Nel 2019, WannaCry si è confermata una delle famiglie di ransomware più diffuse e che quasi un terzo (30%) delle sue vittime sono aziende. Per evitare un attacco ransomware e prevenire una catastrofe analoga a quella causata da WannaCry Kaspersky e Interpol, lo scorso 12 maggio, in occasione dell’Anti Ransomware Day, hanno invitato le aziende ad adottare misure di protezione adeguate e a pianificare frequenti backup.
Il ransomware è diventato una sfida difficile per molte aziende. Anche se non si tratta di una minaccia tra le più avanzate a livello tecnico, permette agli attaccanti di mettere in stallo le operazioni commerciali e di estorcere denaro. Nel 2019, a causa degli incidenti causati da ransomware, le aziende hanno subito perdite in media per 1,46 milioni di dollari (secondo il report di Kaspersky “IT security economics in 2019: How business are losing money and saving costs amid cyberattacks”, basato su un’indagine condotta a livello mondiale nel 2019 tra i responsabili delle decisioni aziendali in ambito IT) un costo che include anche i costi per i tempi di inattività, le multe e i danni alla reputazione.
WannaCry è passato alla storia come l’attacco più famoso nel suo genere. Per diffondersi ha sfruttato un’arma informatica avanzata chiamata EternalBlue. Si tratta di un exploit complesso ed efficace utilizzato per colpire le vulnerabilità di Windows prive di patch. Sfruttando questa strategia di attacco, WannaCry ha causato una vera e propria cyber-epidemia a livello mondiale.
Più nello specifico, secondo quanto emerso dalla ricerca di Kaspersky, nel 2019 ben 767.907 utenti sono stati attaccati dagli encryptor e quasi un terzo di questi (30%) erano dipendenti aziendali.
Tra tutte le famiglie di encryption, WannaCry rimane quella più utilizzata: nel 2019 ha attaccato 164.433 utenti costituendo il 21% di tutti gli attacchi rilevati.
A seguire, tra le altre famiglie di ransomware più sfruttate, con un margine significativo, troviamo GandCrab (11%) e Stop (4%). Il primo è un noto ransomware-as-a-service, sviluppato da un team di criminali e, già da anni, reso disponibile ad una community più ampia.
La campagna di ransomware Stop è stata invece diffusa attraverso software e siti web compromessi, oltre che attraverso adware.
“A seguito dell’esplosione dell’epidemia WannaCry, i criminali informatici, per sferrare altri attacchi ransomware, hanno diversificato i loro vettori di attacco. Gli attacchi sono diventati più mirati e l’attenzione è stata rivolta ad aziende, organizzazioni governative e strutture sanitarie, tutti settori in cui le informazioni sono critiche e le probabilità di ottenere un riscatto più alto sono quindi più elevate. Durante la pandemia di Covid-19, le organizzazioni più vulnerabili sono state gli ospedali che spesso non hanno potuto accedere alle attrezzature mediche necessarie e alle informazioni sui pazienti. Il Global Cybercrime Programme di Interpol ha aiutato le organizzazioni colpite a riorganizzarsi dopo gli attacchi e a prevenire ulteriori danni. Attualmente, stiamo lavorando a stretto contatto con i nostri Paesi membri e i partner privati, tra cui Kaspersky, per sensibilizzare l’opinione pubblica sui temi di mitigazione e prevenzione delle minacce informatiche, attraverso una campagna di sensibilizzazione globale che si sta sviluppando nel mese di maggio 2020. Questa settimana, per sostenere l’Anti Ransomware Day, la campagna che incoraggia il grande pubblico a mantenere una corretta cyberhygiene e promuove il concetto #WashYourCyberHands, si concentrerà proprio sulla sensibilizzazione degli utenti contro i ransomware”, ha dichiarato Craig Jones, Direttore della Direzione Cybercrime di Interpol.
“L’epidemia WannaCry ha causato alle aziende perdite di fatturato per milioni di dollari, dovute principalmente a tempi di inattività o ai costi legati ai danni alla reputazione, dimostrando ciò che accade quando un ransomware viene diffuso su vasta scala. Il ransomware rimane una minaccia più che concreta, soprattutto tenendo conto che molti utenti non sono informati e potrebbero cadere facilmente nella trappola dei criminali informatici. Per rendere meno efficace e meno critica questa minaccia è importante adottare un corretto approccio alla sicurezza e misure di protezione adeguate. Ci auguriamo che il 12 maggio, l’Anti-Ransomware Day, possa segnare il giorno in cui le aziende e gli utenti di tutto il mondo non debbano più confrontarsi con i ransomware”, ha dichiarato Sergey Martsynkyan, Head of B2B Product Marketing di Kaspersky.
Gli esperti di Kaspersky consigliano alle aziende di adottare le seguenti misure antiransomware.
In primo luogo, istruire i dipendenti al rispetto di semplici regole che possono aiutare l’azienda ad evitare incidenti provocati dai ransomware. I corsi di formazione dedicati, come quelli forniti dalla piattaforma Kaspersky Automated Security Awareness Platform, sono un valido strumento di
supporto.
Quindi, fare sempre una copia di backup dei file, in modo da poterli sostituire in caso di perdita causata, ad esempio, da un malware o da un dispositivo danneggiato. Per un maggiore livello di sicurezza, memorizzare i dati anche nel cloud storage, oltre che su un dispositivo esterno, assicurandosi di potervi accedere rapidamente in caso di emergenza.
Poi, installare tutti gli aggiornamenti di sicurezza non appena disponibili sia per il sistema operativo sia per il software per eliminare le vulnerabilità recenti.
La versione recentemente aggiornata di Kaspersky Anti-Ransomware Tool for Business contiene una funzione di prevenzione degli exploit che impedisce che i ransomware e altre minacce sfruttino le vulnerabilità del software e delle applicazioni. È utile anche per i clienti che utilizzano Windows 7: dalla fine del supporto per Windows 7, lo sviluppatore non predispone più le patch per le nuove vulnerabilità di questo sistema. È disponibile una prova gratuita della soluzione.
È, infine, importante tenere a mente che il riscatto è un reato penale. Se un dispositivo aziendale venisse criptato, il riscatto richiesto non deve essere pagato. Ciò che va fatto è inviare una segnalazione alle forze dell’ordine locali e cercare un decryptor su internet (ne esistono anche di gratuiti).