La serie di attacchi informatici con il cryptor WannaCry avvenuta nel maggio 2017 è ancora considerata come una delle più grandi epidemie da ransomware della storia. Anche se Windows aveva rilasciato una patch per il suo sistema operativo per risolvere la vulnerabilità sfruttata da EternalBlue due mesi prima dell’inizio degli attacchi, WannaCry aveva comunque colpito centinaia di migliaia di dispositivi in ​​tutto il mondo. Come gli altri cryptor, WannaCry è in grado di trasformare i file sui computer delle vittime in dati crittografati, chiedendo poi un riscatto per avere accesso alle chiavi di decodifica (create dagli autori delle minacce per decifrare i file e trasformarli di nuovo nei dati originali), impedendo di fatto il funzionamento del dispositivo infetto.

Le conseguenze dell’epidemia di WannaCry sono state devastanti: le vittime sono state principalmente organizzazioni con sistemi di reti connesse – il lavoro di aziende, fabbriche e ospedali è rimasto paralizzato. Anche se questo caso ha dimostrato la pericolosità dei cryptor e la maggior parte dei PC di tutto il mondo sono stati aggiornati per resistere all’exploit EternalBlue, le statistiche mostrano che i criminali stanno ancora cercando di sfruttare quei computer che non sono stati aggiornati con le patch, visto che ce ne sono ancora molti in tutto il mondo.

Numero di utenti singoli attaccati dai cryptor nel terzo trimestre del 2018

Nel complesso, le soluzioni di sicurezza di Kaspersky Lab hanno protetto 259.867 utenti unici dagli attacchi dei cryptor, mostrando un aumento sostanziale del 39% rispetto a quanto registrato nel secondo trimestre del 2018, quando la cifra era pari a 158.921. La crescita è stata rapida e costante, con un aumento mensile osservato proprio nel numero di utenti.

“L’aumento del numero di attacchi WannaCry ci ricorda che le epidemie non finiscono così velocemente come iniziano e che ci sono sempre conseguenze a lungo termine. Nel caso dei cryptor, gli attacchi possono rivelarsi tanto gravi da rendere necessaria l’adozione di misure preventive e l’aggiornamento dei dispositivi con le patch, invece di cercare di recuperare i file crittografati in un secondo momento”, ha commentato Fedor Sinitsyn, Security Researcher di Kaspersky Lab.

Tra gli altri dati emersi dal report sulle minacce online relative al terzo trimestre del 2018 risulta che:

  • Le soluzioni Kaspersky Lab hanno rilevato e respinto 947.027.517 attacchi dannosi da risorse online localizzate in circa 200 paesi in tutto il mondo (dato in calo dell’1,7% rispetto a quanto registrato nel trimestre precedente).
  • I componenti web antivirus hanno riconosciuto come malevoli 246.695.333 URL unici (dato in calo del 29,9% rispetto a quanto registrato nel trimestre precedente).
  • Sono stati 305.315 i computer degli utenti che hanno registrato tentativi di infezione da parte di malware che avevano come obiettivo il furto di denaro tramite l’accesso online ai conti bancari.
  • L’antivirus Kaspersky Lab ha rilevato un totale di 177.356 elementi unici potenzialmente malevoli e indesiderati (dato in crescita del 24,5% rispetto a quanto registrato nel trimestre precedente).
  • Le soluzioni per la sicurezza mobile di Kaspersky Lab hanno rilevato anche 305.015 pacchetti di installazione malevoli (dato in calo del 25.2% rispetto a quanto registrato trimestre precedente).

Per ridurre il possibile rischio di infezione da parte di WannaCry e altri cryptor:

  • Si consiglia agli utenti di aggiornare sempre il proprio sistema operativo per eliminare le vulnerabilità recenti e utilizzare una soluzione di sicurezza solida con database aggiornati. È inoltre importante scegliere soluzioni di sicurezza dotate di tecnologie specializzate per la protezione dei dati da ransomware, come quelle di Kaspersky Lab. Anche se un malware nuovo e sconosciuto dovesse riuscire a penetrare di nascosto nel sistema, la tecnologia System Watcher di Kaspersky Lab sarebbe in grado di bloccarlo e di ripristinare tutte le modifiche dannose che possono essere state apportate su un dispositivo, inclusa la crittografia dei file.
  • Nello sfortunato caso in cui tutti i dati di un utente vengano crittografati con un cryptomalware, si sconsiglia di procedere con il pagamento del riscatto ai criminali informatici; questa scelta può solo incoraggiarli a continuare la loro attività, infettando anche dispositivi di altre persone. Sarebbe meglio trovare un decryptor su Internet, alcuni dei quali sono disponibili gratuitamente qui: https://noransom.kaspersky.com/it/
  • È importante anche poter contare su backup aggiornati dei propri file per sostituirli nel caso della loro perdita (ad esempio, a causa di malware o di un dispositivo guasto) e salvarli non solo su dispositivi fisici, ma anche su storage in cloud che garantiscono una maggiore affidabilità (è fondamentale ricordarsi di proteggere anche il proprio storage in cloud con password forti e a prova di cybercriminali).
  • Per le aziende è possibile ampliare la propria soluzione di sicurezza di terze parti con la versione più recente del gratuito Kaspersky Anti-Ransomware Tool.
  • Per proteggere l’ambiente aziendale è necessario anche educare i dipendenti e i team IT, tenere separati i dati sensibili, limitare gli accessi e fare sempre il backup di tutti i dati.
  • È importante utilizzare una soluzione di sicurezza dedicata, come Kaspersky Endpoint Security for Business, resa più efficace dal rilevamento “behaviour-based” e in grado di occuparsi del ripristino dopo eventuali azioni malevole. Una soluzione adeguata dovrebbe includere anche funzionalità di gestione delle vulnerabilità e delle patch, in grado di eliminare in modo automatico le vulnerabilità e di installare gli aggiornamenti, così da ridurre i rischi nei software più popolari usati dai cybercriminali.
  • Ultima cosa, ma non meno importante: è fondamentale tenere presente il fatto che un attacco ransomware è un vero e proprio reato. Non si dovrebbe mai pagare. Nel caso in cui si diventi vittima di questo tipo di minaccia, è necessario segnalarlo subito alla polizia locale.

La versione completa del report sull’evoluzione delle minacce IT di Kaspersky Lab è disponibile su Securelist.com.