Conoscere i ransomware per evitare incidenti (report enisa)

L’ENISA (Agenzia dell’Unione europea per la sicurezza informatica) nel rapporto sugli attacchi ransomware pubblicato  il 29 luglio scorso svela le carenze degli attuali meccanismi di segnalazione in tutta l’UE.

SEGNALAZIONI

Sono stati analizzati 623 incidenti ransomware in tutta l’UE, nel Regno Unito e negli Stati Uniti per un periodo di riferimento da maggio 2021 a giugno 2022

L’Italia purtroppo risulta al 4° posto nella classifica dei paesi attaccati:

I dati sono stati raccolti: dai rapporti di governi, da società di sicurezza, dalla stampa, da blog verificati, dal dark web, evidenziano che:

  • tra maggio 2021 e giugno 2022 sono stati rubati ogni mese circa 10 terabyte di dati
  • il 58,2% dei dati rubati includeva dati personali dei dipendenti.
  • sono stati trovati almeno 47 attori unici di minacce ransomware
  • sono interessate le aziende di ogni dimensione e di tutti i settori

 

Per il 94,2% degli incidenti, non si sa se l’azienda abbia pagato o meno il riscatto; tuttavia, quando la negoziazione fallisce, gli aggressori di solito espongono e rendono disponibili i dati sulle loro pagine web. Questo è ciò che accade in generale ed è una realtà per il 37,88% degli incidenti.

L’ENISA ritiene quindi che “il restante 62,12% delle aziende o ha trovato un accordo con gli aggressori o ha trovato un’altra soluzione”.

Lo studio rivela inoltre che il numero totale di attacchi ransomware è molto maggiore.

Al momento troppe organizzazioni ancora non rendono pubblici i loro incidenti o non li denunciano alle autorità competenti.

“Anche le informazioni sugli incidenti divulgati sono piuttosto limitate poiché nella maggior parte dei casi le organizzazioni interessate non sono a conoscenza di come gli attori delle minacce siano riusciti a ottenere l’accesso iniziale. Alla fine, le organizzazioni potrebbero affrontare la questione internamente (ad es. decidere di pagare il riscatto) per evitare pubblicità negativa e garantire la continuità aziendale. Tuttavia, un tale approccio non aiuta a combattere la causa, anzi, incoraggia invece il fenomeno, alimentando nel processo il modello di business del ransomware.”

È nel contesto di tali sfide che l’ENISA sta esplorando i modi per migliorare questa segnalazione di incidenti.

La revisione della Direttiva sulla sicurezza delle reti e dell’informazione (NIS 2) dovrebbe cambiare il modo in cui vengono notificati gli incidenti di sicurezza informatica.

Le nuove disposizioni mireranno a supportare una migliore mappatura e comprensione degli incidenti rilevanti.

COSA PUÒ FARE IL RANSOMWARE

Secondo l’analisi del rapporto, gli attacchi ransomware possono prendere di mira le risorse in quattro modi diversi: l’attacco può bloccare, crittografare, eliminare o rubare le risorse del bersaglio.

Le risorse oggetto dell’attacco possono essere documenti, file, database, servizi Web, sistemi di gestione dei contenuti, schermate, record di avvio principale (MBR), tabelle di file master (MFT), ecc.

Il report illustra tramite un elenco le risorse più comunemente prese di mira dal ransomware  e le relative tipologie di attacco specificando che questo elenco potrebbe probabilmente ampliarsi in futuro poiché il ransomware continua a sfruttare le vulnerabilità sistemi.

 

  • Blocco

L’azione di blocco di una risorsa può implicare cose molto diverse. Nel caso di schermi mobili, può essere semplice cambiare il PIN del telefono cellulare e bloccare lo schermo. Nel caso di un’applicazione, possono essere cambiate le credenziali per accedervi, lo stesso con l’hardware. In particolare, non consideriamo l’atto di crittografia come un blocco poiché è coperto dall’azione crittografare.

  • Crittografia

La crittografia si riferisce all’azione di utilizzare un algoritmo di crittografia per rendere il contenuto di un file, cartella o testo disponibile solo a chi conosce l’algoritmo di crittografia utilizzato e che lo possiede la chiave di crittografia per decrittografarla. Esistono diversi tipi di algoritmi di crittografia che possono essere utilizzati, risorse che possono essere crittografate parzialmente, diversi tipi di crittografia e una differenza per quanto riguarda il luogo in cui avviene la crittografia: solo nel client o nel client e nel server.

  • Eliminazione

L’atto di cancellazione si riferisce all’azione di ordinare al sistema operativo di eliminare un file mediante la procedura ufficiale del sistema operativo (che cancella solo il riferimento al file nella struttura delle cartelle in maggior parte dei sistemi operativi) o eliminando il file riscrivendone i byte. Nel caso di un database di memoria, l’eliminazione è l’azione di chiedere al database di eliminare il file. La cancellazione può essere fatta anche su macchine virtuali in ambienti cloud utilizzando dashboard ufficiali. L’eliminazione di un file non implica che il file sia stato crittografato o rubato.

  • Furto

L’azione di furto si riferisce alla copia del bene sotto il controllo dell’attaccante. Può essere esfiltrando i dati su Internet o copiando i dati in una cartella locale segreta sconosciuta al proprietario del bene. In particolare, il furto non implica l’eliminazione o la crittografia.

RACCOMANDAZIONI

Per rafforzare la resilienza contro il ransomware l’ENISA consiglia di:

  • mantenere un backup aggiornato dei file aziendali e dei dati personali;
  • mantenere questo backup isolato dalla rete;
  • applicare la regola 3-2-1 del backup: 3 copie, 2 diversi supporti di memorizzazione, 1 copia fuori sede;
  • eseguire software di sicurezza progettato per rilevare la maggior parte dei ransomware nei dispositivi endpoint;
  • limitare i privilegi amministrativi; eccetera.

In caso di attacco ransomware: 

  • contattare le autorità nazionali per la sicurezza informatica o le forze dell’ordine per assistenza;
  • non pagare il riscatto e non negoziare con gli attori della minaccia;
  • mettere in quarantena il sistema interessato;

Fonte:  ENISA (Agenzia dell’Unione europea per la sicurezza informatica)

       ENISA THREAT LANDSCAPE FOR RANSOMWARE ATTACKS

 

Per evitare incidenti ed intervenire in caso di data breach

CNA vi può supportare con specifici SERVIZI CYBER ed un NUMERO VERDE DATA BREACH

 

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

ASSOCIATI