Il ransomware è oggi una delle forme di attacco informatico più deleterie. Causa il fallimento delle aziende, costringe gli ospedali a rifiutare i pazienti e blocca l’attività delle amministrazioni pubbliche. Oggi è una delle minacce informatiche più pericolose. Solo l’anno scorso, gli Stati Uniti hanno subito più di 65.000 attacchi di ransomware. Questa minaccia, che preoccupa molto i CISO, è diventata un problema di sicurezza nazionale. Ma quel che è peggio è che molte aziende sono del tutto impreparate per affrontare un attacco di ransomware. Solo il 13% degli esperti informatici interpellati dal Ponemon Institute afferma che la propria azienda è in grado di prevenire un attacco ransomware. Oltre il 68% si considera “vulnerabile” o “molto vulnerabile”.

L’email e il web sono i principali vettori degli attacchi di ransomware, la maggior parte dei quali attualmente si svolge in più fasi. La violazione di email e siti web rappresentano le fasi iniziali della catena di attacco. Il payload iniziale è spesso distribuito come un downloader di malware ed è concepito per ottenere penetrare nel sistema di un utente al fine di sottrarre le credenziali e ottenere l’accesso alla rete dello stesso. Gli operatori del ransomware usano le credenziali rubate per accedere ai servizi che sono esposti su Internet. Le tattiche più comuni sono le email di phishing delle credenziali d’accesso, gli attacchi di forza bruta per ottenere le password e le violazioni tramite download guidato.

Una volta ottenuto l’accesso iniziale, gli operatori del ransomware si stabiliscono in modo permanente, effettuano una ricognizione e si spostano lateralmente. Dall’interno, i criminali informatici non solo crittografano i file sensibili, ma possono anche trafugare informazioni sensibili per mettere in atto una doppia estorsione.