Immagina se la tua azienda fosse tenuta in ostaggio per settimane

Sicurezza

L’ospedale californiano Hollywood Presbyterian Medical Center ha deciso di pagare 40 bitcoin – circa 17.000 USD — come riscatto dell’attacco ransomware che aveva tenuto bloccata la loro rete a partire dal 5 Febbraio.

Per la prima volta, i media americani hanno iniziato a prestare attenzione al ransomware, un fenomeno di cui i Laboratori di F-Secure scrivono da più di 5 anni.

Le istituzioni sanitarie e qualsiasi tipo di azienda che archivia dati sensibili dei clienti sono in particolar modo vulnerabili a questo tipo di attacchi, come Sean Sullivan, F-Secure Security Advisor ha spiegato all’inglese IBTimes :

“Gli ospedali sono considerati infrastrutture critiche eppure non hanno gli stessi requisiti di reportistica delle centrali elettriche, per fare un esempio. Ora che alcuni ospedali hanno fatto notizia, altri stanno diventando più trasparenti per evitare  in futuro problemi relativi alla mancata comunicazione di una violazione. Detto ciò, molti ospedali sono facili bersagli. Ero solito lavorare per un ospedale universitario con più di 20mila nodi sulla sua rete. C’era un aspetto di profitto e un aspetto accademico. Per motivi di tasse, i sistemi di back-end dovevano essere separati. Per motivi legati a pazienti/dottori, tutti i dati dovevano essere disponibili lato client, indipendentemente dal back-end delle cliniche. L’ospedale aveva inglobato e acquisito molti altri gruppi medici nel corso degli anni. In breve, la rete era estremamente complessa. E per quanto ben gestita, com’era, c’erano un sacco di lacune.”

Il Ransomware è un modello che funziona bene, i criminali lo sanno, e gli attacchi continuano a verificarsi.

Locky rilevato qualche settimana in soli pochi giorni ha infettato più di mezzo milione di PC in tutto il mondo.

Andy Patel, dei Laboratori di F-Secure, ha parlato della minaccia sul blog dei Laboratori:

“Finora, il vettore di infezione più comune di Locky è stata l’email. Un allegato in formato word viene inviato e sembra essere una fattura. Quando viene aperto, il documento appare non chiaramente e chiede al destinatario di attivare le macro per poterlo vedere bene: se lo si fa, si attiva un eseguibile (ladybi.exe) e inizia la crittografia dei dati usando la crittografia AES 128-bit.”

L’incubo di avere tutti i tuoi file di Microsoft Office crittografati e bloccati è così devastante che molte aziende hanno adottato la stessa soluzione dell’Hollywood Presbyterian Medical Center e hanno pagato.

“Lo sviluppo di Locky è stato un capolavoro della criminalità — l’infrastruttura è altamente sviluppata, è stata testata sul campo su piccola scala il Lunedì (un beta testing del ransomware, fondamentalmente), e il ransomware è stato tradotto in molte lingue,” ha scritto Kevin Beaumont . “In breve, è stato tutto ben pianificato.”

Il trend del malware come servizio, con gli sviluppatori criminali che si comportano con il senso degli affari delle aziende di pro-software, non è qualcosa di nuovo.

Mikko Hyppönen, F-Secure Chief Research Officer, ha dichiarato:

“Per un po’ di tempo, i criminali online si sono mossi verso il modello di servizio. Abbiamo visto come servizio siaattacchi DDoS, che trojan bancari come e trojan ransomware tra gli altri.”

Gli attacchi macro – tuttavia – sono stati una delle più grandi sorprese della cyber security dello scorso anno. Erano per lo più scomparsi con gli anni ’90 e il loro riemergere sta rendendo vulnerabili molte aziende.

Anche reti dove sono state applicate patch ai software correttamente e sistemi di sicurezza ben aggiornati si sono ritrovati vittime poiché ai loro utenti era permesso di attivare le macro e la loro applicazioni di whitelisting non era propriamente configurata.

Gli utenti di F-Secure , tuttavia, beneficiano di un ulteriore livello extra di protezione, come ha scritto Andy Patel:

“Se state usando il nostro software, DeepGuard, il nostro motore di rilevazione del comportamento, questo previene sia i vettori di attacco usati da Locky che il comportamento del malware stesso. Queste rilevazioni sono state in giro per un bel po’ di tempo. Seguendo la nostra strategia di prevenzione privata e testata, DeepGuard nota il comportamento malevolo, come il downlaod di contenuti da documenti Office, file che vengono rilasciati, o codice che viene eseguito. DeepGuard blocca i meccanismi che permettono che questo genere di minacce infettino la tua macchina subito alla fonte.”

[Immagine di fdecomite | Flickr]

Articolo tratto da “Imagine if your business were held ransom for weeks” di Jason Sattler, Social Media Consultant di F-Secure Corporation.

 

 

 

 

0 Commenti

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Potrebbe anche interessarti

%d blogger hanno fatto clic su Mi Piace per questo: