Quando i media parlano di un\u2019azienda attaccata da un ransomware, molti si immaginano la seguente situazione: degli abili hacker creano un pericoloso malware; poi studiano a lungo un modo per hackerare l\u2019azienda e infine ci riescono e criptano i dati confidenziali dell\u2019azienda in questione. Per questo motivo, alcuni imprenditori sono ancora convinti che la loro azienda non sia abbastanza interessante da indurre i criminali a impiegare cos\u00ec tante risorse per hackerarla.<\/p>\n
In realt\u00e0, le cose non potrebbero essere pi\u00f9 diverse. Un cyber-criminale moderno, infatti, non crea da solo il malware, ma lo affitta, e non spende risorse nel cercare di hackerare il suo obiettivo: si rivolge semplicemente al mercato ombra dove degli intermediari possono vender loro l\u2019accesso iniziale. Gli esperti del nostro servizio Digital Footprint Intelligence hanno deciso di scoprire quanti passaggi di denaro avvengono quando i criminali informatici comprano e vendono l\u2019accesso alle infrastrutture aziendali.<\/p>\n
Quanto spendono i cybercriminali per acquistare l\u2019accesso alla vostra infrastruttura? Dipende da molti fattori, ma il pi\u00f9 significativo \u00e8 il fatturato dell\u2019azienda. Dopo aver analizzato circa duecento inserzioni sulla darknet, i nostri esperti sono giunti alle seguenti conclusioni:<\/p>\n
Certo, non si tratta di somme enormi, ma i criminali che usano ransomware si aspettano di ricavare somme molto pi\u00f9 elevate dalle loro attivit\u00e0 di ricatto, ecco perch\u00e9 sono disposti a spendere cifre di questo tipo per l\u2019accesso iniziale. Inoltre, sembra che il prezzo di mercato si sia stabilito grazie alla domanda e all\u2019offerta organica e a un potere d\u2019acquisto ampiamente conosciuto.<\/p>\n
Gli criminali offrono diversi tipi di accesso. A volte si tratta di informazioni su una vulnerabilit\u00e0 che pu\u00f2 essere sfruttata per ottenere l\u2019accesso; altre volte si tratta di credenziali di accesso a Citrix o al pannello dell\u2019hosting del sito. Tuttavia, nella stragrande maggioranza dei casi (in pi\u00f9 del 75% degli annunci) si tratta di una variante di accesso tramite RDP (a volte in combinazione con una VPN). Di conseguanza, questa opzione di accesso remoto all\u2019infrastruttura aziendale dovrebbe essere gestita con maggiore attenzione.<\/p>\n
Esistono molte opzioni per ottenere l\u2019accesso iniziale. In alcuni casi i criminali informatici utilizzano il metodo pi\u00f9 semplice: il mining delle password. Tuttavia, il pi\u00f9 delle volte inviano e-mail di phishing ai dipendenti o e-mail con allegati dannosi (spyware o, ad esempio, stealers, che raccolgono automaticamente dai dispositivi infetti credenziali, token di autorizzazione, cookie e cos\u00ec via). A volte gli hacker sfruttano anche eventuali vulnerabilit\u00e0 note presenti nei software prima che gli amministratori le abbiano corrette con una patch.<\/p>\n
Nel nostro report pubblicato su Securelist<\/a>, potete trovare i risultati dettagliati dello studio, con esempi di annunci in cui si vendono accessi reali.<\/p>\n Poich\u00e9 il pi\u00f9 delle volte l\u2019oggetto della vendita \u00e8 l\u2019accesso remoto all\u2019infrastruttura aziendale tramite RDP, questo \u00e8 proprio il primo elemento da proteggere. I nostri esperti forniscono le seguenti raccomandazioni:<\/p>\n \u2013 impostare l\u2019accesso RDP solo tramite VPN;<\/p>\n \u2013 utilizzare password forti;<\/p>\n \u2013 utilizzare la Network Level Authentication o autenticazione a livello di rete (se possibile);<\/p>\n \u2013 utilizzare l\u2019autenticazione a due fattori per tutti i servizi critici.<\/p>\n Per ridurre le probabilit\u00e0 di furto di password attraverso il phishing, si raccomanda anche di utilizzare soluzioni di sicurezza affidabili<\/a> che abbiano un modulo anti-phishing sia sui dispositivi dei dipendenti che a livello di e-mail gateway. In secondo luogo, per proteggersi maggiormente, \u00e8 bene sensibilizzare periodicamente il personale in materia di cybersecurity<\/a><\/p>\nCome proteggersi?<\/h2>\n