Check Point Research (CPR) sta rilevando un aumento globale degli attacchi ransomware, insieme a un aumento degli attacchi informatici che prendono di mira le vulnerabilità dei server Microsoft Exchange. La rivelazione arriva in un momento in cui la CISA ha lanciato un allarme sugli attacchi ransomware contro i server Microsoft Exchange, così come altri ricercatori di sicurezza che hanno già rilevato almeno due gruppi che sfruttano le vulnerabilità di Microsoft Exchange per infettare le vittime con ransomware – il gruppo ransomware BlackKingdom e un altro gruppo sconosciuto che distribuisce un nuovo ceppo di malware chiamato DearCry.
Crescita globale dei ransomware
Recentemente, CPR ha individuato le seguenti tendenze e dati sugli attacchi ransomware sulla base delle aziende che segue:
- Da ottobre 2020, c’è stato un aumento del 57% nel numero di aziende colpite da ransomware a livello globale
- Dall’inizio del 2021, il numero di aziende colpite da ransomware è cresciuto del 9% mese dopo mese
- Negli ultimi 6 mesi, c’è stato un aumento generale del numero di attacchi che coinvolgono ransomware come Maze e Ryuk
- In totale, 3.868 aziende sono state colpite
Figura 1. Tentativi di attacco ransomware per Paese
CPR ha identificato i primi 3 Paesi che hanno registrato il maggior numero di tentativi di attacco ransomware: USA (12%), Israele (8%) e India (7%).
Figura 2. Tentativi di attacco ransomware per settore industriale
CPR ha identificato i primi 3 settori industriali che hanno subito il maggior numero di tentativi di attacco ransomware quali Governativo/Militare (18%), Manifatturiero (11%), Finanziario/Bancario (8%).
Aumentano gli attacchi informatici contro i server Microsoft Exchange
Recentemente, CPR ha individuato le seguenti tendenze e dati sugli attacchi informatici che hanno preso di mira i server Microsoft Exchange sulla base delle aziende che segue:
- Nell’ultima settimana, il numero di attacchi che hanno coinvolto le vulnerabilità di Exchange Server è triplicato
- Oltre 50.000 tentativi di attacco sono stati documentati da CPR nei confronti dei server Microsoft Exchange
- I settori industriali più colpiti sono quello Governativo/Militare, quello Manifatturiero e poi quello Bancario/Finanziario.
- Il Paese più colpito sono gli Stati Uniti (49% di tutti i tentativi di attacco), seguiti da Regno Unito (5%), Paesi Bassi (4%) e Germania (4%)
Figura 3. Attacchi informatici ai server Exchange aziendali per Paese
WannaCry è di nuovo di tendenza
WannaCry è di nuovo di tendenza. WannaCry è un worm ransomware che si è diffuso rapidamente attraverso una serie di reti di computer nel maggio del 2017. Dopo aver infettato un computer Windows, cripta i file sul disco rigido del PC, rendendo impossibile il loro accesso da parte degli utenti, quindi richiede il pagamento di un riscatto in bitcoin per decriptarli. CPR ha individuato le seguenti tendenze e dati relativi a WannaCry sulla base delle aziende che segue:
- Dall’inizio dell’anno, il numero di aziende colpite da WannaCry a livello globale è aumentato del 53%.
- Ci sono 40 volte più aziende colpite nel marzo 2021, rispetto all’ottobre 2020
- I nuovi casi utilizzano ancora l’exploit EternalBlue per diffondersi
Figura 4. Numero di attacchi di WannaCry negli ultimi 6 mesi
Lotem Finkelsteen Manager di Threat Intelligence:
“Due trend stanno verificandosi simultaneamente. Uno, gli attacchi informatici contro i server Microsoft Exchange sono in forte aumento. Due, gli attacchi ransomware sono in costante aumento. Anche se non abbiamo ancora concluso che le due tendenze sono direttamente collegate, c’è motivo di preoccupazione. Crediamo che le vulnerabilità di Microsoft Exchange abbiano aperto un’altra via d’accesso alle aziende. E così, Check Point Research sta anche suonando il campanello d’allarme, proprio come ha fatto CISA. Stiamo esortando le organizzazioni ad agire ora, prima che i gruppi di ransomware rendano popolari gli exploit di Exchange. Nel crimine informatico, raramente vediamo aziende che dimostrano una crescita costante, o rapidi adattamenti a fattori mutevoli, quali rapide adozioni di nuove tecnologie. Il ransomware è una di quelle rare aziende.”
Come le aziende possono proteggersi dai ransomware
- Eseguire il backup di tutti i dati – Uno dei compiti più importanti è il backup dei dati della vostra azienda. Se qualcosa andasse storto, i vostri dati dovrebbero essere in grado di tornare rapidamente e facilmente a una versione precedente.
- Mantenere aggiornato il software – Chi diffonde ransomware a volte trova una via d’accesso all’interno di app e software, notando le vulnerabilità e sfruttandole. Fortunatamente, alcuni sviluppatori cercano attivamente nuove vulnerabilità e le correggono.
- Utilizzare un migliore rilevamento delle minacce – La maggior parte degli attacchi ransomware può essere rilevata e risolta prima che sia troppo tardi. Per massimizzare le possibilità di protezione, è bene disporre di un rilevamento automatico delle minacce nella vostra azienda.
- Implementare l’autenticazione multifattoriale – L’autenticazione multifattoriale costringe gli utenti a verificare la propria identità in più modi prima che venga concesso loro l’accesso a un sistema. Così facendo, se anche un dipendente desse erroneamente la propria password a un criminale informatico, questo non sarà in grado di ottenere un facile accesso ai vostri sistemi.
- Scansionare e monitorare le e-mail e l’attività dei file – Le e-mail sono uno dei più comuni vettori dei criminali informatici che mettono in atto campagne di phishing, quindi prendetevi il tempo per scansionare e monitorare le e-mail su base continuativa, e considerate l’implementazione di una soluzione automatica di sicurezza e-mail per bloccare le e-mail malevole prima che raggiungano i vostri utenti.
