Attacchi Ransom ad aziende Italiane

 

Proto: N010715.

Con la presente Email Yoroi desidera informarLa che durante le nostre attività abbiamo rilevato nuovi modus-operandi in uso per attacchi Ransom nel panorama italiano. Tale modalità di attacco risulta pericolosa allo stesso modo dei più noti attacchi Ransomware tradizionali, tuttavia esistono differenze sostanziali.

 

Benché attacchi Ransom e Ransomware condividano stessi obiettivi, ovvero l’ottenimento di un riscatto in cambio del rilascio di asset informatici e dati proprietari, la loro principale differenza risiede sia nei bersagli che negli strumenti utilizzati. La seguente tabella illustra le differenze tra gli attacchi Ransomware già noti e consolidati all’interno del panorama Cyber italiano e gli attacchi Ransom che prendono di mira organizzazioni sul suolo nazionale.

 

Attacco Ransomware

Attacco Ransom

Obiettivo

Riscatto in valuta Bitcoin.

Riscatto in valuta Bitcoin.

Bersagli

Client di rete, PC, laptop, utenti aziendali e privati.

Server di rete, utenze corporate.

Strumenti

Utilizzo di Malware/Ransomware.

Utilizzo di strumenti manuali proprietari, eliminati al termine dell’utilizzo.

Vettori d’attacco

Campagne SPAM malevole, Attacchi DriveBy, Phishing.

Accessi abusivi a server di rete dell’organizzazione.

Capacità di Cifratura

Cifratura automatica di tutti i file raggiungibili dalla vittima infetta (file di rete e cartelle condivise accessibili dalla vittima).

Cifratura selettiva di risorse importanti direttamente su File Server, capacità di eliminazione di backup e copie direttamente sul server. Uso di tecniche anti-recupero avanzate.

Grado di Automazione

Automatico.

Manuale o Semi-Automatizzato.

Esempio Riscatti

300-1000 EUR

4000-5000 EUR

In particolare Yoroi registra lo sfruttamento di credenziali di autenticazione deboli o compromesse per l’accesso abusivo a macchine server attraverso servizi Terminal Server esposti su internet. Per questa ragione Yoroi Srl suggerisce di effettuare verifiche sullo stato di sicurezza dei servizi esposti su internet attraverso appositi test come Vulnerability Assessment o Penetration Test al fine di aumentare la consapevolezza sullo stato di sicurezza delle infrastrutture esposte alla rete, minimizzando così i rischi di compromissioni e accessi abusivi che possono sfociare in attacchi di tipo Ransom in grado di incidere pesantemente sulle attività aziendali, sino al potenziale blocco.

 

Qualora non ne foste già muniti, Yoroi suggerisce anche di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall e Next Generation IPS (Intrusion Prevention System) per rilevare e bloccare tentativi di attacco.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati server. Yoroi consiglia di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso. Yoroi consiglia l’utilizzo di un team di esperti per salvaguardare la sicurezza del perimetro Cyber.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index