L’emergere del ransomware, che a oggi è forse la forma di reato informatico più redditizia, segna un profondo cambiamento nel modo in cui i criminali informatici sfruttano i dati delle loro vittime per ottenere un vantaggio economico.
Con il ransomware, gli aggressori non hanno più la necessità di rubare i dati per rivenderli, ma sfruttano l’importanza che quei dati assumono per la vittima. Anche qualora si tratti di contenuti non sensibili, potrebbero comunque avere un’importanza business-critical per l’azienda presa di mira. Tenendo i dati in ostaggio e chiedendo un riscatto per la loro restituzione, gli aggressori possono monetizzare informazioni che non avrebbero potuto usare in altro modo. Questo cambiamento del modello espone innumerevoli organizzazioni, molte delle quali per parecchio tempo si sono sentite al riparo da questi attacchi perché di dimensioni contenute, al rischio di finire nel mirino dei criminali informatici.
Che cos’è il ransomware?
Il ransomware è un tipo di attacco malware avanzato che rende impossibile l’accesso a un dispositivo da parte dell’utente o che esegue la crittografia dei file in esso contenuti per renderne inutilizzabili i dati. Questo tipo di attacco può avvenire in diversi modi: attraverso il download da un sito web dannoso o compromesso, il recapito di un allegato di un’e-mail di phishing o la distribuzione di kit di exploit in sistemi vulnerabili. Quando il ransomware arriva sul computer e viene eseguito, limita l’accesso a parti importanti del dispositivo. All’inizio esegue semplicemente la crittografia di documenti presenti sul sistema, limitando l’accesso ai dati necessari per svolgere il lavoro. In seguito, qualora sia un ransomware di ultima generazione, blocca l’accesso al desktop o ne imposta lo stato di blocco tramite il riavvio. Alcuni tipi di ransomware più recenti copiano dati importanti dal computer. In tutti i casi, l’aggressore alla fine esce allo scoperto con una richiesta di riscatto “ufficiale” insieme a istruzioni e tempistiche dettagliate su come effettuare il pagamento per poter accedere nuovamente al dispositivo o per ricevere la chiave di decrittazione dei file in ostaggio.
Ecco 10 modi in cui WatchGuard può aiutare il vostro team IT a sconfiggere il ransomware:
Blocco automatico dei tentativi di phishing. Il phishing tramite e-mail è il metodo più comune per avviare un attacco ransomware. Il blocco di e-mail malevole con spamBlocker su Firebox e l’antispam sull’endpoint può evitare la compromissione della casella e-mail dell’utente. Avete perso un’e-mail e un utente seleziona incautamente un link che non dovrebbe aprire? Con DNSWatch è possibile terminare i processi dei canali di tipo Command & Control e impedire a utenti malevoli di connettersi. È necessario proteggere gli utenti in remoto? DNSWatchGO offre la stessa protezione per singolo utente, senza richiedere una VPN
Applicazione di identità utente forti. AuthPoint fornisce alla vostra forza lavoro un’efficace autenticazione a più fattori, proteggendo le risorse aziendali, gli account e i dati dal furto di credenziali, dalle frodi e dagli attacchi di phishing. Inoltre, l’app mobile AuthPoint rende visibile ogni tentativo di accesso e il suo esclusivo DNA del dispositivo mobile assicura che solo il dispositivo originale possa eseguire l’autenticazione quando delle minacce avanzate cercano di clonare i dispositivi mobili.
Chiusura delle falle di sicurezza. Secondo il Ponemon Institute, il 57% delle vittime di attacchi informatici ha dichiarato che, applicando una patch, avrebbe potuto impedire l’attacco e il 34% ha addirittura affermato che era a conoscenza della vulnerabilità prima dell’attacco. L’intuitiva soluzione Patch Management di WatchGuard per la gestione delle vulnerabilità nei sistemi operativi e nelle applicazioni di terze parti su workstation e server Windows può contribuire a ridurre la superficie di attacco contro gli attacchi ransomware.
Prevenzione dell’esecuzione di applicazioni sconosciute. Il nostro esclusivo servizio Zero Trust per le applicazioni consente il monitoraggio continuo degli endpoint, nonché il rilevamento e la classificazione di tutte le attività per rivelare e bloccare comportamenti anomali di utenti, macchine e processi. Adaptive Defense 360 mitiga automaticamente l’attacco, bloccando l’esecuzione di qualsiasi applicazione sconosciuta fino a quando non viene convalidata come attendibile dal nostro sistema di apprendimento automatico e/o dal nostro team di sicurezza informatica.
Eliminazione dei payload di malware iniziali al gateway. I firewall come WatchGuard Firebox possono bloccare efficacemente i file malware di primo stadio, come i dropper, che sono spesso seguiti da risorse più dannose. Firebox offre tre livelli di protezione antimalware: Gateway AV (firme ed euristica), IntelligentAV (prevenzione senza firma basata sull’intelligenza artificiale) e APT Blocker (sandbox cloud avanzata).
Monitoraggio degli attacchi attivi con visibilità in tempo reale. Per sua natura, il ransomware infetta i dispositivi endpoint. La visibilità degli eventi che avvengono in questi dispositivi consente di rilevare le minacce e fornire una risposta prima che il danno si verifichi. Adaptive Defense 360 fornisce una visibilità chiara e tempestiva delle attività dannose in tutta l’organizzazione, consentendo ai team di sicurezza di valutare rapidamente la portata di un attacco e di adottare le misure di risposta appropriate.
Correlazione della telemetria per un contesto maggiore. I criminali informatici sono abilissimi nell’eludere i sistemi di sicurezza tradizionali. Usano attacchi furtivi e mirati per ridurre le loro tracce e nascondersi nell’ombra, facendo in modo che gli attacchi passino facilmente inosservati. Parte di WatchGuard Firebox, la nostra soluzione ThreatSync utilizza un sensore host leggero e la potenza del cloud per correlare automaticamente i dati di telemetria da più punti dello stack di sicurezza per individuare ed eliminare rapidamente le minacce che diversamente non verrebbero rilevate.
Crittografia automatica dei file. Host Ransomware Prevention (HRP) sfrutta un motore di analisi comportamentale e un honeypot di directory esca per monitorare una vasta gamma di caratteristiche che determinano se una specifica azione è associata o meno a un attacco ransomware. Se si stabilisce che la minaccia è potenzialmente dannosa, HRP può impedire automaticamente un attacco ransomware prima che venga effettuata la crittografia dei file sull’endpoint.
Ripristino semplice degli endpoint. Durante l’esecuzione, il malware spesso crea, modifica o elimina le impostazioni del file di sistema e del registro di sistema e cambia le impostazioni di configurazione. Queste modifiche, o i problemi che restano dopo la loro implementazione, possono causare instabilità o malfunzionamenti del sistema o perfino aprire le porte a nuovi attacchi. Adaptive Defense 360, nei casi residui in cui il malware viene eseguito, ripristina gli endpoint nel loro stato affidabile pre-malware
Tempi di rilevamento ridotti al minimo. Il servizio di ricerca e indagine delle minacce (Threat Hunting and Investigation Service) di WatchGuard consente di rilevare le tecniche di intrusione e di tipo “living-off-the-land” (LotL) emergenti. Avvalendoci dei nostri esperti di sicurezza, analizziamo i casi sospetti per trovare tecniche di evasione nuove ed esclusive (TTP) nel flusso degli eventi. Dopo l’analisi, creiamo regole che rappresentano nuovi IoA (indicatori di attacco) che vengono consegnati agli endpoint per proteggerli rapidamente da nuovi attacchi.
Leggi di più