2022 Arpitech Limited Tutti i diritti riservati. Marchi, nomi e loghi delle società menzionate appartengono ai rispettivi proprietari.include immagini soggete a copyright
Praivacy and Policy
Informativa sui Cookie
pagare (e non pagare) il riscatto.
Il ransomware è un codice dannoso che rende i file e / o l'ambiente operativo di un endpoint non disponibili, sia esso un dispositivo dell'utente finale o un server, fino a quando non viene effettuato un pagamento al criminale informatico.
I criminali informatici utilizzano il ransomware per assumere il controllo di dispositivi o sistemi per estorcere denaro. Una volta che il malware è stato installato, l'hacker controlla e ti blocca fino a quando non paghi un riscatto. Nelle prime versioni di ransomware, gli aggressori hanno affermato che dopo aver pagato il riscatto, si otterrebbe una chiave di decrittazione per riprendere il controllo del computer.
Il ransomware si è evoluto e ora ce ne sono di vari tipi. Alcuni ransomware crittografano solo i file mentre altri che distruggono i file system. Alcuni criminali informatici sono motivati esclusivamente finanziariamente e di fatto rimetteranno in funzione i sistemi dopo il pagamento. Altri tipi di aggressori non sono e non ripristineranno le operazioni dopo il pagamento per dispetto o, forse, per motivi politici o di altro tipo.
Attualmente, molte campagne ransomware impiegano più misure e metodi per ottenere il pagamento. Oltre a detenere sistemi per il riscatto, alcuni criminali informatici rubano dati e minacciano di rilasciarli se il riscatto non viene pagato. Altri aggressori arrivano persino a contattare i clienti di cui hanno rubato i dati nel tentativo di riscuotere il pagamento da loro.
Gli attacchi ransomware hanno paralizzato intere organizzazioni per ore, giorni o più. L'ultima classe di minacce ransomware richiede molto più di un semplice backup sicuro e un processo di ripristino proattivo.
Inizialmente, la protezione contro il ransomware con un backup sicuro e un processo di ripristino proattivo erano spesso sufficienti per togliere un'organizzazione dai guai. Tuttavia, le ultime versioni di ransomware richiedono soluzioni di sicurezza più complete.
Ci sono alcune buone notizie: gli attacchi ransomware sofisticati e multistadio di oggi offrono alle potenziali vittime / organizzazioni molteplici opportunità di fermare un attacco ransomware prima che rubi dati o blocchi computer / file.
Naturalmente è l'ideale per impedire a un utente malintenzionato di prendere piede per iniziare la propria missione, ma anche se entra, identificare le prime fasi come la scoperta della rete, le comunicazioni di comando e controllo, il movimento laterale, la raccolta e la messa in scena dei dati, l'esfiltrazione e la crittografia sono fondamentali. Vedi sotto per suggerimenti sulla prevenzione del ransomware e su come rispondere al meglio a un attacco ransomware.
Se un link è in un'e-mail di spam o su un sito web strano, dovresti evitarlo. Spesso, gli hacker diffondono ransomware attraverso un collegamento dannoso che avvia un download di malware. Una volta che il malware è sul tuo computer, può crittografare i tuoi dati, tenendoli in ostaggio, consentendo solo a qualcuno con una chiave di decrittazione di accedervi.
Tuttavia, il malware deve prima arrivare sul tuo computer e il metodo più popolare per diffondere ransomware è attraverso un collegamento dannoso. Se un link non è stato verificato, è meglio lasciarlo stare.
Come fermare il virus ransomware o altro malware inizia con la scansione delle comunicazioni e-mail. Gli strumenti di scansione delle e-mail possono spesso rilevare software dannoso. Dopo che lo scanner ha rilevato malware, l'e-mail può essere scartata, senza mai raggiungere la posta in arrivo.
In genere, il malware nell'e-mail verrà incorporato in un allegato o all'interno di un file all'interno del corpo dell'e-mail. Gli hacker sono noti per inserire immagini che sembrano innocenti, ma quando si fa clic sull'immagine, installa ransomware sul computer. La scansione di e-mail con questo tipo di file può impedire al dispositivo o ad altri utenti della rete di essere infettati.
I firewall possono essere una buona soluzione mentre capisci come fermare gli attacchi ransomware. I firewall scansionano il traffico proveniente da entrambe le parti, esaminandolo alla ricerca di malware e altre minacce. In questo modo, un
può accertare da dove proviene un file, dove è diretto e altre informazioni su come ha viaggiato e quindi utilizzarlo per sapere se è probabile che contenga ransomware.
Inoltre, un
firewall di nuova generazione (NGFW)
può utilizzare
l'ispezione approfondita dei pacchetti (DPI)
per esaminare il contenuto dei dati stessi, cercando ransomware e quindi scartando qualsiasi file che lo contiene.
Con
, i singoli endpoint sono protetti dalle minacce. Esistono alcuni tipi di traffico che sono più inclini a trasportare minacce e la protezione degli endpoint può impedire al dispositivo di interagire con questo tipo di dati. Inoltre, gli hacker possono utilizzare applicazioni dannose per infettare gli endpoint con ransomware. La protezione degli endpoint impedirà agli endpoint designati di eseguire questo tipo di applicazioni.
È comune per gli hacker inserire malware su un sito Web e quindi utilizzare contenuti o
per invogliare un utente a fare clic all'interno del sito. L'ingegneria sociale esercita pressioni sull'utente, in genere attraverso la paura, per convincerlo a intraprendere l'azione desiderata, in questo caso, facendo clic su un collegamento dannoso.
In molti casi, il collegamento stesso può sembrare innocente. Se non si ha familiarità con il sito o se il suo URL (Uniform Resource Locator) sembra sospetto anche se sembra essere un sito attendibile, è necessario evitare. I criminali informatici spesso creano siti falsi che sembrano affidabili. Ricontrolla sempre l'URL di un sito prima di scaricare qualsiasi cosa da esso.
Gli aggressori ransomware amano sfruttare gli utenti che dipendono da determinati dati per gestire le loro organizzazioni. Spesso, poiché i dati svolgono un ruolo fondamentale nelle operazioni quotidiane, una vittima può ritenere che abbia più senso
il riscatto in modo da poter riottenere l'accesso ai propri dati. Puoi evitare questa tentazione eseguendo regolarmente il backup dei tuoi dati importanti.
Se viene eseguito il backup dei dati su un dispositivo o una posizione a cui non è necessario accedere il computer, è sufficiente ripristinare i dati necessari se un attacco ha esito positivo. È importante assicurarsi di eseguire frequentemente il backup di tutti i dati critici perché, se passa abbastanza tempo, i dati in uso potrebbero essere insufficienti per supportare la continuità aziendale.
è comodo perché è facile da accedere, spesso senza password. Sfortunatamente, è altrettanto facile per gli hacker utilizzare il Wi-Fi pubblico per diffondere ransomware. Ogni volta che ci si trova su una rete Wi-Fi pubblica, è necessario utilizzare una
Una VPN crittografa i dati che fluiscono da e verso il tuo dispositivo mentre sei connesso a Internet. In effetti, una VPN forma un "tunnel" attraverso il quale passano i tuoi dati. Per accedere al tunnel, un utente deve disporre di una chiave di crittografia. Inoltre, per leggere i dati che attraversano il tunnel, un hacker dovrebbe decrittografarli. Per bloccare il ransomware, una VPN impedisce agli estranei di intrufolarsi nella tua connessione e inserire malware sul tuo percorso o sul tuo computer.
Il software di sicurezza può essere un potente strumento nella prevenzione del ransomware. Pertanto, è spesso elencato tra le migliori pratiche per prevenire il ransomware. Il software di sicurezza controlla i file che entrano nel tuo computer da Internet. Quando è stato rilevato un file dannoso, il software impedisce che entri nel computer.
Il software di sicurezza utilizza i profili di minacce note e tipi di file dannosi per capire quali possono essere pericolosi per il computer. Per rimanere aggiornati, il software di sicurezza viene spesso fornito con aggiornamenti regolari gratuiti. Questi possono essere installati automaticamente dal provider. Quando il provider viene a conoscenza di nuove minacce, i suoi profili vengono inclusi nell'aggiornamento. Finché ti assicuri che il tuo software venga aggiornato periodicamente, avrai la migliore protezione che il software può fornire.
Un dispositivo USB (Universal Serial Bus) può essere utilizzato per archiviare un file dannoso che potrebbe contenere ransomware. Sia che l'USB abbia un file eseguibile su di esso che può infettare il computer o il file viene avviato automaticamente quando si inserisce il dispositivo USB, può essere necessario pochissimo tempo per un USB apparentemente benevolo per catturare il computer.
I criminali informatici possono lasciare un dispositivo USB in giro, sapendo che alcune persone potrebbero essere tentate di prenderlo e inserirlo nei loro computer. Il criminale può anche stampare un'etichetta apparentemente innocente su di esso, facendo sembrare il dispositivo un regalo gratuito da parte di un'azienda rispettabile. Se trovi un dispositivo USB, non inserirlo nel computer. Le USB più sicure sono quelle acquistate da un negozio e sigillate all'interno di imballaggi intatti.
Con i giusti dati personali, un criminale informatico può impostare una varietà di trappole per ottenere ransomware sul tuo computer o indurti a installarlo sul tuo dispositivo da solo. Le persone spesso usano le stesse password per i loro computer come fanno per siti Web e account. Un criminale informatico può utilizzare i tuoi dati personali per accedere a un account e quindi utilizzare quella password per entrare nel tuo computer e installare ransomware.
Se eviti di fornire dati personali, rendi molto più difficile per un utente malintenzionato imporre questo tipo di attacco, in particolare perché dovrebbero trovare un altro modo per capire le tue password o altre informazioni sull'account. I dati personali includono anche i nomi di persone, animali domestici o luoghi che utilizzi come risposte alle domande di sicurezza per i tuoi account.
Solo perché un attacco ransomware è arrivato sul tuo computer o sulla tua rete non significa che non ci sia nulla che tu possa fare per migliorare la situazione. Spesso è possibile limitare i danni del ransomware intervenendo rapidamente.
Isolare il ransomware è il primo passo che dovresti fare. Ciò può prevenire attacchi est-ovest, in cui il ransomware si diffonde da un dispositivo all'altro attraverso le loro connessioni di rete. Dovresti prima spegnere il sistema che è stato infettato. Spegnerlo impedisce che venga utilizzato dal malware per diffondere ulteriormente il ransomware.
È inoltre necessario scollegare tutti i cavi di rete collegati al dispositivo. Ciò include tutto ciò che collega il dispositivo infetto alla rete stessa o ai dispositivi sulla rete. Ad esempio, il dispositivo potrebbe essere connesso a una stampante
collegata alla rete locale (LAN).
Scollegare la stampante può impedire che venga utilizzata per diffondere il ransomware.
Oltre ai cavi hardware, dovresti anche spegnere il Wi-Fi che serve l'area infetta dal ransomware. La connessione Wi-Fi può essere utilizzata come canale per diffondere il ransomware ad altri dispositivi collegati alla stessa rete Wi-Fi. Chiuderlo può fermare questo tipo di diffusione est-ovest prima che inizi. Tuttavia, se è già iniziato nel momento in cui ti rendi conto che il computer è stato infettato, tagliare il Wi-Fi può impedire che si diffonda ulteriormente.
Anche i dispositivi di archiviazione collegati alla rete devono essere immediatamente disconnessi. Il ransomware può potenzialmente trovare il dispositivo di archiviazione e quindi infettarlo. In tal caso, qualsiasi dispositivo che si connette al sistema di archiviazione potrebbe essere infettato. Questo può accadere immediatamente o ad un certo punto in futuro. Pertanto, se sei stato vittima di un attacco ransomware, è importante presumere che ogni dispositivo di archiviazione sia stato infettato e pulirli prima di consentire a qualsiasi dispositivo della rete di collegarsi a loro.
Il prossimo passo è accertare il tipo di malware utilizzato per infettare il sistema con ransomware. In alcuni casi, conoscere il
utilizzato può aiutare un team di risposta agli incidenti a trovare una soluzione. Le chiavi di decrittazione di alcuni attacchi ransomware sono già note e conoscere il tipo di malware utilizzato può aiutare il team di risposta a capire se la chiave di decrittazione è già disponibile. Se lo è, possono usarlo per sbloccare il tuo computer, aggirando l'obiettivo dell'attaccante.
Inoltre, il tipo di malware può aiutare a determinare altri modi di affrontare la minaccia. Per comprendere le opzioni di correzione, il team IT o il consulente esterno dovrà sapere con quale tipo di malware hanno a che fare, rendendo l'identificazione precoce un passaggio critico.
Può essere ovvio che è necessario rimuovere il malware, ma la necessità di questo passaggio è meno importante della sua tempistica. È importante provare a rimuovere il malware solo dopo che sono stati eseguiti i passaggi precedenti, l'isolamento e l'identificazione. Se si tenta di rimuovere il malware prima di isolarlo, potrebbe utilizzare il tempo necessario per disinstallarlo per diffondersi ad altri dispositivi connessi alla rete.
Inoltre, se rimuovi il malware prima che possa essere identificato, potresti perdere l'opportunità di raccogliere informazioni su di esso che potrebbero essere utili al tuo team di risposta agli incidenti, ai consulenti esterni o alle forze dell'ordine.
Dopo aver eseguito i passaggi precedenti, la rimozione del malware può impedirgli di accedere ad altri dispositivi. Anche se il computer non è più connesso alla rete, il malware potrebbe essere diffuso in un secondo momento se non viene rimosso.
Non appena l'attacco è stato contenuto e il computer è stato protetto e pulito, è necessario iniziare a recuperare i dati. Ciò può contribuire a garantire la continuità aziendale e migliorare la resilienza, in particolare se è stato eseguito il backup dei dati di recente.
Il successo del recupero dei dati dipende da un programma di recupero dati messo in atto prima dell'attacco. Se il backup dei dati viene eseguito più volte al giorno, ad esempio, un attacco ti farà tornare indietro di poche ore, nel peggiore dei casi. È possibile utilizzare servizi basati su cloud o hardware locale per eseguire il backup dei dati, purché sia possibile accedere a qualsiasi servizio utilizzato da un dispositivo diverso. Garantire l'accesso potrebbe richiedere l'archiviazione sicura delle informazioni di accesso anziché semplicemente sui dispositivi che accedono allo storage di backup.
Quando un attacco ransomware ha preso piede, può essere allettante pagare il riscatto. Un utente può pensare che sta perdendo più denaro di quanto l'attaccante stia chiedendo con il passare del tempo. Ad esempio, se i sistemi critici vengono chiusi e i clienti non possono effettuare acquisti, le perdite potrebbero facilmente arrivare a migliaia. Se l'aggressore sta chiedendo qualche centinaio di dollari, potresti ritenere che pagare sarebbe la scelta prudente. Tuttavia, questo non è il caso.
Simile ai dirottatori e ai terroristi che tengono prigionieri gli esseri umani, gli hacker dipendono dagli attacchi ransomware che estorcono con successo le vittime. Se un numero sufficiente di utenti si rifiuta di pagare il riscatto, gli aggressori possono pensarci due volte prima di utilizzare il ransomware, investendo le loro energie in un'impresa potenzialmente più redditizia. Pertanto, quando ti rifiuti di pagare il riscatto, stai aiutando altri che potrebbero essere obiettivi in futuro.
Inoltre, se paghi una volta, gli aggressori sanno che è probabile che tu paghi di nuovo di fronte a una situazione simile. Quindi, quando paghi, potresti identificarti come un obiettivo potenzialmente redditizio per attacchi futuri.
In generale, non si dovrebbe mai pagare il riscatto. Pagare può dire all'attaccante che può farla franca estorcendoti, facendogli tornare per un secondo attacco in seguito. Danneggia anche gli altri in quanto invia un messaggio alla comunità degli hacker che il ransomware è ancora un
efficace. Inoltre, tieni presente che una volta pagato il riscatto, non vi è alcuna garanzia che l'attaccante ti permetterà di tornare sul tuo computer.
Tuttavia, dire di no può essere più facile a dirsi che a farsi, specialmente quando si è senza un adeguato piano di backup o resilienza. Mentre non è mai consigliabile pagare il riscatto, potrebbe essere necessario soppesare le conseguenze prima di prendere una decisione finale. Potresti prendere in considerazione i seguenti fattori:
In che modo Fortinet può aiutarti?
Fortinet Security Fabric offre una vasta gamma di prodotti e servizi che possono essere implementati lungo la superficie di attacco digitale e lungo la cyber kill chain al fine di ridurre il rischio e il potenziale impatto del ransomware. Questi possono aiutare le organizzazioni a prepararsi e prevenire gli incidenti ransomware, rilevarli e rispondere a loro in caso di necessità e aumentare i team interni in base alle esigenze.
L'attuale esposizione di ogni organizzazione, la propensione al rischio, la situazione delle licenze, le competenze di sicurezza e altri fattori determineranno quali prodotti e servizi sono più appropriati in un dato momento, ma le opzioni includono:
Il ransomware è un codice dannoso che rende i file e / o l'ambiente operativo di un endpoint non disponibili, sia esso un dispositivo dell'utente finale o un server, fino a quando non viene effettuato un pagamento al criminale informatico.
I criminali informatici utilizzano il ransomware per assumere il controllo di dispositivi o sistemi per estorcere denaro. L'hacker ti controlla e ti blocca fino a quando non paghi un riscatto.
I criminali informatici utilizzano il ransomware per assumere il controllo di dispositivi o sistemi per estorcere denaro. L'hacker ti controlla e ti blocca fino a quando non paghi un riscatto.
2022 Arpitech Limited Tutti i diritti riservati. Marchi, nomi e loghi delle società menzionate appartengono ai rispettivi proprietari.include immagini soggete a copyright
Praivacy and Policy
Informativa sui Cookie