Chiuso per attacco ransomware: la storia di Knights of Old
Correva l’anno 2023. Knights of Old, azienda di autotrasporti inglese con sede nel Northamptonshire e 160 anni di storia alle spalle, viene colpita da un attacco ransomware.
“Ci sentivamo sicuri, rispetto ai nostri livelli di cyber sicurezza, ai nostri protocolli e a tutte le misure implementate a difesa dell’azienda” ha dichiarato alla BBC Paul Abbott, a capo della storica azienda.
Eppure, l’azienda ha chiuso i battenti. L’attacco ha determinato danni tali, in termini di immagine ma soprattutto economici, da decretare la fine dell’azienda. Per dare una idea delle dimensioni, la Knights of Old contava nel 2023, prima dell’attacco, ben 730 dipendenti.
Che cosa si sa dell’attacco ransomware
I tecnici del gruppo, una volta accortisi che qualcosa non andava, hanno eseguito un’analisi approfondita sui sistemi. Rinvenendo, ben nascosta, una nota di riscatto. Ma il problema principale è stata la corruzione di dati chiave per l’azienda. L’azienda fin da subito non ha più potuto stare al passo col ritmo di scadenze di rendicontazione stabilite dai finanziatori. Il passaggio al sistema manuale (carta e penna) non ha retto i ritmi. Di lì a poco l’azienda è stata obbligata all’amministrazione controllata.
È quindi con grande rammarico, che Paul Abbott ha dichiarato alla BBC che:
“Ci sono centinaia di aziende che sono state compromesse. Il problema è stato il danno alla reputazione. Qualsiasi cosa pensiate di aver fatto, fatela controllare seriamente da esperti. La gente non pensa che possa accadere a loro“.
Dall’attacco di massa al bersaglio mirato: l’evoluzione del ransomware
In origine, il ransomware si diffondeva in modo indiscriminato. Campagne di phishing massive colpivano migliaia di utenti finali con l’obiettivo di cifrare i dati e richiedere un riscatto contenuto. Il guadagno dei criminali informatici derivava dal volume: più utenti colpiti, più riscatti da incassare.
Negli ultimi anni, però, il ransomware si è evoluto in modo significativo. Gli attaccanti hanno progressivamente abbandonato la logica dell’attacco di massa. Hanno scelto di concentrarsi su target ben più redditizi: aziende, enti pubblici, infrastrutture critiche. Questo cambiamento ha comportato una maggiore pianificazione, lo sfruttamento di vulnerabilità specifiche e l’accesso prolungato alle reti compromesse. Per questo hanno sfruttato spesso anche credenziali rubate o compromesse: nel dark web c’è un fiorente mercato di rivendita di credenziali rubate.
Oggi gli attacchi ransomware sono più silenziosi, sofisticati e mirati. L’obiettivo non è più solo cifrare i dati, ma bloccare interi processi aziendali, colpire la reputazione e generare danni tali da spingere la vittima a pagare somme molto più elevate rispetto al passato.
Per approfondire > Pagamenti ransomware: verso il record per il 2023
Ransomware-as-a-Service: quando il cybercrime adotta il modello aziendale
La professionalizzazione del ransomware ha portato alla nascita di un vero e proprio mercato sotterraneo basato su modelli di business consolidati. Il Ransomware-as-a-Service (RaaS) è un esempio emblematico. Gruppi specializzati sviluppano e mettono a disposizione kit pronti all’uso, completi di pannelli di gestione, supporto tecnico e aggiornamenti, permettendo anche a criminali con scarse competenze tecniche di lanciare attacchi.
In cambio, gli sviluppatori del ransomware trattengono una percentuale sulle somme estorte, esattamente come farebbe un’azienda con i propri affiliati. Il caso più noto è quello di LockBit, una delle organizzazioni RaaS più attive e strutturate degli ultimi anni. I membri del gruppo centrale si occupano della tecnologia e del supporto operativo. Gli affiliati selezionano i bersagli, si occupano dell’infezione e negoziano con le vittime.
Questo modello ha permesso di scalare rapidamente il numero di attacchi, aumentando l’efficienza e la diffusione del ransomware a livello globale. Con conseguenze dirette non solo sulle aziende colpite, ma sull’intero ecosistema digitale.
Doppia e tripla estorsione: il ricatto si fa multilivello
Il semplice blocco dei file non basta più. In corso di un attacco ransomware, i cybercriminali hanno affinato la strategia ricattatoria introducendo prima la doppia estorsione, poi la tripla. Nella doppia estorsione, i dati non vengono solo cifrati, ma anche esfiltrati: gli attaccanti minacciano di pubblicare le informazioni riservate online se il riscatto non viene pagato, aggiungendo un pesante rischio reputazionale alla già grave perdita operativa.
Con la tripla estorsione, la pressione si amplifica ulteriormente: oltre a colpire l’azienda vittima e minacciarne la reputazione, i criminali coinvolgono anche clienti, fornitori o dipendenti, contattandoli direttamente per informarli della violazione. In alcuni casi, l’estorsione si estende a richieste ulteriori come attacchi DDoS contro l’infrastruttura della vittima, nel tentativo di forzarne il pagamento.
Questa escalation ha trasformato l’ attacco ransomware in una minaccia complessa, dove il danno economico si somma a quello legale e reputazionale, costringendo le aziende a rivedere le proprie strategie di difesa, risposta e comunicazione in caso di attacco.
Per approfondire > Tecniche di estorsione dei Ransomware: evoluzione e nuove frontiere
Attacco ransomware: step basilari per la difesa
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
Adotta un SOC – Security Operation Center
Un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette.
Per approfondire > SOC – Security Operation Center: che cosa, perché, come
Predisponi un piano di backup
È fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso
Le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
Scegli una solida soluzione antivirus e mantienila sempre aggiornata
Sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
Adotta l’approccio zero trust
Applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.
Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
Evita di scaricare file o cliccare su link contenuti nelle email
Spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.
Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
Forma i dipendenti, i collaboratori e chiunque acceda alla rete
Come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware.
Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
Implementa un modello di sicurezza stratificato (multi livello)
Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.
Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
Implementa sistemi di protezione preventiva
Sistemi come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
