Le vacanze sono ormai alle porte, ma difficilmente IT manager, security manager e titolari potranno rilassarsi. Nelle previsioni per il breve periodo, infatti, Trend Micro, leader mondiale nella Cloud Security, ha definito questa estate come l’estate del crimine informatico. Non è difficile comprenderne i motivi. I cyber attacchi sono cresciuti in maniera esponenziale dopo l’esplosione della pandemia. In particolare, è l’alta profittabilità dei ransomware a incentivare una sequenza di attacchi che sembra non conoscere fine.

I principali gruppi ransomware continuano a colpire le aziende a livello globale, causando danni incalcolabili, dal punto di vista finanziario, della reputazione e della produttività. Sempre più spesso i cyber criminali si muovono nelle reti aziendali in maniera silente e vi permangono a lungo per sottrarre dati e informazioni sensibili.

Secondo uno studio elaborato dal Clusit, ovvero dall’Associazione Italiana per la Sicurezza Informatica e il Dipartimento di Informatica della Università di Bari, analizzando i dati di incidenti, attacchi e violazioni privacy (raccolti dall’Osservatorio Exprivia sulla CyberSecurity utilizzando fonti pubbliche), viene confermata la tendenza alla crescita esponenziale degli attacchi informatici nel nostro paese.

L’Italia nel 2020 ha subìto, infatti, una forte accelerazione del processo di digitalizzazione che ha interessato tutte le regioni e la conseguenza diretta è che anche il fenomeno del cyber crime si è distribuito abbastanza uniformemente su tutto il territorio italiano come appare chiaro dalla mappa seguente.

Cosa devono fare quindi aziende e professionisti, IT Manager e titolari, per correre ai ripari e contenere il più possibile il rischio di un attacco cyber?

Brianza ICT in collaborazione con Trend Micro Italia, coglie l’occasione per ricapitolare alcune delle tattiche moderne di attacco sviluppate dai maggiori gruppi ransomware, così da capire come reagire e come alzare il livello di protezione dei propri sistemi.  Spesso, il punto di ingresso iniziale è rappresentato da vulnerabilità note che non sono mai state corrette.  Il caso della Regione Lazio ne è un esempio, che dimostrerebbe come i cyber-criminali possano aver sferrato l’attacco partendo proprio dalla vulnerabilità del sistema di autenticazione dei dipendenti in smartworking.  Indipendentemente comunque da come gli aggressori penetrano l’infrastruttura aziendale, esistono diverse metodologie con cui gli attacchi possono essere individuati e fermati, prima che arrivino al punto di crittografare i dati e chiedere un riscatto. 

Possibili conseguenze degli attacchi ransomware

• Il ransomware crittografa i file e poi rilascia una richiesta di riscatto con pagamento in bitcoin
• Doppia estorsione: ransomware + esfiltrazione di dati. Se l’utente colpito non paga il riscatto rischia di vedere i propri dati resi pubblici.

Fermare gli attacchi

Gli attacchi multi-estorsione possono essere fermati, ma è importante avere una profonda conoscenza della problematica per poter individuare i segnali iniziali. Esistono alcune azioni che dovrebbero essere attivate rapidamente per mitigare il rischio portato dagli attacchi:

• Abilitare il monitoraggio del comportamento e il machine learning con le configurazioni consigliate. Ciò impedisce ai client di aver bisogno di aggiornamenti o nuovi rilevamenti quando viene scoperto un importante evento
• Mantenere un solido piano di gestione delle patch. Questo protegge dalle vulnerabilità note applicando gli aggiornamenti disponibili. 
• Utilizzare l’autenticazione a più fattori o a 2 fattori per gli account amministrativi critici, in particolare nei sistemi pubblici. Questo rende più difficile per gli aggressori abusare di credenziali compromesse per ottenere l’accesso al sistema
• Praticare la regola di backup 3-2-1. Se si verifica un attacco ransomware, è fondamentale mantenere almeno tre copie dei dati aziendali in due formati diversi, con una copia posizionata fuori sede. Ciò garantisce di poter ripristinare le funzionalità senza dover pagare il riscatto per decrittografare i file 

Queste non sono ovviamente le uniche azioni di sicurezza che aiutano a proteggere le aziende, ma sono quelle che prevengono i punti di ingresso più comuni negli attacchi ransomware di oggi. Avere tutta la potenza di una soluzione di sicurezza attivata e ottimizzata per il proprio ambiente come quella offerta da Trend Micro elimina le crepe e le lacune e ferma tempestivamente l’attacco. Di pari passo, gioca un ruolo altrettanto fondamentale la sicurezza predittiva. Ma di questo ci occuperemo nei prossimi giorni.

Stay tuned.. and stay safe!

Non abbassiamo la guardia!

Andrea Giorgi

DPO/RPD Brianza ICT Group  –  andrea@brianzaict.com