Check Point Research (CPR) ha registrato a livello globale un aumento del 57% degli attacchi ransomware da inizio anno, dovuto anche alle vulnerabilità di Microsoft Exchange.
Sulla base di questi dati e alla luce degli ultimi avvenimenti, come l’attacco che ha interessato l’oleodotto Colonial Pipeline o la città di Tulsa, emerge come gli attacchi di ransomware siano una delle principali preoccupazioni a livello globale.
Il team di ricerca di Check Point ha notato che da aprile, in media, ogni settimana vengono colpite da ransomware più di 1.000 realtà.
Le cifre parlano aumento del numero di realtà colpite: + 21% nel primo trimestre del 2021 e + 7% da aprile fino ad ora.
Numeri che portano a un aumento complessivo del 102% di aziende colpite da ransomware rispetto all’inizio del 2020.
Nel 2020 i ransomware sono costati alle aziende di tutto il mondo circa 20 miliardi di dollari, quasi il 75% in più rispetto al 2019.
Settori e paesi più colpiti
I settori industriali che stanno attualmente patendo i volumi più elevati di tentativi di attacco ransomware a livello globale sono l’healthcare, con una media di 109 tentativi di attacco per organizzazione ogni settimana, il settore delle utility con 59 attacchi, e l’assicurativo legale, con 34 tentativi.
La zona più colpita dai ransomware è l’Apac. In media le organizzazioni nell’Asia Pacifico vengono attaccate 51 volte a settimana (+14% rispetto inizioanno). Le realtà africane hanno visto il più alto aumento di attacchi, il 34%, da aprile.
In media, un’organizzazione nordamericana subisce 29 attacchi a settimana, le aziende europee e latinoamericane 14 e le aziende africane hanno quattro attacchi settimanali ciascuna.
L’India ha registrato il maggior numero di tentativi di attacco per organizzazione, con una media di 213 attacchi settimanali dall’inizio dell’anno. Seguono l’Argentina con 104 per organizzazione, il Cile con 103, la Francia con 61 e Taiwan con 50.
Mentre in Nord America le organizzazioni sanitarie hanno subito il maggior numero di attacchi dall’inizio dell’anno, in Europa sono le organizzazioni di servizi pubblici ad essere maggiormente colpite. In APAC, è invece il settore assicurativo/legale il più colpito, mentre in Sudamerica, il settore più colpito è quello delle comunicazioni. In Africa il più attaccato dal ransomware è il settore finanziario e bancario.
Come si previene un attacco ransomware
I dati utilizzati nel report sono stati rilevati dalle tecnologie di Check Point Threat Prevention, archiviati e analizzati in Check Point ThreatCloud, che fornisce informazioni sulle minacce in tempo reale derivate da centinaia di milioni di sensori in tutto il mondo, su reti, endpoint e dispositivi mobili.
In coda ai dati Check Point Research ricorda i cinque consigli per prevenire un attacco.
Attenzione a fine settimana e vacanze
La maggior parte degli attacchi ransomware nell’ultimo anno si sono verificati durante i fine settimana e le vacanze, quando le persone prestano meno attenzione.
Aggiornare le patch
Al momento del famoso attacco WannaCry nel maggio 2017, esisteva una patch per la vulnerabilità EternalBlue utilizzata da WannaCry. Questa patch era disponibile un mese prima dell’attacco ed era etichettata come “critica” a causa del suo alto potenziale di sfruttamento. Tuttavia, molte organizzazioni e individui non hanno applicato la patch in tempo, provocando un’epidemia di ransomware che ha infettato più di 200.000 computer in tre giorni. Mantenere i computer aggiornati e applicare le patch di sicurezza, in particolare quelle etichettate come critiche, può aiutare a limitare la vulnerabilità di un’organizzazione agli attacchi ransomware.
Installare un anti-ransomware
Sebbene le precedenti misure di prevenzione del ransomware possano aiutare a mitigare l’esposizione di un’organizzazione alle minacce ransomware, queste non forniscono una protezione perfetta. Alcuni attori di ransomware utilizzano e-mail di spear phishing ben studiate e altamente mirate come vettore di attacco. Queste e-mail possono ingannare anche il dipendente più diligente, con il risultato che il ransomware ottiene l’accesso ai sistemi interni di un’organizzazione. Proteggersi da questo ransomware richiede una soluzione di sicurezza specializzata. Per raggiungere il suo obiettivo, il ransomware deve eseguire determinate azioni anomale, come l’apertura e la crittografia di un gran numero di file. Le soluzioni anti-ransomware monitorano i programmi in esecuzione su un computer per comportamenti sospetti comunemente causati dal ransomware e, se questi comportamenti vengono rilevati, il programma può intervenire per interrompere la crittografia prima che possano essere causati ulteriori danni.
Istruire i dipendenti
Fondamentale è formare gli utenti su come identificare ed evitare potenziali attacchi ransomware. Molti degli attuali attacchi informatici iniziano con un’e-mail mirata che non contiene malware, ma un messaggio che incoraggia l’utente a fare clic su un collegamento dannoso. La formazione degli utenti è spesso considerata una delle difese più importanti che un’organizzazione può implementare.
L’inizio dell’attacco non è un ransomware
Ryuk e altri ransomware acquistano virus nelle organizzazioni che hanno individuato. I professionisti della sicurezza dovrebbero essere a conoscenza dei virus da Trickbot, Emotet, Dridex e CobaltStrik all’interno delle loro reti e rimuoverli utilizzando soluzioni di ricerca delle minacce, poiché aprono la porta a Ryuk o ad altri virus ransomware per infiltrarsi nelle organizzazioni.
