Cybercrime nelle aziende italiane: il “dietro le quinte” dell’ingresso di un ransomware in azienda
Gli attacchi ransomware sono diventati uno dei principali rischi per le aziende di qualsiasi dimensione: si tratta di un tipo di attacco informatico che consiste nel bloccare l’accesso ai dati aziendali, richiedendo poi un riscatto per riaverne il controllo.
Cynet, azienda israeliana leader nel rilevamento e nella gestione delle minacce avanzate nell’ambito della sicurezza informatica, ha stilato la classifica delle cinque modalità più insolite con cui una cybergang potrebbe riuscire a introdurre un ransomware in un’azienda.
Nella maggior parte dei casi, gli attacchi ransomware avvengono tramite e-mail di phishing che, grazie anche all’impiego di modelli GPT, sono diventate sempre più sofisticate nella forma, rendendo l’utente incapace di distinguere un mail vera da un potenziale attacco.
Per questo motivo, secondo quanto emerso da Cynet, uno dei principali fattori a cui le aziende devono prestare attenzione è proprio la crescita del numero di tecniche implementate dalle gang di cyber criminali per entrare in un’azienda, che nel tempo si sono evolute fino a diventare sempre più inusuali ma molto efficaci.
I metodi con cui un ransomware può entrare in azienda: la classifica di Cynet
Secondo l’analisi di Cynet, il modo statisticamente più comune con cui i cybercriminali possono innescare un attacco ransomware nelle aziende è l’accesso non autorizzato tramite VPN previo furto di informazioni tramite Infostealer, malware silenti in grado di rubare dati personali senza fare alcuna azione sulla macchina, e pensati appositamente per la rivendita di informazioni in ottica di un attacco futuro.
Le Virtual Private Networks sono reti utilizzate per proteggere la comunicazione tra dispositivi remoti e la rete aziendale. Tuttavia, nel 90% dei casi, i ransomware riescono a infiltrarsi attraverso VPN compromesse. Ciò avviene quando le credenziali di accesso vengono rubate dai cybercriminali, che poi utilizzano queste informazioni per accedere alla rete aziendale, bloccare i sistemi e chiedere il riscatto.
Successivamente, troviamo lo sfruttamento delle vulnerabilità dei firewall o di altri dispositivi esposti su Internet. Una volta ottenuto l’accesso, l’attaccante è da considerarsi parte integrante di quella rete con tutti i danni che ne conseguono: avrà piena visibilità sulla LAN (local area network) e potrà muoversi lateralmente per compiere le sue malefatte.
In particolare, se un attaccante riesce a sfruttare con successo la debolezza nei firewall, può accedere a dati di configurazione sensibili, estrarre credenziali e altro ancora.
Seguono le chiavette USB. Queste ultime vengono molto spesso smarrite o rubate, e se utilizzate incautamente possono consentire l’infiltrazione di ransomware nelle reti aziendali. Per esempio, anche un dipendente che inserisce una chiavetta USB infetta nel suo computer può innescare involontariamente un attacco ransomware all’interno dell’azienda.
Con il termine vending machine intendiamo quell’insieme di distributori automatici che erogano prodotti e servizi su richiesta e previo pagamento. Si tratta di macchinari che sono sempre più spesso dotati di connessione a internet per semplificare le operazioni e il monitoraggio. Tuttavia, se queste macchine vengono erroneamente connesse a una rete aziendale non protetta, i cybercriminali riescono ad accedervi e ad installare il ransomware. I dipendenti dell’azienda, ignari di quanto stia accadendo, continuano a utilizzare normalmente la macchina automatica senza accorgersi di nulla, esponendo le informazioni sensibili a un rischio sempre maggiore.
Infine, un’altra particolare modalità di ingresso di un ransomware in azienda è tramite un Raspberry Pi. L’evoluzione della tecnologia ha semplificato ulteriormente l’impresa dei criminali della rete rendendola persino più economica: non servono più computer portatili ma basta un ancor più economico microcomputer alimentato a batteria, molto più piccolo di un laptop e ben più comodo da portare sul luogo del crimine.
“Le minacce informatiche mutano di giorno in giorno e le aziende specializzate in cybersecurity devono continuamente studiare i cambiamenti tecnologici degli attacchi informatici per riuscire a sviluppare soluzioni di difesa efficaci” commenta Marco Lucchina, Channel Manager Italia, Spagna e Portogallo di Cynet. “Per difendere la propria azienda è quindi necessario adottare sonde che raccolgono tutte le telemetrie, utilizzare l’intelligenza artificiale per analizzarle e impiegare analisti che possano interpretare i risultati e adottare migliorie continue. Infine, ma non di minore importanza, serve dotarsi di soluzioni di cybersecurity che sfruttano le ultime tecnologie anti-ransomware e l’analisi comportamentale, aggiornare continuamente i sistemi e avvalersi di un partner o di un professionista del settore per una consulenza strategica”.
Foto di Muha Ajjan su Unsplash