cybersecurity Archives - Evercom | Soluzioni Digitali Per Aziende

Attacchi hacker ransomware, l’intelligence: «Pagati 17 miliardi in quattro mesi»

Simone Ferroni — Mon, 09 Aug 2021 12:35:15 +0000

Attacchi hacker ransomware, l’intelligence: «Pagati 17 miliardi in quattro mesi»

Il rapporto riservato sulle strategie della «ransom mafia». Oltre il 50% delle vittime cede: dal colosso Acer 42 milioni

Maze, una sigla semplice. Una sigla che per almeno due anni è stata l’incubo delle aziende pubbliche e private, dei governi, di multinazionali come Canon, Lg, Xerox. Un gruppo di hacker in grado di bloccare sistemi, rubare dati, ricattare società e privati. Un gruppo pericoloso che per primo ha utilizzato la strategia del «name & shame», letteralmente nominare e svergognare.

Il primo novembre 2020 ha dichiarato «chiuso il progetto» in grande stile, con un comunicato stampa pubblicato online in cui sottolineava che non ci sarebbero stati successori. Ma non è scomparso. Anzi. Già qualche mese prima della resa, un’altra banda, addirittura più capace e potente, era comparsa sulla scena: Egregor. In un anno ha sferrato oltre 200 attacchi e gli analisti ritengono possa essere lo schermo per gli affiliati di Maze. E poi ce ne sono tanti altri perché questa Ransom Mafia, come è stata definita, ricalca il mondo criminale «analogico»: individui che si riuniscono in gang, formano e sciolgono alleanze, si raggruppano in cartelli.

Il rapporto
A raccontare la guerra ormai diventata globale è un rapporto riservato dell’intelligence italiana che ricostruisce le strategie di questi cybercriminali, i loro obiettivi, le loro origini. Contiene nomi e date di una battaglia di cui l’Italia ha visto gli effetti più evidenti con l’assalto contro la Regione Lazio. Ma riporta soprattutto un dato che fa ben comprendere quale sia la posta in gioco: nel 2019 sono stati pagati 9,7 miliardi di euro per impedire ai criminali di bloccare i sistemi aziendali e diffondere le informazioni riservate, nel primo quadrimestre del 2021 questa cifra ha già raggiunto i 17 miliardi di euro.

L’attacco
Un attacco ransomware utilizza questi virus telematici per «limitare l’accesso al sistema informativo degli utenti e crittografare il disco rigido». I file diventano illeggibili dal legittimo proprietario che per sbloccarli ha bisogno di una specifica chiave crittografica. Ed è a questo punto che scatta il ricatto. Generalmente sullo schermo dei computer attaccati compare un avviso che invita ad aprire una pagina dove si trovano le istruzioni per il pagamento, nella maggior parte in criptovalute. Per i meno esperti c’è anche un’assistenza clienti multilingue. Ma già dalla fine del 2020 la strategia si è evoluta, diventando ancor più subdola.

Generalmente «l’operazione prevede che prima di procedere con la cifratura dei dati presenti nel sistema possa essere effettuata un’esfiltrazione di tutte le informazioni – spiegano gli analisti –. Fino allo scorso anno gli attacchi ransomware prevedevano quasi esclusivamente la crittografia dei dati che venivano resi indisponibili a tempo indeterminato. Nell’ultimo anno si è aggiunta la divulgazione dei dati nel dark web». È questa la «rivoluzione» di Maze, la «double extortion» (doppia estorsione): se non paghi per avere la chiave crittografica o tenti di aggirare il riscatto mettiamo i tuoi dati online. Dai brevetti alle informazioni dei clienti o degli utenti, tante informazioni sensibili rischiano di diventare pubbliche. Così si stima che tra il 50 e il 70 per cento delle vittime, alla fine, pagano.

Ransomware gang
Finora gli attacchi ransomware hanno colpito gestori delle reti energetiche e telefoniche, scuole e ospedali ma anche società quotate in borsa. Hanno ricattato aziende di piccolo e medio livello che la pubblicazione dei dati avrebbe annientato e colossi industriali disponibili a pagare pur di mettere al sicuro le informazioni riservate. Ma soprattutto hanno trattato direttamente con i governi, proprio come avviene quando le formazioni terroristiche catturano gli ostaggi. Secondo l’ultimo rapportoThe State of Ransomware 2021 di Sophos, la maggior parte degli attacchi arriva da Russia, Cina e Corea del Nord ma ci sono altri focolai in Vietnam, Ucraina, India.

I più clamorosi sono stati sferrati dal gruppo REvil nel 2021. In marzo hanno chiesto al colosso taiwanese Acer 42 milioni di euro. In aprile la medesima cifra a un partner di Apple per non diffondere segreti industriali. Subito dopo hanno preso di mira JBS Foods, che ha subito una richiesta per 9,3 milioni di euro, e in luglio, tramite il fornitore Kaseya, sono penetrati nei sistemi di numerose aziende chiedendo un totale di 59,5 milioni di euro. Alcune imprese hanno pubblicamente ammesso gli assalti. Nel maggio scorso la Colonial Pipeline, oleodotto che rifornisce la costa orientale degli Stati Uniti, ha pagato 3,7 milioni di euro al gruppo DarkSide per recuperare i propri dati e con l’intervento dell’Fbi ne ha poi recuperati 1,9. In Italia, il 6 agosto, il Gruppo Zegna ha rivelato di «non aver ceduto al ricatto». In realtà la lista di chi, nel nostro Paese, è stato colpito e ha pagato oppure è riuscito a fermare il ransomware è lungo, ma gli investigatori raccomandano di non diffonderla proprio per non dare vantaggi ai criminali e soprattutto enfatizzare la loro attività illecita.

Attacco a Israele
Qualche settimana fa Pay2Key, che ha matrice iraniana, ha pubblicato un post con l’elenco delle ditte colpite in Israele: Portnox, Israel Aerospace Industries, Habana, InterElectric, Mt, InfiApps e gli analisti ritengono si tratti «di un attacco con immediata finalità economica ma soprattutto una minaccia per gli interessi geopolitici di Stati attraverso le loro infrastrutture critiche».

Da una parte le gang hanno un peso anche nelle relazioni internazionali. Come riportato dal New York Times, l’improvvisa scomparsa dei russi REvil in luglio, proprio dopo aver messo a ferro e fuoco gli Stati Uniti, è da attribuire a un accordo mirato tra Joe Biden e Vladimir Putin. Dall’altra si muovono anche come vere e proprie aziende. Premiano l’innovazione e lavorano per tenere alta la reputazione: se qualcuno riesce a riottenere i dati senza pagare è un problema, si diventa poco credibili. Sono organizzazioni ben strutturate, con decine di sviluppatori e macchinari e così, per ammortizzare i costi, hanno ideato il Ransomware as a service (Raas), «una variazione dei modelli di business rispetto a chi vende software legali», come spiegano gli analisti. Gli autori offrono il loro ransomware su licenza permettendo agli acquirenti di aggiungerlo ai propri attacchi. Esattamente come un software aziendale. In cambio chiedono una provvigione «tra il 20 e il 30 per cento dei riscatti pagati», possono rivendicare più vittime e quindi accrescere la fama dela propria opera. E più il ransomware funziona più criminali lo vogliono. Come un qualsiasi prodotto di successo.

Tratto da www.corriere.it, pubblicato il 7 agosto 2021, di Fiorenza Sarzanini e Alessio Lana

The post Attacchi hacker ransomware, l’intelligence: «Pagati 17 miliardi in quattro mesi» appeared first on Evercom | Soluzioni Digitali Per Aziende.

Gli attacchi informatici più significativi dal 2006 al 2020, per paese

Simone Ferroni — Tue, 11 May 2021 10:27:49 +0000

Gli attacchi informatici più significativi dal 2006 al 2020, per paese

Commettere un crimine informatico può avere gravi conseguenze. Negli Stati Uniti, un criminale informatico può ricevere fino a 20 anni di carcere per aver hackerato un’istituzione governativa se compromette la sicurezza nazionale.

Eppure, nonostante le conseguenze, i criminali informatici continuano a causare il caos in tutto il mondo. Ma alcuni paesi sembrano essere presi di mira più di altri.

Utilizzando i dati di Specops Software, questo grafico esamina i paesi che hanno subito gli attacchi informatici più significativi negli ultimi due decenni.

rango	Paese / Regione	Numero di attacchi informatici significativi (2006-2020)
1	Stati Uniti	156
2	Regno Unito	47
3	India	23
4	Germania	21
5	Corea del Sud	18
6	Australia	16
7	Ucraina	16
8	Cina	15
9	Iran	15
10	Arabia Saudita	15

Gli Stati Uniti sono al primo posto, con 156 attacchi informatici registrati. Si tratta di una media di 11 attacchi significativi all’anno, che è più di quanto abbia fatto la Russia in 14 anni.

Quali sono i tipi più comuni?

Mentre ci sono molti tipi diversi di attacchi informatici, Specops evidenzia i quattro più comunemente utilizzati per crimini informatici significativi:

SQL (Structured Query Language) Injection Attack
SQL è il codice utilizzato per comunicare con un database. In un attacco sql injection, l’hacker scrive codice SQL vendicativo e lo inserisce nel database di una vittima, al fine di accedere a informazioni private.
Un uomo nel mezzo (MitM)
Questa forma di attacco si verifica quando un criminale informatico hackera un canale di comunicazione tra due persone e intercetta i loro scambi online.
Attacco di phishing
Quando un criminale informatico si pone come un istituto legittimo ed invia un’e-mail a una vittima per ottenere dati personali come credenziali di accesso, indirizzo di casa, informazioni sulla carta di credito.
Denial of Service Attack (DoS)
Questo comporta l’inondare il sistema di una vittima con il traffico, al punto in cui la sua rete è inaccessibile. L’hacker non ottiene alcuna informazione preziosa da questo stile di attacco.

Tratto da Visual Capitalist; Pubblicato il 10 maggio 2021 di Carmen Ang

The post Gli attacchi informatici più significativi dal 2006 al 2020, per paese appeared first on Evercom | Soluzioni Digitali Per Aziende.

Perché oggi le aziende sono liquide e vanno protette ovunque

Simone Ferroni — Wed, 17 Mar 2021 15:50:02 +0000

Perché oggi le aziende sono liquide e vanno protette ovunque

La trasformazione digitale non è più una teoria: molte aziende italiane negli ultimi mesi hanno di fatto compiuto il salto qualitativo che mancava da tempo, adottando soluzioni di smart working e digitali.

Sarebbe fin troppo facile, tuttavia, pensare di aver superato tutti gli ostacoli e che la strada sia in discesa. Infatti, la rarefazione degli ambienti di lavoro ha portato alla creazione di nuove aziende liquide.

Parliamo di aziende per cui le sedi geografiche fisiche sono superate dalla realtà attuale: di fatto quasi tutte le organizzazioni italiane (e non solo) hanno dipendenti attivi nei luoghi più diversi, spesso nelle abitazioni private.

È facile, immediato, quasi istintivo, comprendere i grandi vantaggi di poter svolgere le proprie mansioni da smartphone, tablet e laptop. Quello che tuttavia spesso si sottovaluta è l’aspetto legato alla cybersecurity.

Se l’azienda oggi è ovunque, liquida, va protetta ovunque essa sia. Perché un’azienda può e spesso deve essere diffusa, ma non per questo fuori controllo. Soprattutto perché se una azienda è ovunque, lo sono anche i cybercriminali.

Una fonte autorevole come il Clusit (Associazione Italiana per la Sicurezza Informatica) nel proprio rapporto 2020 ha lanciato un serio campanello di allarme: nel triennio 2017-2019 gli attacchi informatici gravi sono infatti aumentati del 48%, e la crescita ha avuto un ulteriore accelerazione nell’ultimo semestre del 2019.

Aziende liquide e consapevoli

L’elemento chiave della sicurezza informatica è senza dubbio la consapevolezza. Solo con un adeguato livello di comprensione di quali siano i rischi potenziali sarà possibile rispondere con decisione ed efficacia, preservando la propria azienda e la sua integrità.

La gestione dei device è uno dei tasselli base della cybersecurity. Oggi il fenomeno BYOD (bring your own device) è assurto a norma in moltissime aziende, e questo comporta il rischio concreto di un altro fenomeno, che va di pari passo: lo shadow IT, in altre parole l’utilizzo in ambiente aziendale di hardware o software non autorizzati e all’insaputa del dipartimento IT.

Per di più, entrare a far parte di una rete aziendale con dispositivi non protetti espone alla potenziale perdita di controllo anche su informazioni personali: dati di identificazione, combinate con altri dati personali, possono provocare un furto d’identità.

Quanti endpoint da proteggere

Proteggere gli endpoint diventa quindi essenziale. Quello che deve essere chiaro è che il concetto di endpoint si è nel tempo molto ampliato.

Un tempo avremmo parlato di computer e server. Oggi gli elementi da considerare sono anche altri. Laptop, smartphone, tablet, ma anche un POS: tutti questi sono esempi di endpoint, e per difenderli è necessario dotarsi di una valida soluzione di endpoint protection.

La gestione delle email è un ulteriore, e noto, punto debole della sicurezza informatica. È indispensabile prestare sempre attenzione alle email anche se sembrano provenire da una persona conosciuta o da un’azienda affidabile.

Al pari del BYOD, è impensabile lasciare che sia la sola attenzione di ogni singolo utente a fare da baluardo contro i criminali informatici: la tecnologia va sfruttata appieno ed esistono soluzioni molto efficaci. Un’altra tecnologia molto diffusa nelle aziende di ogni dimensione è il cloud.

Proteggere le email cloud-based, insieme ad altri servizi di condivisione di file e di collaborazione nel cloud è indispensabile per garantire la cybersecurity. Altrettanto importante mettere in sicurezza le applicazioni cloud, dato che sono numerose le soluzioni SaaS presenti in azienda, come ad esempio Microsoft 365.

Controllare tutto, mettere in sicurezza tutti

Il controllo a tutto campo delle potenziali vulnerabilità è l’elemento chiave che governa tutto quanto finora esposto: una soluzione software in grado di verificare anche potenziali lacune nell’infrastruttura di rete e, fattore fondamentale, la compliance alle normative vigenti, in primis: il meccanismo sanzionatorio per chi ne violasse le severe regole è fra i più onerosi in assoluto, e nessuna organizzazione può pensare di ignorarne i dettami.

Sono quindi molti i tasselli di cui si compone il puzzle della sicurezza informatica, e nessuno pensi di potersi considerare una specie di porto franco nei confronti dei criminali informatici.

Non esistono settori meno a rischio e neppure ha alcuna rilevanza la dimensione della propria realtà aziendale. L’unica scelta sensata è muoversi subito, mettere in sicurezza la propria impresa scegliendo un partner solido e di comprovata affidabilità: è in gioco il proprio futuro aziendale.

Se hai bisogno di maggiore supporto puoi contattare uno dei nostri esperti Evercom! Siamo a tua disposizione per una consulenza gratuita!

Contenuto pubblicato da

The post Perché oggi le aziende sono liquide e vanno protette ovunque appeared first on Evercom | Soluzioni Digitali Per Aziende.

Lavoro da remoto? Ecco come garantire la protezione dei dipendenti

Simone Ferroni — Mon, 15 Mar 2021 14:28:50 +0000

Lavoro da remoto? Ecco come garantire la protezione dei dipendenti

Tre cose di cui tenere conto per garantire la protezione informatica del tuo team in remoto

Negli ultimi mesi, le aziende di tutto il paese hanno universalmente adottato lo smart working. Alcune hanno addirittura scoperto che lo smart working è preferibile al lavoro in sede.

Nel nostro Future Ready Report, è emerso che l’83% delle piccole-medie imprese prevede che una parte, limitata o estesa, dei propri dipendenti, potrà continuare a lavorare da casa anche nel futuro. Se da un lato ciò assicura dei vantaggi a te e al tuo team, ad esempio un migliore equilibrio tra vita professionale e vita privata, continuare a passare da un’interazione online all’altra non è un’attività priva di rischi.
Per farlo, devi assicurarti di avere installato la migliore protezione informatica possibile, in grado di supportare questo modo di lavorare.

Una ricerca condotta da Cybersecurity Insiders ha rilevato che, nel corso della pandemia, il 53% delle aziende ha registrato un incremento degli attacchi di phishing, mentre il 38% ha dichiarato che nel corso dell’ultimo anno qualcuno all’interno dell’organizzazione è stato vittima di un attacco di phishing. Appare quindi evidente come i criminali informatici non si lascino scappare nessuna opportunità di impadronirsi dei tuoi dati, ma esistono modi semplici con cui glielo puoi impedire.

Bring Your Own Device

La tendenza a utilizzare il proprio dispositivo sul lavoro (Bring Your Own Device o BYOD) aveva già preso piede prima della situazione attuale. Con la diffusione dello smart working, tuttavia, dovremmo tutti fare molta attenzione a questa prassi.

È ormai passato il tempo in cui si accedeva ai dati su un dispositivo da una posizione fisica. A casa, siamo circondati da una serie di dispositivi personali, ognuno dei quali può essere utilizzato per lavorare, dai laptop personali ai tablet, fino agli smartphone.

La tendenza BYOD ha aspetti assai pratici sia per i dipendenti che per le aziende, ma non è detto che i dispositivi personali siano sempre protetti. Ogni nuovo smartphone o laptop che accede ai dati aziendali rappresenta per i criminali un nuovo potenziale punto di accesso.

Contieni la minaccia creando una serie di criteri di sicurezza di base. Ad esempio, ricorda ai dipendenti che possono utilizzare qualsiasi dispositivo purché prima di farlo scarichino e installino uno specifico software antivirus. Oppure condividi le informazioni sul sistema operativo più aggiornato, in caso l’antivirus non sia stato scaricato.

In tal modo, puoi assicurarti che tutti i dispositivi che accedono ai dati aziendali raggiungano la soglia di sicurezza che ti fa sentire tranquillo.

Formazione del personale

Come accennato sopra, il phishing e il furto d’identità dei dipendenti sono due delle minacce informatiche più comuni. Ma che cos’hanno in comune? Entrambe fanno affidamento sull’errore umano.

L’utilizzo che molti di noi fanno oggi dell’e-mail è enorme ed è quindi ragionevole pensare che un messaggio sospetto possa passare inosservato. Per questo è essenziale che il personale di qualsiasi livello riceva una formazione adeguata e sappia esattamente a cosa fare attenzione e cosa fare se rileva qualcosa di sospetto.

Sicurezza delle password e formazione sulle best practice possono risultare particolarmente utili per tenere le persone aggiornate e informate senza investire un capitale. Assicurati che questi corsi di formazione si tengano con regolarità e che i dipendenti possano accedere ai corsi di aggiornamento ogni volta che lo desiderano.

E, infine, accertati che il tuo team sia a proprio agio e senta di avere il supporto dell’azienda quando segnala un collegamento o un allegato problematico. In tal modo potrai trovare una soluzione rapida ed evitare danni ulteriori.

Firewall umano

La miglior linea di difesa è quella formata dai tuoi dipendenti: il cosiddetto “firewall umano”.

Il modo migliore per rafforzarlo consiste nel creare una cultura della sicurezza informatica per fare in modo che la sicurezza sia al primo posto nell’elenco degli interessi aziendali.

Falla diventare un argomento comune nelle newsletter, includi la sicurezza informatica nella formazione di inserimento in azienda, designa degli esperti di sicurezza per fare in modo che l’argomento resti in evidenza, organizza esercitazioni pro-sicurezza informatica e assegna riconoscimenti a chi dimostra di avere acquisito le best practice di sicurezza.

Infine, non equiparare la sicurezza informatica a un ostacolo. Perché, in realtà, è esattamente il contrario. Se riesci a dotare l’azienda del software, dei criteri e della cultura giusti, sarai nella condizione di poter adottare lo smart working a tutto campo senza preoccupazioni.

Se hai bisogno di maggiore supporto puoi contattare uno dei nostri esperti Evercom! Siamo a tua disposizione per una consulenza gratuita!

Contenuto curato da

The post Lavoro da remoto? Ecco come garantire la protezione dei dipendenti appeared first on Evercom | Soluzioni Digitali Per Aziende.