Attacco ransomware: ecco cosa ne dicono le aziende di sicurezza informatica
8 Febbraio 2023
Kaspersky
Passiamo a Kaspersky e al suo senior security researcher, global research and analysis team, Giampaolo Dedola. “La recente campagna d’infezioni ransomware che sta interessando alcuni server ESXi in varie parti del mondo”, sostiene, “mostra come questo tipo di minaccia sia ancora molto diffusa. E che l’applicazione di requisiti di sicurezza minimi, come la mancata installazione puntuale degli aggiornamenti di sicurezza, sia ancora oggi un problema comune. Le informazioni attualmente a disposizione”, prosegue Dedola, “indicano, infatti, che gli attaccanti stanno utilizzando come vettore d’infezione una vulnerabilità nota dal 2021, per la quale sono disponibili pubblicamente dei poc (proof of concept), esempi di codice che mostrano come sfruttare la vulnerabilità”.
Dalle prime analisi “si evince inoltre una similarità tra il ransomware usato in questi attacchi e Babuk, il cui codice è anch’esso disponibile pubblicamente e potrebbe essere stato utilizzato come base di partenza per lo sviluppo del malware. Queste condizioni comportano che anche attaccanti sprovvisti di elevate competenze tecniche possano lanciare azioni offensive di successo. La campagna in questione mette quindi in evidenza il livello di rischio a cui vengono esposte le macchine raggiungibili tramite internet e non protette adeguatamente”.
Per dare un’idea della diffusione dei ransomware, aggiunge Dedola, “possiamo dire che nei primi dieci mesi del 2022 la percentuale di utenti attaccati è quasi raddoppiata rispetto allo stesso periodo del 2021. Questa crescita così impressionante indica che le organizzazioni di ransomware hanno continuato a perfezionare le loro tecniche e a sviluppare nuove varianti di questo malware: nel 2022 ne abbiamo rilevate più di 21.400”.
Trend Micro
Secondo Salvatore Marcis, technical director di Trend Micro Italia, “casi come questo confermano l’importanza di mantenere la soglia di attenzione sempre molto alta. E’ prioritario dotarsi di sistemi di protezione adeguati e provvedere costantemente alla manutenzione e all’aggiornamento delle infrastrutture di difesa, per evitare di dover pagare poi pesanti dazi in termini di reputazione, disservizi alla propria clientela e multe per non aver rispettato le normative. Una strategia in questi casi può essere quella di adottare sistemi di virtual patching“, sottolinea Marchi”. Sistemi “in grado di proteggere i propri sistemi anche prima del rilascio delle patch ufficiali da parte dei produttori dei sistemi colpiti”.
Prosegue Marcis: “nello specifico, a fronte delle ultime attività riscontrate sulla rete globale, consigliamo a tutte le organizzazioni di verificare costantemente eventuali flussi di rete insoliti e di mantenere i sistemi aggiornati alle ultime release e patch. Spesso le attività fraudolente trovano spazio attraverso lo sfruttamento di vulnerabilità non più recenti ma fatali per applicazioni e infrastrutture critiche”.
