Il ransomware si è ormai imposto come uno dei principali problemi di sicurezza nazionale negli Stati Uniti e una grande preoccupazione per la maggior parte dei responsabili della sicurezza informatica (CISO). Queste sofisticate minacce informatiche non solo danneggiano le infrastrutture critiche e le grandi aziende, ma sono deleterie anche le comunità locali e per la vita quotidiana di molti cittadini.
Gli attacchi ransomware si sono evoluti in operazioni complesse multifase nelle quali il ruolo di email e web (violazione tramite download guidato all’insaputa dell’utente) fa parte integrante della catena di attacco, perché spesso viene recapitato un payload iniziale costituito da un downloader di malware. I downloader sono concepiti per ottenere l’accesso al sistema di un utente o per rubare le credenziali e accedere alla rete, diffondersi tramite spostamento laterale e infettare le vittime con il ransomware.
Gli analisti delle minacce di Proofpoint hanno osservato alcuni criminali informatici specializzati in ransomware assumere un ruolo più attivo nelle loro campagne ed eseguire una sorveglianza aggiuntiva delle potenziali vittime. Utilizzano esche mirate e si concentrano su settori di grandi dimensioni per i quali un’interruzione per periodi prolungati potrebbe avere gravi conseguenze. Questi gruppi di criminali informatici non solo rilasciano i payload di ransomware ma praticano una doppia estorsione: trafugano i dati e minacciano di divulgarli pubblicamente, lasciando le aziende impotenti.
Strategie per la mitigazione del ransomware
Gli strumenti di rilevamento come Proofpoint Advanced Threat Protection aiutano a prevenire gli attacchi ransomware durante le fasi iniziali di distribuzione e infezione. Questi strumenti utilizzano controlli multi-livello in grado di rilevare, bloccare e fornire visibilità sul ransomware e sui downloader di malware che aprono la strada al ransomware.
Quella che segue è una panoramica delle altre contromisure che puoi implementare per proteggerti o ridurre l’impatto degli attacchi ransomware:
1. Utilizzare controlli tecnologici per bloccare i payload dannosi
Sono inclusi controlli che permettono il rilevamento a livello di email e cloud. Per esempio:
- Rilevare e bloccare in modo dinamico le varianti delle minacce trasmesse tramite email e cloud
- Identificare le varie tattiche e tendenze delle minacce
- Marcare le email esterne per avvisare i destinatari della loro origine
- Analizzare più attributi dei messaggi (intestazione, indirizzo IP del mittente, reputazione e corpo del messaggio) per stabilire il livello di rischio
- Utilizzare Proofpoint Advanced BEC Defense, un motore di rilevamento basato sul machine learning, che apprende in tempo reale e analizza ogni dettaglio dei messaggi
- Identificare l’esposizione dei dati nel cloud e limitare le informazioni che possono essere condivise con i malintenzionati
- Proteggere dalle operazioni di comando e controllo grazie a funzionalità di sicurezza web
- Limitare il raggio d‘azione del ransomware grazie al controllo dell'accesso alla rete Zero Trust
- Prevenire la distribuzione del ransomware dalle applicazioni cloud.
Si possono adottare anche i controlli di autenticazione, per esempio:
- Applicare l’autenticazione delle email con tecnologie come Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e DMARC
- Bloccare tutti i tentativi di invio di email non autorizzate dai tuoi domini affidabili
- Contrassegnare dinamicamente i domini fotocopia su tutti i canali digitali.
Anche una maggiore visibilità aiuta a ridurre il rischio di un attacco ransomware. Per esempio, è possibile:
- Identificare le Very Attacked People™ (VAP) nella tua azienda per individuare gli utenti che vengono attaccati da email fraudolente
- Fornire dettagli granulari sulle minacce
- Determinare quali fornitori pongono il rischio maggiore alla tua azienda
- Identificare i domini fotocopia dannosi simili al tuo e a quelli dei tuoi fornitori
- Rivelare chi sta inviando le email usando il tuo dominio, compresi i mittenti di terze parti affidabili.
Inoltre, i meccanismi di risposta automatica consentono di:
- Mettere in quarantena o rimuovere i messaggi sospetti o indesiderati con un solo clic oppure automaticamente
- Automatizzare la procedura di segnalazione degli abusi tramite la casella email dedicata
- Consentire agli utenti di segnalare i messaggi sospetti direttamente dall’avviso associato
- Isolare automaticamente le sessioni di navigazione degli utenti in base al loro profilo di rischio.
2. Applicare controlli amministrativi
Un’altra strategia è quella di mettere in atto dei controlli amministrativi. Per esempio puoi implementare una formazione di sensibilizzazione alla sicurezza per insegnare agli utenti i comportamenti da adottare o da evitare in merito alla sicurezza e alle frodi via email. Le conoscenze e la consapevolezza degli utenti giocano un ruolo fondamentale per rafforzare la sicurezza dell’email. Informare gli utenti delle tecniche e dei trucchi usati dai criminali informatici, non solo li protegge ma li trasforma anche in partecipanti attivi allo stato della sicurezza, in grado di identificare, evitare e segnalare le email dannose e quindi contribuire alla protezione dei dati, delle attività e e delle risorse finanziarie dell’azienda.
La sensibilizzazione degli utenti deve concentrarsi sulle pratiche informatiche sicure e sulle misure precauzionali. Dopo tutto, gli utenti sono la tua ultima linea di difesa, perciò è importante che sappiano come riconoscere le email sospette. Puoi anche prendere in considerazione l’utilizzo di strumenti di micro-apprendimento regolare, che aiutino gli utenti a migliorare conoscenze e consapevolezza delle minacce più comuni alla sicurezza legate all’email.
Quello che segue è un riepilogo delle best practice che la formazione di sensibilizzazione alla sicurezza degli utenti dovrebbe includere, per aiutare l’azienda a ridurre il rischio legato al ransomware:
- Diffida delle email inattese che contengono link o allegati.
- Esamina sempre attentamente l’indirizzo email, che potrebbe non coincidere con il vero indirizzo dell’azienda, dei colleghi di lavoro o degli amici che dovrebbero inviarti il messaggio.
- Assicurati di effettuare regolarmente il backup nel caso in cui il ransomware venga caricato accidentalmente, in modo da poter ripristinare i dati senza pagare un riscatto.
- Diffida delle email “allarmanti”, che informano della violazione di un account o dei dati personali esortandoti ad agire immediatamente facendo clic su un link o fornendo informazioni riservate.
- Non fidarti delle email “troppo bello per essere vero” che offrono guadagni inattesi oppure fanno credere di aver vinto un premio, contenenti un link per approfittare dell’offerta o riscuotere il premio.
- Controlla sempre attentamente gli indirizzi email per assicurarti che corrispondano effettivamente al presunto mittente.
3. Prendere iniziative per sensibilizzare gli utenti alla sicurezza
Per aiutare le aziende ad aumentare la consapevolezza e le conoscenze degli utenti in merito al ransomware, abbiamo preparato una selezione di risorse gratuite che presentano e spiegano le best practice per le email in ambito personale e professionale.
Il kit Proofpoint di sensibilizzazione sul ransomware contiene testi, video e altri contenuti visivi che possono essere inviati per email, visualizzati, pubblicati o presentati per rafforzare le best practice di sicurezza per le email. Il kit viene fornito con le istruzioni per l’utilizzo delle risorse, il piano di comunicazione suggerito e un programma di distribuzione. Vi si trovano anche indicazioni e suggerimenti per condurre con esito positivo una campagna di sensibilizzazione sul tema del rafforzamento delle password utilizzando le risorse fornite.
Per saperne di più sulla protezione dal ransomware
Visita questa pagina sul sito web di Proofpoint per conoscere meglio le nostre soluzioni leader del settore e le strategie di mitigazione che ti aiuteranno a difenderti da phishing, frodi via email, ransomware e altri pericoli.