Che cos'è il ransomware?

Ransomware è un tipo di attacco alla sicurezza informatica che distrugge o crittografa file e cartelle, impedendo al proprietario del dispositivo interessato di accedere ai propri dati. Il criminale informatico può quindi estorcere denaro dal proprietario dell'azienda in cambio di una chiave per sbloccare i dati crittografati. Ma, anche in caso di pagamento, i criminali informatici potrebbero non fornire la chiave per restituire l'accesso al proprietario dell'azienda.

Importante

È necessario iniziare subito? Vedere Proteggere l'organizzazione da ransomware ed estorsione per configurare rapidamente l'infrastruttura IT per la migliore protezione ransomware.

Attacchi ransomware automatizzati

Gli attacchi ransomware commodity sono in genere automatizzati. Questi attacchi informatici possono diffondersi come un virus, infettare i dispositivi tramite metodi come phishing di posta elettronica e recapito di malware e richiedono la correzione per il malware. Ciò significa che una tecnica di prevenzione di ransomware consiste nel proteggere la posta elettronica con un sistema come Microsoft Defender per Office 365o Microsoft 365 Defender, per rilevare il malware e i tentativi di phishing in anticipo.

Attacchi ransomware gestiti da persone

Il ransomware gestito dall'uomo è il risultato di un attacco attivo da parte di criminali informatici che si infiltra nell'infrastruttura IT locale o cloud di un'organizzazione, elevare i propri privilegi e distribuire ransomware ai dati critici.

Questi attacchi di "tastiera pratica" sono destinati a un'organizzazione anziché a un singolo dispositivo. Il funzionamento umano significa che c'è un utente malintenzionato che usa le proprie informazioni dettagliate sulle configurazioni comuni del sistema e della sicurezza per infiltrarsi nell'organizzazione, navigare nella rete e adattarsi all'ambiente e alle sue debolezze man mano che vanno.

Caratteristiche distintive di questi attacchi ransomware gestiti dall'uomo in genere includono il furto di credenziali e il movimento laterale con un'elevazione dei privilegi negli account rubati. Le attività possono essere eseguite durante le finestre di manutenzione e comportano lacune di configurazione della sicurezza individuate dai criminali informatici. L'obiettivo è la distribuzione di un payload ransomware a qualsiasi risorsa ad alto impatto aziendale scelta dagli utenti malintenzionati.

Importante

Questi attacchi possono essere catastrofici per le operazioni aziendali e difficili da risolvere, in quanto richiedono un'eliminazione completa degli antagonisti per proteggersi da attacchi futuri. A differenza del ransomware commodity che richiede in genere solo la correzione dei malware, il ransomware gestito da persone continuerà a minacciare le operazioni aziendali anche dopo l'evento iniziale.

La figura seguente mostra come questo attacco basato su estorsione stia crescendo a livello di impatto e probabilità.

Protezione da ransomware per l'organizzazione

Per una panoramica completa di ransomware ed estorsione e di come proteggere l'organizzazione, fare riferimento alle informazioni nella presentazione di PowerPoint relativa al piano del progetto di mitigazione dei ransomware gestiti dall'uomo. Ecco un riepilogo delle indicazioni:

• La posta in gioco in caso di ransomware e attacchi basati su estorsione è alta.
• Gli attacchi, tuttavia, presentano punti deboli che possono ridurre la probabilità di essere attaccati.
• Ci sono tre fasi per configurare l'infrastruttura in modo da sfruttare i punti deboli degli attacchi.

Per le tre fasi per sfruttare i punti deboli degli attacchi, vedere la soluzione Proteggere l'organizzazione da ransomware ed estorsione per configurare rapidamente l'infrastruttura IT per la migliore protezione:

1. Preparare l'organizzazione al recupero da un attacco senza pagamento del riscatto.
2. Limitare l'ambito dei danni di un attacco ransomware proteggendo i ruoli con privilegi.
3. Rendere più difficile per un utente malintenzionato accedere all'ambiente rimuovendo in modo incrementale i rischi.

Scaricare il poster Proteggere l'organizzazione da ransomware per ottenere una panoramica delle tre fasi come livelli di protezione da utenti malintenzionati che usano ransomware.

Risorse ransomware aggiuntive

Informazioni chiave di Microsoft:

• La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
• Protezione rapida da ransomware ed estorsione
• Report sulla difesa digitale Microsoft 2021 (vedere le pagine 10-19)
• Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft 365 Defender
• • Approccio ransomware daRT (Detection and Response Team) di Microsoft e procedure consigliate e case study

Microsoft 365:

• Distribuire la protezione ransomware per il tenant di Microsoft 365
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Recuperare da un attacco ransomware
• Protezione da malware e ransomware
• Proteggere il PC Windows 10 da ransomware
• Gestione di ransomware in SharePoint Online
• Report di analisi delle minacce per ransomware nel portale di Microsoft 365 Defender

Microsoft 365 Defender:

• Trovare ransomware con ricerca avanzata

app Microsoft Defender per il cloud:

• Creare criteri di rilevamento anomalie nelle app di Defender per il cloud

Microsoft Azure:

• Difesa di Azure per attacchi ransomware
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Piano di backup e ripristino per la protezione da ransomware
• Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
• Ripristino da compromissione dell'identità sistemica
• Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
• Rilevamento fusion per ransomware in Microsoft Sentinel

Post di blog del team di Microsoft Security:

• 3 passaggi per evitare e recuperare dal ransomware (settembre 2021)

• Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)

  Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.

• Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)

  Consigli e procedure consigliate.

• Diventare resilienti comprendendo i rischi per la cybersecurity: parte 4 delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware .

• Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)

  Include analisi della catena di attacchi sugli attacchi effettivi.

• Risposta ransomware-to pagare o non pagare? (dicembre 2019)

• Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)