Al momento sono noti i seguenti scenari d’attacco:
• Gli aggressori inviano e-mail nocive in modo mirato ad aziende svizzere al fine di infettarle con dei ransomware. In genere le e-mail contengono un link a una pagina infetta o un allegato nocivo.
• Su specifici forum internet è possibile acquistare l’accesso a computer compromessi di ditte svizzere. Questi dispositivi sono generalmente infetti con i malware „Emotet“, „TrickBot“ o, in singoli casi, con „Qbot”. Organizzazioni criminali „acquistano” i computer infetti, per infiltrare la rete della vittima.
• Gli aggressori scannerizzano internet alla ricerca di server VPN e Terminal server aperti e provano ad ottenere l’accesso tramite attacchi brute force.

In tutte le varianti proposte i criminali utilizzano ulteriori strumenti d’attacco, ad esempio „Cobalt Strike“ o „Metasploit“, per ottenere i necessari diritti d’accesso dell’azienda. Se hanno successo collocano sui sistemi prescelti un ransomware (ad esempio „Ryuk“, „LockerGoga“, „MegaCortex“, ecc.) che cifra tutti i dati.

In considerazione della situazione attuale in rapporto a simili minacce, MELANI insiste e mette nuovamente in guardia le imprese svizzere dai ransomware invitandole ad adottare urgentemente le seguenti misure:

• Effettuate regolarmente una copia di sicurezza (backup) dei dati, ad esempio, sul disco rigido esterno. Utilizzate a questo scopo un programma che permetta di effettuare il backup regolarmente (schema nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai quali riescono ad accedere, pertanto è importante che la copia di sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio su un disco rigido esterno);
• Assicuratevi che i provider che offrono soluzioni cloud generino al meno due gerarchie, analogamente ai salvataggi di dati classici. L’accesso ai backup su cloud deve essere protetto dai ransomware, ad esempio tramite l’utilizzo di un secondo fattore di autenticazione per operazioni sensibili.
• Sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;
• Controllate la qualità dei backup e esercitatene l’istallazione in modo che, nel caso di necessità, non venga perso tempo prezioso.
• Proteggete tutte le risorse accessibili da internet (ad es. terminal server, RAS, accessi VPN, ecc.) con l’autenticazione a due fattori (2FA). Mettete un Terminal server dietro un portale VPN.
• Bloccate la ricezione di allegati e-mail pericolosi nel Gateway della vostra mail. Informazioni più dettagliate possono essere trovate alla pagina seguente: https://www.govcert.ch/downloads/blocked-filetypes.txt
• Controllate che i file log della vostra soluzione antivirus non presentino irregolarità.

Pagare il riscatto?

MELANI sconsiglia il pagamento di un riscatto in quanto ciò rafforza le infrastrutture criminali, permettendo agli aggressori di ricattare altre vittime. Inoltre non c’è nessuna garanzia di ricevere la chiave per decifrare i dati.

Seguendo questi collegamenti trovate ulteriori informazioni sui ransomware e sugli attacchi recenti:
GovCERT Blog attuale: Ransomware (in inglese)
https://www.govcert.admin.ch/blog/36/severe-ransomware-attacks-against-swiss-smes

Ulteriori informazioni su ransomware
https://www.melani.admin.ch/contro-i-ransomware

Promemoria sulla sicurezza delle informazioni per le PMI
https://www.melani.admin.ch/melani/it/home/dokumentation/liste-di-controllo-e-guide/promemoria-sulla-sicurezza-informatica-per-le-pmi.html

Giornata nazionale di sensibilizzazione contro i ransomware:
https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/ransomwareday.html

Il trojan Emotet attacca le reti aziendali
https://www.melani.admin.ch/melani/it/home/dokumentation/bollettino-d-informazione/Trojaner_Emotet_greift_Unternehmensnetzwerke_an.html