Estorsione e Ransomware
Gli scenari di hacking sono in aumento.
L’applicazione della tecnica della double-extortion o doppia estorsione, nota anche come pay-now-or-get-breached (paga ora o sarai violato), è emersa largamente tra gli scenari di hacking lo scorso anno.
Un attacco ransomware a doppia estorsione è un attacco informatico in cui i cyber criminali estraggono i dati sensibili di una vittima oltre a crittografarli. Ciò offre al criminale una leva aggiuntiva per riscuotere un riscatto.
Alcuni attacchi del Maggio di quest’anno hanno portato la tecnica di estorsione online all’attenzione delle autorità in tutto il mondo.
Si è concluso che il ceppo di ransomware Conti è stato il più costoso in termini di pagamenti effettuati dalle vittime nel mese di Gennaio 2022.
Conti, un programma ransomware-as-a-service (RaaS), è uno dei gruppi di ransomware più noti ed è stato responsabile dell’infezione di centinaia di server con malware al fine di ottenere dati aziendali o bloccare sistemi aziendali. La gravità dei danni sta anche nel fatto che i più colpiti sono stati ospedali e soggetti che orbitano nel mondo della sanità, grandi aziende, agenzie governative e altri pilastri sociali in tutto il mondo.
Quindi, quanto è diverso un attacco ransomware Conti dai famigerati WannaCry o NotPetya?
Mentre altre varianti di ransomware possono diffondersi velocemente e crittografare i file in brevi intervalli di tempo, il ransomware Conti ha dimostrato una velocità senza pari con cui può accedere ai sistemi delle vittime.
Come proteggersi
Data la recente ondata di violazioni dei dati e nuovi scenari di hacking, è estremamente difficile per le organizzazioni essere in grado di proteggersi da ogni tentativo di attacco e proteggere di conseguenza dipendenti, clienti, ecc.
Che si tratti di eseguire una scansione delle porte o di decifrare password, vulnerabilità delle applicazioni, e-mail di phishing o campagne di ransomware, ogni hacker ha ragioni diverse per infiltrarsi nei sistemi di un’organizzazione, spesso passando da reti di privati cittadini.
È evidente il motivo per cui alcuni individui e aziende sono presi maggiormente di mira: le loro debolezze software o hardware. Non solo grazie alla pianificazione e alle barriere messe in atto alcune organizzazioni non avvertono le conseguenze di un attacco, ma sono un target più complesso e quindi spesso scartato a priori.
Avvalersi del supporto di esperti di sicurezza come Security Architect srl aiuta a difendersi e perseguire una strategia di riduzione degli attacchi, che significa ridurre sia la probabilità che l’impatto nel diventare vittime di un attacco informatico.
Ma quali caratteristiche possiedono le aziende che tendono ad attirare gli attacchi informatici e perché gli hacker le prendono di mira?
E se sapessi che la tua azienda è un probabile obiettivo, cercheresti di proteggere le tue informazioni?
Cosa motiva un hacker?
Quando i criminali informatici hackerano, lo fanno per diversi motivi. Abbiamo elencato le 4 motivazioni più comuni dietro l’hacking.
motivazione economica
Una delle motivazioni più comuni per irrompere in un sistema, come ci si poteva aspettare, è il guadagno. Molti hacker potrebbero tentare di rubare le tue password, le tue informazioni sensibili o conti bancari per sfruttare i tuoi guadagni.
Le informazioni su terzi (dipendenti, clienti, fornitori) diventano ulteriore fonte di guadagno. Potrebbero, infatti, utilizzare questi dati in diversi modi, ricattandoti o addirittura vendendoli sul mercato nero o sul deep web. In Italia gli attacchi per estrazione di dati sono i più diffusi scenari di hacking.
motivazione ideologica: Hacktivism
Alcune persone guardano all’hacking per avviare rivoluzioni politiche e sociali, per rendere manifeste le proprie opinioni, compiere gesti simbolici o creare consapevolezza su determinati problemi. Tuttavia, possono prendere di mira chiunque vogliano e spesso tra i vari target vi sono agenzie governative, amministrazioni pubbliche, ecc…
Le armi principali degli hacktivist includono gli strumenti Distributed Denial of Service (DDoS) e gli scanner di vulnerabilità.
Un business continuity plan sarebbe un passo necessario per questo tipo di organizzazioni.
Minacce interne
Le minacce interne possono provenire da chiunque, e adesso sono viste come una delle maggiori minacce alla sicurezza informatica delle organizzazioni. Molte minacce possono provenire dai dipendenti, fornitori, appaltatori o partner, facendoti sentire come se stessi camminando su gusci d’uovo: qualcuno all’interno della tua organizzazione sta aiutando una minaccia a diventare una realtà.
Le imprese hanno i loro principali sistemi di protezione; ma i firewall e i programmi antivirus vengono facilmente aggirati da chiunque abbia accesso alla tua rete. Se chiunque è in possesso delle chiavi di sicurezza più che un’evenienza, quanto descritto, diventa una certezza. Può accadere per un errore (apertura mail di phishing, social engineering, ecc…), o può essere volontario… in ogni caso è necessario implementare misure di controllo, e regole di privilegi; per prevenire il ripetersi di una situazione catastrofica come l’hacking di Sony nel 2014 (perpetuato proprio da un dipendente).
Rappresaglia/vendetta/ritorsione
Un competitor, un ex-dipendente scontento, un ex-fornitore, ecc… che cerca un modo per vendicarsi o semplicemente per rallentare il tuo lavoro, può servirsi di hacker o di programmi di hacking-as-a-service.
Se hanno accesso al tuo sistema, puoi star certo che cercheranno di trovare una modalità possibile per utilizzare il loro status privilegiato per avvantaggiarsi nell’entrare nella tua rete. Un modo per farlo è accedere a database e account che richiedono login e password. In altri casi, potrebbero vendere informazioni vitali, fare spionaggio industriale in cambio di denaro e opportunità di lavoro più favorevoli con l’unico scopo di indebolire l’infrastruttura della tua organizzazione.
Vettori di attacco
I criminali informatici utilizzano un’ampia gamma di vettori di attacco in modo da potersi infiltrare nel sistema o prenderne il controllo utilizzando attacchi ransomware come spoofing di indirizzi IP, phishing, allegati e-mail e crittografia del disco rigido…
Phishing
Il modo più comune per diffondere ransomware è tramite e-mail di phishing. Gli hacker inviano e-mail fasulle accuratamente predisposte per indurre una vittima ad aprire un allegato o a fare clic su un collegamento contenente software dannoso.
Esistono molti formati di file diversi in cui il malware può entrare. Ad esempio, potrebbe essere in un PDF, BMP, MOV o DOC o, come dicevamo, un link ad un sito creato appositamente.
Una volta che gli hacker prendono il controllo della rete della tua azienda, il malware ha buone possibilità di entrare nel tuo sistema, crittografare le informazioni e prendere in ostaggio tutti i dati archiviati sui tuoi dispositivi.
Protocollo desktop remoto (RDP)
RDP è l’abbreviazione di Remote Desktop Protocol: consente agli amministratori IT di accedere in remoto alle macchine e configurarle o semplicemente di utilizzare le loro risorse per vari motivi, come la manutenzione.
L’hacker inizia eseguendo una scansione delle porte su macchine collegate ad Internet. Trova una porta 3389 aperta (porta di default SMB), che consente la condivisione di file di base tra computer Windows. Una volta che un hacker ha ottenuto l’accesso alle macchine aperte sulla porta 3389, spesso forza le password fino ad avere accesso come amministratore. E poi, è questione di tempo. Gli hacker possono entrare nella tua macchina e avviare l’operazione di crittografia per bloccare i tuoi dati rallentando o interrompendo di proposito i processi critici.
Attacchi al software senza patch
Un punto debole del software è uno dei metodi di implementazione degli attacchi più sfruttato. In alcuni casi, quando il software non è aggiornato o è obsoleto, gli aggressori possono entrare nelle reti senza dover sfruttare le credenziali.
Ovviamente abbiamo citato solo alcuni ma gli scenari di hacking sono moltissimi e ormai, anche, sempre nuovi.
conclusioni:
I cyber hacker ora possono eseguire analisi e valutazioni tanto quanto i team di sicurezza. Hanno gli stessi strumenti per scansionare un dato sistema, quindi sarebbe utile fare penetration tests sui propri sistemi per prevedere la tenuta degli stessi ai diversi scenari di hacking.
Con gli hacker che stanno diventando più sofisticati, è una priorità assoluta disporre di meccanismi di sicurezza informatica proattivi per mantenere la salute della tua azienda.
Rivolgiti a degli esperti: info@securityarchitect.it
scopri i nostri servizi:
Cybersecurity aziendale: il tuo investimento è davvero efficace?
Le 5 tecniche malware più comuni nel 2024
SIEM, EDR, SOC: sicurezza IT proattiva e conformità NIS2
Cloudflare sventa il più grande attacco DDoS della storia
- Blog (74)
- Case Studies (19)
- Eventi (2)
- News (70)
- Novembre 2024 (2)
- Ottobre 2024 (2)
- Settembre 2024 (3)
- Luglio 2024 (4)
- Giugno 2024 (1)
- Aprile 2024 (2)
- Marzo 2024 (2)
- Febbraio 2024 (3)
- Gennaio 2024 (1)
- Dicembre 2023 (1)
- Novembre 2023 (4)
- Agosto 2023 (2)
- Luglio 2023 (3)
- Maggio 2023 (1)
- Marzo 2023 (3)
- Febbraio 2023 (2)
- Gennaio 2023 (3)
- Dicembre 2022 (2)
- Novembre 2022 (2)
- Ottobre 2022 (4)
- Settembre 2022 (2)
- Agosto 2022 (1)
- Luglio 2022 (4)
- Giugno 2022 (3)
- Maggio 2022 (3)
- Aprile 2022 (3)
- Marzo 2022 (3)
- Febbraio 2022 (3)
- Gennaio 2022 (2)
- Dicembre 2021 (4)
- Novembre 2021 (2)
- Ottobre 2021 (4)
- Settembre 2021 (4)
- Luglio 2021 (2)
- Giugno 2021 (1)
- Maggio 2021 (8)
- Aprile 2021 (27)
- Marzo 2021 (7)
