Attualità

Malware, ransomware WannaCry (e non solo): i pericoli aumentano. Come difendersi?

Nei primi tre mesi del 2017 Kaspersky Lab ha rilevato più di 479 milioni di attacchi provenienti da fonti online e, secondo l’ultimo Data Breach Investigations Report di Verizon, gli attacchi ransomware sono aumentati del 50% rispetto allo scorso anno. Come se non bastasse, il recente maxi attacco WannaCry ha messo in luce le falle della sicurezza informatica a livello globale. Lo scenario è chiaro: bisogna correre ai ripari. Gli esperti spiegano come fare in 5 mosse

Pubblicato il 15 Giu 2017

ransomware-2321110-640-170602191246

L’attacco ransomware che, lo scorso 12 maggio, ha colpito per mano di  WannaCry oltre 200mila computer in più di 150 Paesi nel mondo ha reso chiara la necessità di alzare gli standard della sicurezza IT a livello globale, soprattutto in ambito politico-governativo, di pubblica amministrazione e aziendale.

WannaCry (o WanaCrypt0r 2.0) è un ransomware di tipo worm, una particolare categoria capace di autoreplicarsi auto-inviandosi direttamente via e-mail o tramite una rete di computer per poi criptare i file (senza alcun intervento dell’utente) e chiedere un riscatto. In questo caso, la chiave di decriptazione si poteva ottenere sborsando trecento dollari in bitcoin.

WannaCry? Sai che novità…

Il fatto che i criminali informatici diventino ogni giorno più astuti e siano in grado di realizzare attacchi via via più sofisticati non suona di certo come una novità per chi si occupa di IT, ma il colpo inferto da WannaCry ha posto bruscamente la questione anche sotto gli occhi dei non addetti ai lavori, mettendo letteralmente in ginocchio i sistemi informatici di diversi governi, aziende, atenei e ospedali. La cyber-batosta potrà forse servire da lezione per fare in modo che la questione della sicurezza IT venga presa maggiormente sul serio da tutte le parti in causa?  Gli esperti sperano di sì.

Certo è che WannaCry ha rappresentato la classica goccia che ha fatto traboccare un vaso già stracolmo di attacchi incessanti. I numeri parlano chiaro: solo nel primo trimestre di quest’anno, per esempio, Kaspersky Lab ha rilevato più di 479 milioni di attacchi provenienti da fonti online con un aumento degli attacchi di ransomware mobile che ha segnato il +253%. L’ultimo rapporto pubblicato dalla società parla di 218.625 ransomware mobile rilevati nei primi mesi del 2017, rispetto ai 61.832 del trimestre precedente: oltre l’86% di questi attacchi rientrano nella topologia Congur che imposta o ripristina il codice di accesso del dispositivo infettato fornendo così agli hacker i diritti di accesso come amministratori.

Il pericolo, però, non è solo mobile: gli analisti hanno evidenziato anche la proliferazione di ransomware destinati a tutti i dispositivi e i sistemi, hanno scoperto ben undici nuovi ceppi e 55.679 nuove modifiche ransomware a cartelle WIndows. Non solo: sono stati rilevati 79.209.775 URL unici riconosciuti come pericolosi, 174.989.956 potenziali minacce e 1.333.605 pacchetti di installazione dannosi.

Tra ransomware e cyberspionaggio: non abbassare mai la guardia

Anche l’ultimo Data Breach Investigations Report pubblicato Verizon conferma uno scenario in cui l’allerta ransomware deve rimanere alta: il documento, su questo fronte, rileva infatti un aumento degli attacchi del 50% rispetto allo scorso anno. Gli analisti mettono in evidenza come – nonostante le raccomandazioni provenienti ormai costantemente dagli esperti del settore – molte aziende non investano ancora abbastabza in strategie di sicurezza IT all’altezza della situazione. Molte organizzazioni sembrano più propense a pagare il riscatto nel caso in cui siano colpite, piuttosto che agire in un’ottica di prevenzione per diminuire i rischi di cadere vittima di un attacco.

Causa – e insieme conseguenza – di tale scenario è fondamentalmente la mancanza di un’adeguata cultura e formazione sul tema cyber-security. A prova di questo, gli analisti evidenziano come il phishing sia ancora uno degli strumenti più frequenti con cui gli hacker portano a segno i propri attacchi: un utente su quattordici ha aperto un link o un allegato malevolo e, di questi, un quarto è caduto nel tranello più di una volta. E il 95% degli attacchi di phishing che sono sfociati in una violazione si sono verificati a seguito di una installazione software.

Un’altra delle falle più comuni legate alla mancanza di attenzione da parte degli utenti è legata al grado di sicurezza delle password, secondo quanto segnalato dagli analisti Verizon: l’80% delle violazioni hanno infatti sfruttato password troppo deboli.

Gli esperti, però, lanciano un ulteriore allarme: gli ultimi mesi non hanno visto una crescita esponenziale di soli ransomware, ma anche di attacchi informatici legati specificatamente all’attività di cyberspionaggio. Su circa duemila violazioni analizzate, sono state quasi quattrocento (il 21%) quelle riconducibili a episodi di spionaggio informatico (con attacchi perpetrati maggiormente attraverso e-mail di phishing).

The day after WannaCry: ecco cosa fare

Gli esperti, nella guida Focus how to avoid being hit by ransomware, spiegano quali sono i cinque passi che il mondo del business deve compiere dopo l’avvento di WannaCry.  Un tale cyber-tsunami, nonostante i danni causati, può essere stato utile per convincere chi di dovere a implementare una efficace strategia di sicurezza. Da dove partire? Secondo gli esperti, innanzi tutto, senza una buona consapevolezza digitale e informatica non si va da nessuna parte. Un corretto programma di educazione e (in)formazione rappresenta pertanto un requisito essenziale da integrare il prima possibile nelle organizzazioni di ogni settore. Partendo da questa base, occorre dunque procedere nella direzione di una strategia di difesa proattiva. Non è sufficiente sapersi difendere da un attacco già avvenuto: ciò che conta davvero, infatti, è giocare d’anticipo. E questo può realizzarsi solo partendo da una approfondita comprensione di tutti i possibili rischi in circolazione (e delle modalità migliori per gestirli). Ecco dunque quali sono, secondo gli esperti, i cinque settori di sviluppo da perseguire per iniziare questo processo:

  1. Lavorare fianco a fianco con i professionisti della sicurezza informatica in un’ottica di information risk management per esaminare il rischio nel proprio contesto di business, non solo come questione tecnica ma anche in relazione alla gestione del servizio clienti, alle pubbliche relazioni e alla reputazione aziendale.
  2. Comunicare i rischi informativi identificati da una prospettiva di business – non necessariamente finanziaria – che descriva chiaramente il danno che un eventuale incidente potrebbe arrecare all’impresa. Il trattamento dei rischi che può essere messo in atto e il rischio residuo per l’impresa devono essere chiaramente dichiarati e aggiornati in base ai cambiamenti aziendali.
  3. Stabilire un dialogo basato sull’information risk management tra i dirigenti e gli esperti di sicurezza IT. Se da una parte è consigliabile che i responsabili della sicurezza e delle informazioni agevolino questo dialogo, dall’altra è opportuno che i leader aziendali si impegnino a diventare parte integrante e attiva del processo, trovando il tempo di ascoltare, comprendere e discutere questi rischi.
  4. Approfondire la comprensione del rischio dei dirigenti aziendali analizzando come una determinata tecnologia sta cambiando il modo in cui opera l’azienda, la dipendenza dell’azienda da quella specifica tecnologia e quali sono i punti in cui questi cambiamenti rendono l’impresa vulnerabile.
  5. Tenere conto dei requisiti di sicurezza e integrare quest’ultima all’interno dei processi aziendali a partire dalle prime fasi di progettazione, lungo tutto il percorso di sviluppo, testing e produzione di qualsiasi prodotto o servizio costruito/realizzato/acquistatodall’organizzazione. Integrare subito la sicurezza è più conveniente che aggiungerla in seguito.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati