Azionato dall'uomo ransomware

Il ransomware è emerso come una minaccia informatica dominante e uno dei tipi di attacchi informatici più costosi di cui un’organizzazione può cadere vittima. Tuttavia, non tutti gli attacchi ransomware sono uguali. Il ransomware gestito dall’uomo è emerso come un’alternativa più pericolosa e costosa rispetto a quello tradizionale attacco ransomware.

Scopri di più Parli con un esperto

Che cos'è il ransomware gestito dall'uomo?

I primi attacchi ransomware come WannaCry erano in gran parte non diretti, approfittando di obiettivi di opportunità. Ad esempio, il worm ransomware WannaCry si diffondeva autonomamente, sfruttando le vulnerabilità del protocollo Windows Server Message Block (SMB). A meno che il malware non abbia restrizioni integrate sugli obiettivi, qualsiasi computer potrebbe essere infettato da questo tipo di ransomware.

Un attacco ransomware gestito da esseri umani è molto più diretto. Invece di diffondersi automaticamente, il ransomware gestito dall’uomo viene impiantato ed eseguito su un sistema da una persona. L’aggressore ottiene l’accesso all’ambiente di destinazione, determina il sistema in cui il ransomware avrebbe l’impatto maggiore e distribuisce il ransomware in quella posizione.

Gli operatori di ransomware sono passati in gran parte al ransomware gestito da esseri umani a causa del maggiore controllo e della redditività che offre. Selezionando quali organizzazioni prendere di mira e dove distribuire il malware, un gruppo di ransomware può adattare meglio i propri attacchi e le richieste di riscatto ai propri obiettivi.

ransomware gestito da esseri umani e ransomwaretradizionale

Le differenze tra gli attacchi ransomware gestiti da esseri umani e quelli tradizionali sono significative e includono quanto segue:

  • Vettori di infezione: Gli attacchi ransomware guidati da esseri umani possono utilizzare vettori di accesso iniziale diversi rispetto ai ransomware tradizionali. Ad esempio, un utente malintenzionato può ottenere l’accesso tramite credenziali compromesse e quindi spostarsi lateralmente attraverso la rete per raggiungere il proprio obiettivo, mentre il ransomware tradizionale può fare affidamento sulle e-mail di phishing per la distribuzione e l’esecuzione del malware.
  • Impatto sulla crittografia: Tutti gli attacchi ransomware sono progettati per costringere un'organizzazione a pagare un riscatto crittografando file preziosi. Tuttavia, gli attacchi ransomware gestiti da esseri umani potrebbero avere un impatto maggiore rispetto a quelli tradizionali. L'essere umano dietro l'attacco può installare ed eseguire il ransomware laddove avrà il maggiore impatto sulle operazioni di un'organizzazione, amplificando l'interruzione e l'entità del riscatto che l'aggressore può richiedere.
  • Furto di dati: Gli attacchi ransomware utilizzano sempre più il furto di dati per aumentare il potere dell'aggressore sul bersaglio quando richiede un riscatto. Con il ransomware gestito da esseri umani, l'autore della minaccia è in grado di cercare dati di alto valore come dati dei clienti, informazioni finanziarie, codice sorgente, ecc.
  • Complessità della correzione: Tutti gli attacchi ransomware richiedono Bonifica approfondita e dispendiosa in termini di tempo per ripulire dopo un incidente.  Tuttavia, mentre gli attacchi ransomware tradizionali possono richiedere solo la rimozione del malware, un attacco condotto da esseri umani potrebbe avere ulteriori esigenze di riparazione. Un attore umano può aver compromesso gli account dei dipendenti o impiantato meccanismi di persistenza, fornendo loro un accesso backdoor ai sistemi che devono essere rimossi.

I rischi del ransomware

Il ransomware è una delle maggiori minacce alla sicurezza informatica aziendale e può avere impatti importanti su un’azienda, tra cui:

  • Dati persi: Un attacco ransomware funziona crittografando i dati di un'organizzazione e richiedendo un riscatto in cambio della decrittazione. Tuttavia, anche le aziende che pagano un riscatto non sempre recuperano tutti i loro dati. Le organizzazioni che subiscono un attacco ransomware possono aspettarsi di perdere almeno parte dei propri dati in modo permanente.
  • Violazione dei dati: Negli ultimi anni, gli operatori di ransomware hanno ampliato i loro attacchi per rubare dati sensibili prima di crittografarli. Minacciando di far trapelare questi dati, gli aggressori aumentano la loro influenza sui loro obiettivi per pagare il riscatto. Anche se un'organizzazione è in grado di ripristinare i dati crittografati dai backup, è probabile che anche un attacco ransomware abbia successo data breach.
  • Impatti operativi: Gli attacchi ransomware inibiscono le operazioni di un'organizzazione e richiedono soluzioni costose e dispendiose in termini di tempo.  Inoltre, verranno eseguiti anche alcuni gruppi di ransomware attacchi Distributed Denial of Service (DDoS). per incoraggiare il pagamento dei riscatti.  Tutti questi fattori hanno un impatto significativo sulla capacità di un'organizzazione di operare.
  • Danno alla reputazione: Sebbene chiunque possa cadere vittima di un attacco ransomware, si ritiene comunemente che le vittime del ransomware abbiano fatto qualcosa di sbagliato per rendere possibile l'attacco. Dopo un attacco, la reputazione di un'organizzazione può essere danneggiata tra i clienti e un'azienda può essere sottoposta ad indagini per potenziale non conformità con le normative applicabili.

Come prevenire il ransomware

Protezione dagli attacchi ransomware richiede l'implementazione di protezioni anti-ransomware e di best practice, tra cui:

  • Formazione dei dipendenti: Gli operatori di ransomware comunemente prendono di mira i dipendenti per l'accesso iniziale tramite phishing e altri attacchi di ingegneria sociale. Formare i dipendenti su come rilevare e rispondere adeguatamente al phishing e su come creare e utilizzare password complesse aiuta a ridurre al minimo la minaccia che i dipendenti rappresentano per la sicurezza informatica aziendale.
  • Backup dei dati: Il modello di business del ransomware si basa sul negare a un'organizzazione l'accesso ai propri dati in modo che paghi un riscatto per riottenere l'accesso. Eseguendo regolarmente il backup dei dati, un'azienda può ripristinare i propri dati crittografati senza pagare il riscatto.
  • Gestione delle vulnerabilità: Il ransomware può infettare un sistema in vari modi; tuttavia, sfruttare le vulnerabilità è una scelta comune. L'applicazione tempestiva delle patch di vulnerabilità non appena diventano disponibili consente a un'organizzazione di colmare queste lacune di sicurezza prima che possano essere sfruttate da un utente malintenzionato.
  • Autenticazione forte: Il ransomware gestito da esseri umani viene comunemente distribuito da un utente malintenzionato che utilizza le credenziali dei dipendenti compromesse. L’applicazione dell’autenticazione a più fattori (MFA) per tutte le applicazioni e i sistemi aziendali rende più difficile l’utilizzo di credenziali compromesse, limitando l’esposizione a questo vettore di attacco.
  • Privilegio minimo: I criminali informatici dietro il ransomware gestito dall’uomo si spostano comunemente lateralmente attraverso una rete aziendale verso un sistema di alto valore dove il ransomware può causare il maggior danno. Implementazione dei privilegi minimi e Zero Trust Security I principi possono aiutare a rendere questo movimento laterale più difficile da eseguire e più facile da rilevare.

Protezione ransomware con Check Point

Il ransomware è una delle principali tendenze informatiche del 2021. Per saperne di più sull'attuale panorama delle minacce informatiche, consulta Check Point Rapporto sulle tendenze cyber attack di metà anno 2021.  Allora Si registri per una demo gratuita per scoprire come Check Point Harmony Endpoint può proteggere dal ransomware gestito dall'uomo e da altre moderne minacce informatiche.

Per iniziare

Harmony Endpoint demo

Anti-Ransomware

Protezione Zero-Day

Harmony Endpoint

MITRE ATT&Valutazioni CK

ransomware Hub

 

Argomenti correlati

Come prevenire il ransomware?

Rimozione del ransomware

ransomware Recupero

Tipi di ransomware

Tecniche di rilevamento dei ransomware

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK