sempre pronti.
Difendersi dal ransomware
Le CVE sono un elenco di difetti di sicurezza informatica resi pubblici, che aiutano i professionisti della sicurezza a dare priorità e affrontare le vulnerabilità critiche per garantire la protezione dei sistemi dagli attacchi come il ransomware. La società MITRE supervisiona inoltre il programma CVE grazie ai finanziamenti da parte della Cybersecurity and Infrastructure Security Agency (CISA).
Se si vuole eliminare il rischio di queste CVE la risposta è l’implementazione di penetration test come RidgeBot. Quest’ultimo infatti, riesce a proteggere un’azienda dalle CVE grazie alle sue continue prove di penetrazione. Per ogni CVE, RidgeBot dispone di due tipi di plugin:
- Rilevazione: verifica se la vulnerabilità esiste nell’ambiente;
- Sfruttamento: lancia un payload per sfruttare la minaccia al fine di attivare una vulnerabilità.
Per classificare meglio gli attacchi informatici e valutare il rischio per un’organizzazione, i difensori aziendali e i team di sicurezza utilizzano anche il framework MITRE ATT&CK™. Si tratta di una guida per classificare e descrivere gli attacchi informatici e le intrusioni, creato anch’esso dalla Mitre Corporation, che comprende 14 categorie tattiche che rappresentano gli “obiettivi tecnici” di un avversario. Una guida che fornisce indicazioni su come prevenire e rispondere meglio alle minacce informatiche ed è essenziale per comprendere, dare priorità e mitigare i rischi degli attacchi informatici.
RidgeBot impedisce il ransomware
RidgeBot è altamente efficace nel convalidare le capacità del sistema e rafforzare la difesa per la sicurezza dell’organizzazione durante il lancio di nuove applicazioni e sistemi aggiornati. I continui penetration test automatizzati di RidgeBot, combinano tecniche di hacking etico con algoritmi di decisione basati sull’intelligenza artificiale, in modo da individuare i bersagli vulnerabili, sfruttarli e prioritizzare i potenziali rischi aziendali.
Il template di RidgeBot, specificatamente costruito per impedire I ransomware, include funzionalità importanti come la scansione di 27 vulnerabilità di alto profilo come punto di ingresso per il ransomware, il lancio di attacchi per sfruttare queste vulnerabilità, la generazione di report dettagliati su come sono stati raggiunti i successi durante l’attacco e altro ancora.
Con il template di RidgeBot per il ransomware, eseguire una scansione degli asset per rilevare vulnerabilità sarà facile e veloce, nonostante RidgeBot verifichi anche che le vulnerabilità trovate siano effettivamente sfruttabili nel tuo ambiente attuale. RidgeBot è un sistema automatizzato che consente alle aziende di eseguire penetration test e attacchi, ogni volta che si presenti un aggiornamento del software o del sistema, o una nuova configurazione del dispositivo. Può anche essere programmato per essere eseguito su base regolare, settimanale, mensile o quando il personale IT e di sicurezza lo ritierrà necessario.
Poiché il ransomware evolve continuamente e il numero degli attacchi aumenta (così come la complessità), ogni organizzazione è a rischio. I penetration test automatizzati sono una parte critica di una basedi sicurezza multilivello che contribuisce a garantire la protezione dei sistemi e dei dati aziendali.
Clicca qui per ottenere il nostro whitepaper e saperne di più su come RidgeBot può aiutarti a difenderti dal ransomware.