SamSam, il ransomware che ha colpito Atlanta, è il primo di una lunga serie?

763

Check Point spiega come possono difendersi le organizzazioni

A cura di Check Point Software Technologies

Quando è arrivata la notizia del massiccio attacco ransomware alla città di Atlanta, i dettagli erano poco chiari: sapevamo che le udienze dei tribunali erano state rimandate, le domande di lavoro in città congelate e i sistemi informatici non sarebbero stati operativi per quasi una settimana. Adesso abbiamo un'immagine più chiara del danno che l'attacco di “SamSam” ha inflitto alla città:

  • Il dipartimento di polizia della città ha riferito che la maggior parte delle prove video (per lo più video riprese dalle dashcam) sono andate perse.
  • Più di 140 applicazioni sono state completamente o parzialmente disattivate dall'attacco (quasi il 30% dei programmi interessati erano “mission critical”).
  • Sebbene il costo iniziale fosse stato stimato in $2 milioni, la città avrà bisogno di altri $9,5 milioni per riprendersi.

Questi dati chiariscono il motivo per cui i governi delle città sono un obiettivo così attraente per i cybercriminali – visti i potenziali danni tangibili, l’accesso alle informazioni sensibili dei cittadini e la generale scarsa preparazione, è altamente probabile che questo non sia l’ultimo attacco a una città.

A meno che le città non facciano qualcosa al riguardo.

Al momento, la stragrande maggioranza delle organizzazioni – pubbliche e private – manca di un'architettura di sicurezza completa e consolidata che copra cloud e dispositivi mobile, e fanno affidamento sul rilevamento reattivo delle minacce, che funziona solo dopo che il danno è stato fatto. Sulla base delle nostre ricerche, solo il tre percento delle organizzazioni dispone di protezioni cloud e mobile basate su un sistema proattivo di prevenzione delle minacce.

Oltre a proteggersi adeguatamente dai moderni attacchi informatici di quinta generazione, sappiamo che la città di Atlanta è stata colpita sfruttando una vulnerabilità dei server priva di patch. Le best practice, come le patch, possono fare molto per prevenire il prossimo attacco informatico.

Ecco alcuni passaggi che è possibile intraprendere per garantire la sicurezza delle reti delle organizzazioni:

  • Conoscere la tua infrastruttura come il palmo della tua mano: gli ambienti IT sono complessi e costosi, includono desktop, laptop, dispositivi mobili e IoT, server e cloud. Familiarizzare con i punti di accesso e gli elementi più importanti della rete e essere consapevoli di quanti e quali tipi di informazioni il sistema archivia è fondamentale.

Che si tratti dell'autenticazione degli utenti o del provisioning, dell'accesso dell'amministratore, della protezione dei dati dell'infrastruttura o della continuità delle operazioni, ogni dettaglio della rete potrebbe prestarsi a una vulnerabilità.

  • Assumere di essere già stati compromessi: le vulnerabilità sono prodotti molto popolari sul Dark Web e i criminali informatici potrebbero aver già acquisito le informazioni che possono farli entrare nella tua rete. Agisci come un sistema immunitario: segmenta la tua rete ed esamina l'interno della tua azienda alla ricerca delle infezioni che si spostano lateralmente.
  • Gli hacker non sono le tue uniche minacce: errori umani, backup difettosi e social engineering (ad esempio, gli attacchi di phishing) possono causare altrettanti danni di un geniale attacco di quinta generazione alla tua rete.

Tenendo a mente queste buone pratiche e con le giuste protezioni nei confronti degli attacchi di quinta generazione, la tua organizzazione può fare molto per evitare che diventi la prossima importante notizia. Prevenire gli attacchi informatici prima che accadano, si rivelerà molto più efficace del rilevamento e della riparazione del danno dopo il fatto.