Che cos'è il ransomware?

In pratica, un attacco ransomware blocca l'accesso ai dati fino a quando non viene pagato un riscatto.

In effetti, ransomware è un tipo di malware o phishing attacco di sicurezza informatica che distrugge o crittografa file e cartelle in un computer, server o dispositivo.

Una volta che i dispositivi o i file sono bloccati o crittografati, i criminali informatici possono estorcere denaro dall'azienda o dal proprietario del dispositivo in cambio di una chiave per sbloccare i dati crittografati. Ma, anche quando a pagamento, i criminali informatici non possono mai dare la chiave all'azienda o al proprietario del dispositivo e interrompere l'accesso in modo permanente.

Come funzionano gli attacchi ransomware?

Il ransomware può essere automatizzato o coinvolgere le mani umane su un attacco gestito da tastiera.

Attacchi ransomware automatizzati

Gli attacchi ransomware di materie prime sono spesso automatizzati . Questi attacchi informatici possono diffondersi come un virus, infettare i dispositivi tramite metodi come phishing di posta elettronica e recapito di malware e richiedono la correzione per il malware.

Ciò significa che una tecnica di prevenzione ransomware è proteggere il sistema di posta elettronica con Microsoft Defender per Office 365 che protegge da malware e recapito phishing. Microsoft Defender per endpoint funziona insieme a Defender per Office 365 per rilevare e bloccare automaticamente le attività sospette nei dispositivi, mentre Microsoft Defender XDR rileva il malware e i tentativi di phishing in anticipo.

Attacchi ransomware gestiti da persone

Il ransomware gestito dall'uomo è il risultato di un attacco attivo da parte di criminali informatici che si infiltra nell'infrastruttura IT locale o cloud di un'organizzazione, elevare i propri privilegi e distribuire ransomware ai dati critici.

Questi attacchi di "tastiera pratica" sono in genere destinati alle organizzazioni anziché a un singolo dispositivo.

L'intervento umano significa anche che c'è un utente malintenzionato che usa le proprie informazioni dettagliate sulle configurazioni comuni del sistema e della sicurezza. L'obiettivo è infiltrarsi nell'organizzazione, navigare nella rete e adattarsi all'ambiente e alle sue debolezze.

Le caratteristiche distintive di questi attacchi ransomware gestiti da persone in genere includono furto di credenziali e spostamento laterale con un'elevazione dei privilegi negli account rubati.

Le attività possono essere eseguite durante le finestre di manutenzione e comportano lacune di configurazione della sicurezza individuate dai criminali informatici. L'obiettivo è la distribuzione di un payload ransomware a qualsiasi risorsa ad alto impatto aziendale scelta dagli utenti malintenzionati.

Importante

Questi attacchi possono essere irreversibili per le operazioni aziendali e sono difficili da pulire, richiedendo una rimozione completa degli avversari per proteggersi da attacchi futuri. A differenza del ransomware di materie prime che di solito richiede solo correzione malware, ransomware gestito dall'uomo continuerà a minacciare le operazioni aziendali dopo l'incontro iniziale.

Questo grafico mostra in che modo gli attacchi basati sull'estorsione aumentano di impatto e probabilità.

L'impatto e la probabilità che gli attacchi ransomware gestiti da persone continueranno a crescere

Protezione da ransomware per l'organizzazione

In primo luogo, impedire il recapito di phishing e malware con Microsoft Defender per Office 365 per proteggersi da malware e recapito di phishing, Microsoft Defender per endpoint per rilevare e bloccare automaticamente le attività sospette nei dispositivi e Microsoft Defender XDR per rilevare malware e tentativi di phishing in anticipo.

Per una panoramica completa di ransomware ed estorsione e di come proteggere l'organizzazione, fare riferimento alle informazioni nella presentazione di PowerPoint relativa al piano del progetto di mitigazione dei ransomware gestiti dall'uomo.

Ecco un riepilogo delle indicazioni:

Diagramma che mostra il riepilogo delle linee guida relative al piano del progetto di mitigazione dei ransomware gestiti da persone

• La posta in gioco in caso di ransomware e attacchi basati su estorsione è alta.
• Gli attacchi, tuttavia, presentano punti deboli che possono ridurre la probabilità di essere attaccati.
• Esistono tre passaggi per configurare l'infrastruttura per sfruttare i punti deboli degli attacchi.

Per i tre passaggi per sfruttare i punti deboli degli attacchi, vedere la soluzione Proteggere l'organizzazione da ransomware ed estorsione per configurare rapidamente l'infrastruttura IT per la migliore protezione:

1. Preparare l'organizzazione al recupero da un attacco senza pagamento del riscatto.
2. Limitare l'ambito dei danni di un attacco ransomware proteggendo i ruoli con privilegi.
3. Rendere più difficile per un utente malintenzionato accedere all'ambiente rimuovendo in modo incrementale i rischi.

Scaricare il poster Proteggere l'organizzazione da ransomware per ottenere una panoramica delle tre fasi come livelli di protezione da utenti malintenzionati che usano ransomware.

Risorse aggiuntive di prevenzione ransomware

Informazioni chiave di Microsoft:

• La crescente minaccia di ransomware, Microsoft On the Issues post di blog il 20 luglio 2021
• Protezione rapida da ransomware ed estorsione
• Report sulla difesa digitale Microsoft 2023
• Ransomware: un report di analisi delle minacce permanente e diffuso nel portale di Microsoft Defender
• Approccio ransomware daRT (Detection and Response Team) di Microsoft e procedure consigliate e case study

Microsoft 365:

• Distribuire la protezione ransomware per il tenant di Microsoft 365
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Recuperare da un attacco ransomware
• Protezione da malware e ransomware
• Proteggere il PC Windows 10 da ransomware
• Gestione di ransomware in SharePoint Online
• Report di analisi delle minacce per ransomware nel portale di Microsoft Defender XDR

Microsoft Defender XDR:

• Trovare ransomware con ricerca avanzata

app Microsoft Defender per il cloud:

• Creare criteri di rilevamento anomalie nelle app di Defender per il cloud

Microsoft Azure:

• Difesa di Azure per attacchi ransomware
• Ottimizzare la resilienza ransomware con Azure e Microsoft 365
• Piano di backup e ripristino per la protezione da ransomware
• Proteggere dal ransomware con Microsoft Backup di Azure (video di 26 minuti)
• Ripristino da compromissione dell'identità sistemica
• Rilevamento avanzato degli attacchi in più fasi in Microsoft Sentinel
• Rilevamento fusion per ransomware in Microsoft Sentinel

Post di blog del team di Microsoft Security:

Per l'elenco più recente di articoli ransomware nel blog sulla sicurezza Microsoft, fare clic qui.

• 3 passaggi per evitare e recuperare dal ransomware (settembre 2021)

• Una guida per combattere il ransomware gestito dall'uomo: Parte 1 (settembre 2021)

• Interruzione automatica degli attacchi gestiti dall'utente tramite contenimento degli account utente compromessi (ottobre 2023)

• Ransomware as a service: Informazioni sull'economia del giga cybercrime e su come proteggersi (maggio 2022)

  Passaggi chiave sul modo in cui Il team di rilevamento e risposta di Microsoft (DART) esegue indagini sugli eventi imprevisti ransomware.

• Una guida per combattere il ransomware gestito dall'uomo: parte 2 (settembre 2021)

• Defenders beware: un caso per indagini post-ransomware (ottobre 2023)

  Consigli e procedure consigliate.

• Diventare resilienti comprendendo i rischi per la cybersecurity: parte 4 delle minacce correnti (maggio 2021)

  Vedere la sezione Ransomware .

• Attacchi ransomware gestiti dall'uomo: un disastro evitabile (marzo 2020)

  Include analisi della catena di attacchi sugli attacchi effettivi.

• Risposta ransomware-to pagare o non pagare? (dicembre 2019)

• Norsk Hydro risponde all'attacco ransomware con trasparenza (dicembre 2019)