Prevenire e bloccare il Ransomware: un SOC contro il Cybercrime!

 

Nella prima puntata dedicata alla minaccia Ransomware, abbiamo visto che il pericolo sta bussando alla porta di moltissime realtà pubbliche e private. Questo scenario è sicuramente aggravato dalla proliferazione del modello Ransomware as a Service (RaaS), che consente anche ai neofiti di diventare parte attiva e provocare danni ingenti a ogni tipo di business. Ogni settimana, i media nazionali e internazionali danno visibilità ai nuovi cyberattacchi che colpiscono aziende di ogni dimensione che non riescono a prevenire  o quantomeno bloccare un attacco Ransomware.
Molto probabilmente queste organizzazioni si ritenevano al sicuro da ogni genere di cyberattacco: consapevolezza presto smentita perché i sistemi sono stati presto bloccati e i dati trafugati per finire in vendita sul dark web.

Un pericolo testimoniato da numeri impressionanti: due terzi delle organizzazioni sono state oggetto di almeno un attacco. Questo dimostra che prevenire un Ransomware, soprattutto avvalendosi esclusivamente di risorse interne, sembra oggi una vera e propria impresa.

La crisi di cui abbiamo evidenza non è soltanto legata alla numerosità cospicua di attacchi, sicuramente in costante crescita per l’aumento dei “piccoli criminali” che si affidano al RaaS, bensì al furto di dati che avviene prima di crittografare i file. È proprio la perdita dei dati la principale preoccupazione delle organizzazioni, in merito alle conseguenze di un attacco Ransomware.
Si pensi che una perdita di dati può causare un danno economico fino a 5,9 milioni di dollari per un’azienda.

Un altro spunto di riflessione interessante, si evince da un report Sophos e concerne il pagamento medio del riscatto, che ha già superato i 170.000$.
Le aziende che cedono al ricatto e pagano, in media ricevano “in reso” solo al massimo l’8% dei dati rubati, e addirittura l’80% di queste organizzazioni subisce nel breve periodo un secondo attacco Ransomware.

Attacchi ransomware: la strada verso l’ esfiltrazione di dati

Come abbiamo puntualizzato nella puntata precedente, gli attacchi Ransomware si sono evoluti a metà degli anni 2000. Da allora, i criminali informatici sono passati dall’impiego degli ormai obsoleti Screen Locker, facilmente aggirabili dagli utenti esperti, alla crittografia dei file. Questa ha costituito un considerevole inasprimento del pericolo Ransomware, poiché risulta praticamente impossibile da superare, se non con una chiave di decrittazione. La perdita di dati è quasi garantita.

All’inizio degli anni 2010 è apparso il primo worm Ransomware. Nel corso degli anni, i cybercriminali hanno generato campagne di spam sempre più massicce. Inizialmente questi attacchi erano rivolti principalmente agli utenti privati, poiché le aziende erano in grado di rilevare tempestivamente gli worm Ransomware e bloccarli senza troppi patemi. Nel 2016 è apparso, invece, il primo Ransomware as a Service, che era ancora destinato a endpoint privati.

Nel maggio 2017, lo scoppio dell’epidemia WannaCry ha mostrato al mondo che le aziende sono tutt’altro che invulnerabili e che il recupero da un attacco Ransomware può richiede risorse molto esose. NotPetya ha presto confermato quella che sarebbe diventata di lì a poco una tendenza: molti più criminali informatici passarono completamente agli attacchi verso le organizzazioni strutturate. L’attacco seguiva spesso un modello collaudato: raggiungere i server di backup e crittografare il maggior numero possibile di sistemi.

Alla fine del 2019, gli affiliati di Maze RaaS, dopo essersi infiltrati nella rete aziendale, rubarono i dati dei malcapitati, per poi dimostrare il possesso e fare pressione sulle vittime, costringendole a pagare un riscatto onerosissimo. Questa tecnica è diventata rapidamente popolare: oggi gli hacker sono soliti procedere con questa metodologia criminale.

Oggi nessun’azienda può ritenersi al sicuro e tantomeno può permettersi una  cybersecurity non strutturata con policy definite. 
I Ransomware, infatti, colpiscono ora aziende di tutte le dimensioni, comprese le piccole e medie imprese, che in precedenza venivano “graziate” dagli hacker per il basso valore economico del potenziale riscatto. Secondo un report Cynetcirca il 43 % degli attacchi ha come destinatario una PMI. 

Attualmente, i criminali informatici si orientano verso queste realtà minori con la convinzione che, piuttosto che fallire, siano maggiormente propense a pagare.

LION Cybersecurity contro i Ransomware: prevenzione e protezione

Monitoraggio H24 7*7

Restare al passo con le tecniche di attacco sfruttate dagli hacker è sempre complicato per i team IT, costretti spesso a dedicare tempo e risorse ad altre attività. Per questo motivo, esternalizzare la gestione della propria infrastruttura in termini di Cybersecurity a un Managed Service Provider, risulta una valida opzione per prevenire un attacco Ransomware e proteggere la propria azienda. Questo garantisce inoltre la business continuity e migliora l’efficienza dei workflow interni.

Lantech Longwave dedica un Team di esperti e analisti,  pronto a monitorare H24 7*7  l’intera infrastruttura con un approccio orientato alle best practices in materia Cybersecurity.
Il team Security Operation Center di LION, costantemente aggiornato sull’evoluzione delle tecniche Ransomware, attua tutte le attività preventive per individuare e bloccare un attacco prima che penetri nella rete o interviene tempestivamente e proattivamente nel caso di infiltrazione, riducendo drasticamente il rischio che corrono le organizzazioni.
Attraverso il portale si avrà una visibilità centralizzata dell’infrastruttura e del traffico in entrata ed uscita dall’intera rete, con la garanzia di un’immediata presa in carico degli alert.

Rimuovere il Ransomware ed evitare la reinfezione

Quando il Ransomware si infiltra in una rete, si distribuisce replicandosi con nomi diversi. Un team IT potrebbe trovare e rimuovere il file ransomware iniziale, ma le sue copie potrebbero apparire in un secondo momento, per questo è fondamentale essere in grado di bloccare da subito l’intera catena di attacco. Gli esperti del SOC LION lavorano per identificare anche il malware nascosto e prevenire le reinfezioni.

Ciò permette all’IT interno delle aziende clienti di dedicare più tempo alle operazioni quotidiane, aiuta a risparmiare risorse economiche e consente di implementare un piano di per prevenire i Ransomware e ottenere una risposta più rapida ai cyberattacchi di qualsiasi tipo. Affidando il SOC al Team di esperti di Lantech Longwave, le aziende beneficeranno quindi di molti vantaggi, ottenendo una completa protezione dell’intera superficie d’attacco.

Migliora la sicurezza informatica complessiva della tua azienda

Spesso i firewall e gli strumenti antivirus non sono sufficienti per prevenire un attacco Ransomware e fermarlo e le aziende che dispongono solo di queste soluzioni sono sempre più vulnerabili.
Il servizio di monitoring incentrato sul Network e Security Operation Center di Lantech Longwave offre una suite completa di Servizi Gestiti chiamati LION integrabili.
Il servizio LION PRO, garantisce un’attività di monitoraggio real-time, di troubleshooting e di management (H24, 7*7) dell’intera infrastruttura di network in termini di visibilità, performance ed efficienza.

 

A cura di: Team Security Lantech Longwave
Fonte dati: www.clusit.it – www.zerounoweb.it– www.cynet.com – www.sophos.com – www.sophos.com

Ti sei perso le altre puntate del nostro Cybersecurity PODS? 
Torna alla puntata precedente

Non hai risorse sufficienti per implementare un SOC interno strutturato? 
Proteggiti dai Ransomware e scegli LION CYBERSECURITY!
Compila il form sottostante e richiedi maggiori informazioni!

 

 

Beyond the screen

Stay on the cutting edge: find out about our events, latest digital trends and technical focuses!

Go to the archive
La consulenza che elimina la complessità