Attacchi ransomware in aumento: cosa ci insegna il caso Geox e i consigli per difendersi

Mentre le aziende sono impegnate nella difficile gestione della fase 3 dell’emergenza coronavirus e della ripresa delle attività industriali, i criminal hacker approfittano proprio del particolare momento di crisi globale e del generale abbassamento della guardia nei confronti delle minacce informatiche per diffondere le loro campagne malevoli: nell’ultimo periodo, in particolare, sono aumentati gli attacchi ransomware.

Si allunga, infatti, l’elenco di aziende colpite da questi temibili virus “sequestra-PC” e dopo Enel e Honda, vittime il 7 giugno del ransomware Ekans, lo scorso 14 giugno a finire nel mirino dei criminal hacker è stata la Geox, che già a maggio era stata vittima di una truffa online orchestrata attraverso il finto sito Geoxoutlet.online prontamente smantellato dalla Polizia Postale.

Attacchi ransomware: il caso Geox

In questo nuovo attacco, il malware (di cui non si conoscono ancora i dettagli tecnici) ha colpito il server di posta elettronica dell’azienda trevigiana leader del settore calzaturiero, impedendo di fatto tutte le comunicazioni interne. Ciò ha di fatto bloccato l’intera produzione, la logistica e l’e-commerce, tanto da costringere il management a lasciare a casa molti dipendenti.

Oltre il danno, dunque, anche la beffa di dover interrompere nuovamente la produzione dopo la già lunga interruzione imposta dal lockdown per il contrasto alla pandemia di Covid-19.

Al momento, non si sa se l’attacco ransomware ha consentito ai criminal hacker di rubare anche dati riservati o sensibili.

Come possono difendersi le aziende

L’aumento degli attacchi ransomware è confermato anche dall’ultimo rapporto Fortinet che ha registrato un più 131% solo nel mese di marzo 2020.

In particolare, i ricercatori hanno analizzato l’andamento dei ransomware negli ultimi mesi rilevando che i lavoratori da remoto, un tempo protetti dal perimetro della rete aziendale, sono stati presi di mira con falsi contenuti relativi al Covid-19 e altri attacchi ai social network. Gli hacker hanno sondato nuovi scenari, alla ricerca di vulnerabilità e nella speranza di cogliere impreparate le aziende nell’implementare adeguate protezioni e controlli di sicurezza.

“In questo periodo i nostri FortiGuard Labs hanno monitorato attivamente il panorama delle minacce assistendo ad un aumento significativo di minacce che colpiscono gli utenti attraverso il phishing e i siti web infetti”, commenta Antonio Madoglio, Director Systems Engineering Italy & Malta di Fortinet.

“Le e-mail possono contenere allegati malevoli”, continua Madoglio, “il che spiega perché abbiamo registrato un aumento del 131% nel numero dei virus a marzo di quest’anno e abbiamo assistito a una riduzione degli attacchi tradizionali”.

Secondo i ricercatori c’è inoltre da aspettarsi un ulteriore aumento degli attacchi ransomware in quanto i criminal hacker cercheranno di utilizzare i dispositivi degli utenti finali compromessi come canale di ritorno verso le reti aziendali che potrebbero non essere più presidiate con l’attenzione di una volta.

È dunque opportuno che le aziende adottino le necessarie contromisure per proteggere i loro sistemi e il prezioso patrimonio informativo dai ransomware sempre più sofisticati. Anche se ogni sistema di rete è diverso, ecco 10 consigli messi a punto dai ricercatori Fortinet che ogni azienda può iniziare ad implementare da subito per ridurre il rischio di attacchi informatici:

1. Assicurarsi che tutti i dispositivi endpoint abbiano un livello di sicurezza avanzato, come soluzioni anti-exploit e EDR.
2. Verificare che siano presenti soluzioni di controllo dell’accesso al network e l’autenticazione a due fattori.
3. Utilizzare un sistema di Network Access Control per ispezionare e bloccare i dispositivi che non soddisfano i criteri di sicurezza.
4. Segmentare la rete in zone di sicurezza per prevenire la diffusione di una minaccia e legare i controlli di accesso alla segmentazione dinamica.
5. Assicurarsi che il recupero del ransomware faccia parte del proprio piano di Business Continuity e Disaster Recovery, identificare il team di recovery, eseguire le esercitazioni e preassegnare le responsabilità in modo che i sistemi possano essere ripristinati rapidamente in caso di una violazione riuscita.
6. Assicurarsi che le soluzioni CDR (Content Disarm and Recovery) siano in grado di disattivare allegati malevoli.
7. Utilizzare un accesso rete zero-trust che includa l’analisi dei virus in modo che gli utenti non possano infettare applicazioni, dati o servizi business-critical.
8. Prevenire le applicazioni SaaS (Software as a Service) non autorizzate con una soluzione Cloud Access Security Broker (CASB).
9. Utilizzare strumenti di analisi forense per identificare la provenienza di un’infezione, la sua durata nell’ambiente e assicurarsi di averla rimossa da ogni dispositivo.
10. Raccogliere rapidamente le informazioni sulle minacce e gli attacchi attivi sulle reti e agire tempestivamente, utilizzando l’automazione, ove possibile. Questo è fondamentale per fermare un attacco avanzato ed evitare che progredisca.

È fondamentale, infine, che le aziende rivedano la loro strategia per il lavoro da remoto adottando policy di sicurezza più approfondite e apportando i necessari interventi tecnologici e strutturali.