Ricattatori al lavoro
A livello globale, gli attacchi ransomware sono aumentati del 102% quest'anno rispetto all'inizio del 2020 e non ci sono segni di rallentamento. Il numero di organizzazioni colpite da ransomware a livello globale è più che raddoppiato nella prima metà del 2021 rispetto al 2020.
A metà maggio, la rete di Colonial Pipeline è stata colpita da un attacco ransomware. L'azienda ha dovuto mettere offline alcuni sistemi dopo il cyberattacco, che ha portato al blocco completo delle operazioni del gasdotto, causando una carenza di benzina in alcune zone del Paese.
L'FBI ha confermato in un comunicato che un gruppo di criminali informatici professionisti chiamato Darkside è responsabile dell'attacco ransomware a Colonial Pipeline. Altri attacchi su larga scala, in questo Paese ad esempio al Cloud Computing svizzero o a Griesser, a livello globale ad esempio alla città di Tulsa, e il ransomware REvil che ha tentato di ricattare Apple, lo dimostrano chiaramente: gli attacchi ransomware sono un problema importante a livello mondiale. Si stima che lo scorso anno il ransomware sia costato alle aziende circa 20 miliardi di dollari in tutto il mondo, una cifra superiore di quasi il 75% rispetto al 2019.
Obiettivo: il settore sanitario
I nostri ricercatori di CPR (Check Point Research) hanno scoperto che in media più di 1000 organizzazioni vengono colpite da ransomware ogni settimana. Il numero di organizzazioni colpite è aumentato significativamente nel 2021, del 21% nel primo trimestre dell'anno e del 7% da aprile. Questi aumenti hanno portato a uno sconcertante incremento complessivo del 102% del numero di organizzazioni colpite da ransomware rispetto all'inizio del 2020. Il settore che registra il maggior numero di tentativi di attacco ransomware a livello globale è quello sanitario, con una media di 109 tentativi di attacco per organizzazione a settimana, seguito dalle utility con 59 attacchi e dalle assicurazioni/legali con 34 attacchi.
Differenze regionali
È interessante notare che si possono individuare anche differenze regionali: Le organizzazioni della regione Asia-Pacifico (APAC) sono attualmente le più colpite dagli attacchi ransomware. In media, le organizzazioni dell'APAC vengono attaccate 51 volte a settimana. In media, un'organizzazione nordamericana subisce 29 attacchi settimanali, le organizzazioni europee e latinoamericane ne subiscono 14 e le organizzazioni africane hanno quattro attacchi settimanali per organizzazione. L'India ha registrato il maggior numero di tentativi di attacco per organizzazione, con una media di 213 attacchi settimanali dall'inizio dell'anno. Seguono l'Argentina con 104 per organizzazione, il Cile con 103, la Francia con 61 e Taiwan con 50.
Mentre in Nord America le organizzazioni sanitarie hanno subito il maggior numero di attacchi dall'inizio dell'anno, in Europa le organizzazioni di servizi pubblici sono state le più colpite. Nell'APAC sono stati colpiti soprattutto i settori assicurativo e legale, mentre in America Latina il settore delle comunicazioni. In Africa, il settore finanziario e bancario è il più attaccato.
Triplo ransomware
Il successo della doppia estorsione (i criminali non solo criptano i dati, ma li pubblicano anche) nel 2020, soprattutto dopo lo scoppio della pandemia Covid 19, è indiscutibile. Sebbene non tutti gli incidenti - e i relativi esiti - vengano divulgati e pubblicati, le statistiche raccolte nel 2020-2021 riflettono l'importanza di questo vettore di attacco: il pagamento medio del riscatto è aumentato del 171% nell'ultimo anno ed è ora di circa 310.000 dollari. Più di 1.000 organizzazioni hanno subito violazioni dei dati dopo aver rifiutato di soddisfare le richieste del ransomware nel 2020, e circa il 40% di tutte le famiglie di ransomware appena scoperte ha incorporato l'infiltrazione dei dati nel proprio processo di attacco. Gli attacchi che hanno avuto luogo alla fine del 2020 e all'inizio del 2021 indicano una nuova catena di attacchi, essenzialmente un'estensione della tecnica del ransomware a doppia estorsione che incorpora un'ulteriore minaccia nel processo, che noi chiamiamo tripla estorsione.
Il primo caso degno di nota è stato l'attacco alla clinica finlandese di psicoterapia Vastaamo, con circa 40.000 pazienti. È stata colpita da un furto di dati dei pazienti su larga scala e da un attacco ransomware. Non solo è stato chiesto un riscatto alla clinica, ma sorprendentemente sono state richieste somme minori anche ai pazienti che avevano ricevuto le richieste di riscatto individualmente via e-mail. In queste e-mail, gli aggressori minacciavano di pubblicare le note delle sedute dei terapeuti. Anche se cavalcano l'onda del successo, i criminali informatici sono costantemente alla ricerca di modelli di business più innovativi e fruttuosi. Per questo è ancora più importante essere consapevoli del pericolo e tutelarsi.
Come difendersi dagli attacchi ransomware
1. maggiore vigilanza nei fine settimana e nei giorni festivi: la maggior parte degli attacchi ransomware dello scorso anno ha avuto luogo nei fine settimana e nei giorni festivi.
2. patch aggiornate: è necessario mantenere i computer aggiornati e installare le patch di sicurezza, soprattutto quelle classificate come critiche.
3. soluzioni anti-ransomware: Questi programmi monitorano i comportamenti sospetti, spesso causati da ransomware.
sono mostrati. Quando viene rilevato un comportamento di questo tipo, il programma può intervenire per bloccare la crittografia prima che si verifichino ulteriori danni.
4. educare: È fondamentale educare gli utenti a rilevare ed evitare potenziali attacchi ransomware. Molti attacchi informatici iniziano con un'e-mail mirata che non contiene nemmeno malware, ma un messaggio falso che induce l'utente a fare clic su un link dannoso. La formazione degli utenti è spesso considerata una delle misure difensive più importanti che un'azienda possa adottare.
Gli attacchi di ransomware non iniziano con il ransomware: i professionisti della sicurezza devono tenere d'occhio le infezioni di Trickbot, Emotet, Dridex e CobaltStrik sulle loro reti e rimuoverle utilizzando soluzioni di threat hunting, perché aprono la porta alle infezioni di ransomware.
Fonte: Software Check Point