Pochi giorni fa il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA), nel contesto dell’iniziativa #StopRansomware, hanno emesso avvisi urgenti per informare le aziende e i singoli utenti sulla minaccia rappresentata da “Medusa”, uno dei ransomware più pericolosi emersi negli ultimi anni, che ha recentemente compromesso la sicurezza di milioni di account di posta elettronica, tra cui servizi popolari come Gmail e Outlook, in settori critici come la sanità, l’istruzione e il settore legale, assicurativo e tecnologico.
Indice degli argomenti
Ransomware Medusa, una delle più temibili minacce cyber
Il ransomware Medusa è una minaccia informatica emersa nel giugno 2021 che originariamente operava come una variante chiusa del ransomware, in cui lo sviluppo e le operazioni erano controllate dallo stesso gruppo di cyber threat actors e che si è sviluppata in Ransomware-as-a-Service (RaaS), un modello che consente ai criminali informatici di affittare il malware per condurre attacchi, condividendo i profitti con gli sviluppatori i quali si ipotizza che mantengano il controllo diretto sulle operazioni importanti come la negoziazione del riscatto.
Il modello di doppia estorsione
Sia gli sviluppatori che gli affiliati di Medusa, indicati come “attori di Medusa”, impiegano un modello di doppia estorsione, in cui crittografano i dati delle vittime e minacciano di rilasciarli pubblicamente se non viene pagato un riscatto.
I dati sottratti possono includere informazioni personali, documenti finanziari, proprietà intellettuale e altre informazioni riservate.
Mai pagare il riscatto
Alle vittime viene rilasciata, tramite una chat live basata su Tor o piattaforme di messaggistica crittografate, una nota con le istruzioni per il pagamento, spesso in criptovaluta, e un conto alla rovescia di 48 ore per effettuare il pagamento.
Se ignorati, gli attori di Medusa diffondono i dati rubati sul loro sito darknet, esponendo le vittime a ulteriori rischi come furto di identità, perdite finanziarie e danni reputazionali.
Stando al Washington Post, gli hacker avrebbero richiesto da 100.000 a 15 milioni di dollari in cambio del mantenimento della riservatezza dei dati.
Le vittime di Medusa potrebbero essere quai 400, di cui presumibilmente oltre 40 solo nei primi due mesi del 2025, tra cui è stata confermata un’organizzazione sanitaria statunitense.
Secondo una nuova analisi del team di caccia alle minacce di Symantec, il numero di obiettivi colpiti è quasi raddoppiato dallo stesso periodo del 2024.
Le autorità sconsigliano fortemente di pagare il riscatto dato che non garantisce il recupero dei dati e potrebbe incentivare ulteriori attacchi.
Inoltre, il pagamento potrebbe avere implicazioni legali, soprattutto per enti pubblici e aziende, in quanto potrebbe essere considerato come finanziamento ad attività criminali.
Misure preventive per proteggersi
È perciò essenziale che le organizzazioni implementino misure preventive per proteggere i propri account da minacce come Medusa, adottando misure di sicurezza efficaci.
Alcune raccomandazioni chiave fornite da FBI e CISA comprendono l’abilitazione dell’autenticazione a due fattori (2FA) che aggiunge un ulteriore livello di sicurezza al processo di accesso, richiedendo non solo la password, ma anche un secondo elemento di verifica, come un codice inviato al telefono o generato da un’app di autenticazione.
Questo rende molto più difficile per gli attaccanti accedere agli account anche se sono in possesso della password.
È essenziale anche utilizzare password complesse, lunghe e uniche per ogni account. Le password dovrebbero includere una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali e sarebbero da evitare parole comuni o informazioni personali facilmente reperibili.
L’uso di un gestore di password può aiutare a generare e memorizzare password sicure senza la necessità di ricordarle tutte.
Mantenere i software aggiornati
Gli attaccanti spesso sfruttano vulnerabilità presenti in software non aggiornati per infiltrarsi nei sistemi, è dunque cruciale mantenere aggiornati tutti i software, inclusi sistemi operativi, applicazioni e plugin, applicando tempestivamente le patch di sicurezza rilasciate dai fornitori.
Anche mantenere backup regolari dei dati importanti su dispositivi separati e sicuri è una pratica essenziale, perché in caso di attacco ransomware, avere copie di backup aggiornate permette di ripristinare le informazioni le informazioni senza dover cedere alle richieste degli attaccanti.
Assicurarsi che i backup siano isolati dalla rete principale per prevenire che vengano anch’essi compromessi durante un attacco.
Le difese contro i ransomware come Medusa
La consapevolezza è una delle difese più efficaci contro le minacce informatiche. Educare sulle pratiche di sicurezza, come riconoscere tentativi di phishing, e assegnare privilegi di accesso limitati agli utenti in base alle loro necessità operative, può ridurre l’impatto di un potenziale attacco.
Nel caso di compromessione di un account, però, un comportamento da
evitare assolutamente è fare finta di nulla. Una volta entrato nel sistema, infatti, l’aggressore ha bisogno di un lasso di tempo – detto “dwell time” – per capire cosa ha appena ottenuto e se vale la pena approfittarne, ha affermato Ryan Kalember, responsabile della strategia presso la società di sicurezza Proofpoint.
Quel gap è incredibilmente prezioso per permettere al team IT dell’azienda di intervenire prima della sottrazione dei dati sensibili.
Inoltre, monitorare costantemente le attività della rete e degli account, tramite SIEM (Security Information and Event Management) o affidandosi a un SOC (Security operation center), può aiutare a rilevare tempestivamente comportamenti sospetti o non autorizzati.
Le assicurazioni
Importantee è l’aspetto assicurativo: sempre più aziende valutano la stipula di polizze cyber insurance per tutelarsi in caso di data breach o attacchi ransomware.
È importante però ricordare che un’assicurazione da sola non sostituisce le buone pratiche di sicurezza: occorre investire in formazione, tecnologie di difesa e piani di continuità operativa, in modo da minimizzare la probabilità e l’impatto di un evento informatico distruttivo.
La crescente sofisticazione di gruppi ransomware come Medusa rappresenta una minaccia concreta per tutte le organizzazioni, indipendentemente dalla loro dimensione o settore.
Pertanto, adottare in via prioritaria le misure di protezione e monitoraggio consigliate è oggi più che mai fondamentale per ridurre al minimo l’impatto di possibili attacchi e salvaguardare i propri dati sensibili.
La risposta più efficace consiste nel prepararsi in anticipo.
