Il Garante sanziona Postel: il data breach subito è la conseguenza di una vulnerabilità ignorata per un anno. Per l’azienda multa di 900.000 euro.

Il data breach di Postel

Nell’Agosto 2023, Postel ha subito un attacco informatico di tipo ransomware che ha compromesso la funzionalità dei server e di alcune postazioni di lavoro. L’incidente, avvenuto a causa di una vulnerabilità già nota, ha provocato l’esfiltrazione di file contenenti i dati personali di circa 25.000 individui. Tra i soggetti coinvolti figuravano dipendenti, ex dipendenti, loro congiunti, titolari di cariche societarie, candidati per posizioni lavorative e rappresentanti di imprese con rapporti commerciali con Postel.

I dati sottratti, in seguito diffusi anche nel dark web, includevano informazioni personali come dati anagrafici, di contatto, di accesso e identificazione, oltre a dati relativi ai pagamenti e informazioni su condanne penali e reati. Tra i dati violati vi erano anche categorie particolarmente sensibili, come l’appartenenza sindacale e informazioni sullo stato di salute.

La vulnerabilità già segnalata ma non risolta

La vulnerabilità sfruttata, anzi due, sono state CVE-2022-41040 e CVE-2022-41082. Entrambe sono vulnerabilità che affliggevano Microsoft Exchange Server. La prima è una vulnerabilità di escalaton dei privilegi, la seconda una vulnerabilità di esecuzione di codice arbitrario da remoto.

Nonostante queste vulnerabilità fossero già state segnalate per tempo, Postel non ha provveduto a implementare le misure necessarie per proteggere i propri sistemi informatici. Il primo avviso era stato inviato dal produttore del software a settembre 2022, con la disponibilità degli aggiornamenti necessari. In seguito, a novembre 2022, era poi avvenuta la segnalazione da parte dell’Agenzia per la Cybersicurezza Nazionale.

Tuttavia, la mancata applicazione dell’aggiornamento di sicurezza della piattaforma Microsoft Exchange ha lasciato i sistemi esposti per quasi un anno, evidenziando gravi carenze del processo di patching management della società.

Oltre a ciò, l’azienda non ha rispettato gli obblighi previsti dalla normativa sulla protezione dei dati personali, che richiede l’adozione di misure tecniche e organizzative adeguate al rischio. In particolare, è emersa una chiara violazione del principio di privacy by design. Questo perché l’azienda non è riuscita a garantire adeguatamente la riservatezza, l’integrità e la resilienza dei propri sistemi informatici.

Per saperne di più > Privacy by design e privacy by default: definizioni e differenze

Dal provvedimento è emerso anche che l’azienda, nella notifica del data breach fatta al Garante, non ha fornito informazioni esaustive sulla violazione e sulle misure di mitigazione o di eliminazione delle vulnerabilità riscontrate. Questo ha inevitabilmente comportato un allungamento dei tempi per le verifiche dell’Autorità.

Il Garante sanziona Postel con 900.000 euro

Il Garante per la Protezione dei Dati Personali ha imposto a Postel Spa una sanzione amministrativa di 900.000 euro. La decisione è stata motivata dall’inerzia dell’azienda nel risolvere la vulnerabilità nota e dal conseguente grave data breach subito.

Oltre alla multa, il Garante ha ordinato a Postel di condurre un’analisi straordinaria delle vulnerabilità dei propri sistemi, di predisporre un piano per la loro gestione e di stabilire tempistiche precise per il rilevamento e la risposta ai rischi informatici.

Cosa ci insegna la vicenda del Garante che sanziona Postel

Il caso del Garante che sanziona Postel è un esempio emblematico di come una mancata gestione delle vulnerabilità informatiche possa avere ripercussioni molto gravi, non solo a livello di costi ma anche di sicurezza e protezione dati.

Questa vicenda sottolinea l’importanza cruciale di adottare un approccio strutturato e proattivo alla sicurezza informatica, in cui il patch management occupi un ruolo centrale. Una strategia efficace di gestione delle patch non è solo una buona pratica: rappresenta una linea di difesa fondamentale contro i cyberattacchi.

Gli aggiornamenti tempestivi dei sistemi informatici sono tra le misure più semplici e immediate per mitigare il rischio dello sfruttamento delle vulnerabilità. Questi, non solo proteggono dai rischi immediati, ma contribuiscono anche a costruire una cultura della sicurezza all’interno dell’organizzazione. Quando questa pratica viene integrata nei processi aziendali, oltre ad aumentare la conformità normativa, aumenta anche la capacità di prevenire attacchi futuri.

Il caso di Postel dimostra come sottovalutare queste misure possa trasformarsi in un costo elevatissimo, non solo in termini di sanzioni, ma anche per la gestione dell’incidente, il recupero dei sistemi compromessi e il danno reputazionale. Di fronte a un panorama di minacce informatiche in continua evoluzione, ogni azienda dovrebbe considerare il patch management non un’opzione, ma una necessità strategica per la protezione del proprio business.

Il provvedimento completo è consultabile qui.

Quando l’antivirus diventa un’arma: scopri come il malware sfrutta un driver legittimo per aggirare le difese di sicurezza. Proteggi il tuo sistema da attacchi BYOVD

Quando l’antivirus diventa un’arma…

Siamo abituati a pensare agli antivirus come una vera e propria barriera a difesa dei nostri computer. I ricercatori di Trellix hanno pubblicato un report tecnico che rovescia questa convinzione. Hanno cioè individuato in uso e analizzato un malware che “arma” un driver legittimo… di Avast.

In breve gli attaccanti hanno armato un driver legittimo, Avast Anti Rootkit, per terminare processi e software di sicurezza. Il malware che rilascia il driver modificato è una variante di un AV Killer; viene fornito con una lista integrata di 142 diversi processi di sicurezza di vari vendor da terminare. Il problema serio è che il driver può funzionare a livello del kernel e quindi ha accesso a “parti” critiche del sistema operativo.

I ricercatori hanno ribattezzato questo malware kill-floor.exe.

La catena di infezione

Andiamo un pò più sul tecnico e vediamo quanto descritto dai ricercatori di Trellix: qui è disponibile il report completo. Stando a quanto osservato dai ricercatori questo malware sfrutta l’approccio BYOVD – Bring-Your-Own-Vulnerable-Driver. La catena di infezione inizia con la diffusione del driver legittimo Avast Anti Rootkit sul dispositivo. l malware scarica il driver kernel legittimo come “ntfs.bin”.

Per saperne di più > Bring your own vulnerable driver: la tecnica di attacco sempre più popolare tra i cyber attaccanti

Gli attaccanti insomma non sfruttano un driver appositamente preparato. Usano anzi un driver già “fidato” perché pensato già per operare a livello del kernel. Una volta che il driver legittimo è stato scaricato, il malware usa sc.exe (Service Control Manager Configuration Tool) per creare un servizio ‘aswArPot.sys’ che registra il driver per eseguire azioni future.

A questo punto, una volta installato ed eseguito il driver, il malware con accesso a livello di kernel può terminare processi di sicurezza e assumere il controllo del sistema.

Il driver di sicurezza… che spegne gli antivirus

Come detto, il malware porta con sé una lista di 142 processi di sicurezza

Una volta creato il servizio aswArPot.sys, il malware entra in loop infinito e, per prima cosa, esegue un snapshot dei servizi attivi sul sistema. Raccoglie quindi informazioni sui processi che trova in esecuzione quindi li compara alla lista di servizi integrata. Se il malware incontra un match, crea un handle che riferisce al driver Avast installato.

Dato che i driver in modalità kernel possono sovrascrivere processi, il driver Avast procede a terminare quelli che individua nella propria lista aggirando, senza sforzo, i meccanismi difensivi comunemente utilizzati dalla maggior parte delle soluzioni antivirus e EDR.

Tra i processi di sicurezza presi di mira troviamo quelli appartenenti a soluzioni note come McAfee, Symantec, Sophos, Avast, Trend Micro, Microsoft Defender, SentinelOne, Eset ecc…

Se l’antivirus diventa un’arma: casi precedenti

L’uso di driver legittimi come armi anziché strumenti di protezione non è affatto nuovo. Nel Dicembre 2021 i ricercatori scoprirono che il ransomware Cuba utilizzava uno script che abusava di una funzione presente sempre nel driver kerner Avast Anti Rootkit per terminare i processi di sicurezza sul sistema bersaglio.

Nello stesso periodo i ricercatori di SentinelOne pubblicarono informazioni relative a due vulnerabilità presenti sempre nel driver Anti Rootkit di Avast, utilizzato anche da AVG. Le vulnerabilità erano la CVE-2022-26522 e la CVE-2022-26523: entrambe potevano essere sfruttate per eseguire l’escalation dei privilegi e disabilitare, quindi, i prodotti di sicurezza.

Nel 2022 invece i ricercatori di TrendMicro denunciarono un uso del tutto identico di Avast Anti Rootkit da parte del gruppo ransomware AvosLocker.

Indicatori di compromissione

40439f39f0195c9c7a3b519554afd17a (kill-floor.exe)
a179c4093d05a3e1ee73f6ff07f994aa (ntfs.bin)

Attacchi che sfruttano driver vulnerabili: come proteggersi

Proteggersi da attacchi così insidiosi è complesso, ma possibile. Anzitutto è consigliabile utilizzare regole che indentificano e bloccano i componenti in base alle firme o agli hash. Importante è anche la scelta di soluzioni che garantiscano una blocklist di driver vulnerabili. Microsoft ha già introdotto questa blacklist che viene aggiornata a ogni rilascio di Windows. A partire da Windows 11 2022 questa lista è attiva di default su tutti i dispositivi.

La miglior difesa è comunque quella di implementare meccanismi di protezione contro gli attacchi BYOVD (Bring Your Own Vulnerable Driver). Questa tipologia d attacchi si basa proprio sull’uso illegittimo di driver legittimi ma vulnerabili e che hanno accesso a livello di kernel. Impostare quindi regole mirate per firma o hash per bloccare questi driver è fondamentale. Integrare questa regola nella soluzione antivirus o EDR garantisce che anche i driver legittimi con vulnerabilità vengano bloccati in maniera efficace.

Per approfondire > Endpoint Detection and Response (EDR) per combattere le minacce informatiche odierne

Il Garante Privacy afferma che in caso di violazione occasionale lieve, dovuta a errore umano involontario, potrà non scattare la sanzione. E’ ciò che emerge dal provvedimento n. 441/2024, grazie al quale una società di autonoleggio presso l’aeroporto di Venezia ha “scampato” la sanzione.

I fatti

Due cittadini norvegesi, in seguito ad un viaggio tra Italia e Croazia, hanno presentato un reclamo all’autorità di protezione dei dati personali norvegese. Lamentavano il fatto di aver ricevuto una multa per guida in aree non consentite da parte della polizia italiana e una contestazione per mancato pagamento di pedaggio autostradale da una società di recupero crediti. Gli stessi però, non c’entravano nulla. Avevano noleggiato una macchina durante il loro viaggio, ma non quella coinvolta nelle infrazioni. Inoltre, non si trovavano in Italia nel periodo in cui erano state commesse le violazioni.

Questo malinteso è dovuto ad un errore della società di autonoleggio presso l’aeroporto di Venezia, la quale ha associato ai due turisti norvegesi un numero di targa che non gli apparteneva. Di conseguenza, la società di autonoleggio ha comunicato, in maniera errata, alla polizia stradale e alle società delle autostrade i nomi dei due norvegesi, estranei alle violazioni.

Ovviamente, una volta appurato l’errore, le multe sono state ritirate. I due turisti hanno però deciso di presentare reclamo al Garante per la Protezione dei Dati Personali per la questione legata alla privacy dei loro dati.

Cooperazione transfrontaliera

La gestione del reclamo è stata trasferita dall’autorità norvegese al Garante italiano in conformità al meccanismo di cooperazione transfrontaliera previsto dal GDPR, in particolare dall’articolo 60.
Questo meccanismo garantisce all’interessato la possibilità di rivolgersi a un unico punto di contatto per i reclami relativi a trattamenti transfrontalieri di dati personali.

Si tratta di un meccanismo di co-decisione in cui l’Autorità capofila emette la decisione finale, previa consultazione delle altre Autorità coinvolte, per garantire consenso e coerenza.
Nel caso in questione, la procedura è stata presa in carico dal Garante italiano poiché, in base al GDPR, l’autorità capofila è quella del paese in cui si trova lo stabilimento principale del titolare del trattamento (ovvero, in questo caso, la società di autonoleggio).

La decisione del Garante

Il Garante ha accertato che il disguido era dovuto ad un errore commesso dagli operatori durante l’inserimento dei dati. Questo errore è stato definito dal Garante Privacy come un data breach. Questo perché si è verificata una comunicazione di dati non dovuta e i reclamanti non sono stati gli effettivi contravventori.

Ricordiamo infatti che, il GDPR, definisce un data breach in questo modo:

“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Il Garante ha però fatto alcune valutazioni: si è trattato di un errore umano e di un fatto isolato. Non, quindi, di un problema informatico o operativo del sistema. Inoltre, l’autonoleggio ha subito rettificato i dati, fatto archiviare le multe e aggiornato, nel corso del provvedimento, le misure tecniche e organizzative impiegate, in modo tale da ridurre ulteriormente l’eventualità di errori simili in futuro.

A seguito di queste considerazioni, il Garante ha deciso di chiudere il caso senza adottare alcuna misura correttiva o sanzionatoria. Ha però invitato l’azienda di noleggio auto a prestare attenzione all’adeguatezza delle misure tecniche e amministrative implementate per il trattamento dei dati e, soprattutto, di garantire una formazione continua e adeguata per i dipendenti, al fine di ridurre al minimo il rischio di errori umani involontari.

Per saperne di più > Data breach: il 74% causati da errore umano

Errore umano involontario: il Provvedimento del Garante

Il provvedimento n. 441/2024 del Garante per la protezione dei dati personali introduce una novità rilevante, in linea con le indicazioni del Gruppo dei Garanti UE (EDPB). In particolare, stabilisce che, in caso di una violazione della privacy dovuta a un errore umano involontario o accidentale, come ad esempio una disattenzione da parte di un dipendente, e qualora il rischio per i diritti e le libertà degli interessati sia basso, il Garante non applicherà automaticamente una sanzione. In tali circostanze, l’autorità avrà la facoltà di decidere di non irrogare la sanzione, valutando caso per caso la situazione.

Inoltre, in casi di questo tipo, non saranno necessarie nemmeno:

• la comunicazione di data breach all’autorità di controllo;
• la comunicazione di data breach agli interessati.

Ciò che viene dichiarato nel provvedimento potrà essere applicato anche in casi simili caratterizzati da disattenzione, occasionalità, conseguenze limitate o buona fede del dipendente nel gestire la situazione.

Il provvedimento completo è consultabile qui.

Per approfondire > Notifica data breach: l’EDPB aggiorna le linee guida

Le soluzioni di patch management rappresentano un’ottima opportunità di business per i MSP. Vantaggi competitivi, fidelizzazione dei clienti, efficienza operativa migliorata e non solo. Vediamo nell’articolo cos’è il patch management e perché è promettente per i rivenditori.

Patch Management: un’opportunità per MSP

In un panorama tecnologico in continua evoluzione, il patch management diventa cruciale per garantire la sicurezza contro le minacce informatiche. L’ENISA ha rilevato che oltre il 30% degli attacchi informatici utilizza falle di sicurezza in software non aggiornati. Tuttavia, molte aziende non hanno le risorse o le competenze per mantenere i sistemi aggiornati in modo proattivo. Questo rappresenta un’opportunità di business per i Managed Service Providers (MSP), che possono offrire soluzioni automatizzate per semplificare la gestione degli aggiornamenti, ridurre il rischio di esposizione alle vulnerabilità e migliorare la sicurezza complessiva.

Per saperne di più > Prevenire i Data Breach: soluzioni concrete per la sicurezza

Cos’è il Patch Management e perché è così importante per un’azienda?

Il Patch Management è un vero e proprio “kit di pronto soccorso” che mira ad equilibrare la sicurezza informatica con le esigenze operative aziendali.

Quando emergono vulnerabilità sconosciute nei sistemi IT, i criminali informatici possono sfruttarle per attacchi mirati e per diffondere malware. Gli analisti di sicurezza di Google Mandiant hanno rilevato che gli aggressori hanno capacità sempre maggiori di individuare vulnerabilità sconosciute nei software. Un ulteriore aspetto negativo di questo tipo di minacce, chiamate vulnerabilità 0-day, è che gli attaccanti impiegano solamente 5 giorni per sfruttare una vulnerabilità appena divulgata. Per contrastare queste minacce, i fornitori di software rilasciano aggiornamenti correttivi, noti come ‘patch’. Per citare un esempio, attacchi come il famoso ransomware WannaCry sono stati possibili grazie alla mancata applicazione di una patch critica di Microsoft.

Senza aggiornamenti tempestivi, le aziende rischiano di essere vulnerabili a tali minacce che potrebbero causare danni irreparabili, sia in termini di dati che di reputazione. Di conseguenza, per le aziende. diventa imprescindibile implementare una strategia di patch management efficace che sia proattiva e non reattiva.

Per saperne di più > Le vulnerabilità 0-day sono il 70% di quelle individuate nel 2023. Parola di Google

A cosa serve il Patch Management?

Il patch management è fondamentale per le aziende per diverse ragioni:

• risoluzione di vulnerabilità: le patch correggono vulnerabilità conosciute, impedendo che vengano sfruttate dagli attaccanti;
• riduzione del rischio: l’applicazione regolare delle patch riduce significativamente il rischio di attacchi informatici, poiché i sistemi non aggiornati sono bersagli ideali per gli attaccanti;
• conformità normativa: subire attacchi informatici può comportare gravi conseguenze economiche, tra cui multe salate. Una corretta gestione delle patch non solo previene tali attacchi, ma assicura anche la conformità al GDPR, proteggendo i sistemi aziendali da vulnerabilità.
• continuità operativa: le patch garantiscono il corretto funzionamento delle infrastrutture, evitando interruzioni o danni ai servizi aziendali;
• protezione della reputazione: una gestione adeguata delle patch dimostra l’impegno nella sicurezza dei dati dei clienti, proteggendo così la reputazione dell’azienda;
• risparmio a lungo termine: prevenire gli attacchi attraverso una gestione tempestiva delle patch è più economico rispetto ai costi derivanti da un attacco informatico.

Perché diventare MSP di soluzioni di patch management è un’ottima idea?

Diventare Managed Service Provider (MSP) di soluzioni di patch management offre numerosi vantaggi. Ecco i principali:

Mercato in crescita e alta domanda

La gestione delle patch è una delle pratiche di sicurezza IT fondamentali per le aziende di tutte le dimensioni. Con l’aumento delle minacce informatiche e l’introduzione di normative come il GDPR, molte organizzazioni sono obbligate a implementare soluzioni di patching regolari per evitare di subire attacchi. Essere un rivenditore o MSP di soluzioni di patch management ti permette di soddisfare una necessità crescente di sicurezza IT, che rende il servizio altamente richiesto e di offrire ai tuoi clienti un servizio fondamentale per la loro protezione.

Opportunità di entrate ricorrenti

Le soluzioni di patch management generano entrate ricorrenti. Questo ti consente di creare una base stabile di clienti che paga per l’uso continuativo del servizio.

Fidelizzazione del cliente

Le soluzioni di patch management non sono un prodotto che viene acquistato e dimenticato. Le aziende hanno bisogno di applicare regolarmente gli aggiornamenti per mantenere i loro sistemi sicuri e conformi. Come rivenditore o MSP, questo crea opportunità di:

• fidelizzare i clienti, offrendo supporto continuo e gestione regolare delle patch;
• espandere i servizi attraverso pacchetti di assistenza o soluzioni complementari, aumentando così il valore che puoi offrire ai tuoi clienti.

Vantaggio competitivo

Offrire soluzioni di patch management come parte del portafoglio di servizi consente agli MSP di differenziarsi dalla concorrenza. È possibile presentare questo servizio come un valore aggiunto che protegge l’infrastruttura IT e ottimizza le risorse dei clienti.

Miglioramento dell’efficienza operativa

Le soluzioni moderne di patch management sono automatizzate, il che significa che i clienti non devono gestire manualmente gli aggiornamenti. Come MSP, questo ti consente di:

• gestire più clienti contemporaneamente senza aumentare proporzionalmente il carico di lavoro, grazie all’automazione e alla centralizzazione;
• ridurre i costi operativi e migliorare la produttività, poiché il processo di gestione delle patch diventa più snello e veloce.

La soluzione di Patch Management di Seqrite

I prodotti Seqrite includono funzionalità avanzate di patch management, progettate per risolvere con successo le vulnerabilità delle applicazioni, tra cui i prodotti Microsoft. Rivendendo le soluzioni Seqrite, offrirai ai tuoi clienti una piattaforma centralizzata per la gestione delle patch, semplificando l’amministrazione e aumentando la produttività.

Oltre al patch management, le soluzioni Seqrite integrano anche altre misure di sicurezza, come firewall, antivirus e sistemi di rilevamento delle intrusioni. Questa protezione a più livelli assicura una difesa completa e robusta per l’infrastruttura IT aziendale, migliorando la sicurezza complessiva.

Attacchi ransomware 2024: il secondo quadrimestre ha fatto registrare un continuo aumento. A livello globale, rispetto al 2022, l’incremento è del 98,75%. Nell’articolo vediamo le statistiche, la distribuzione degli attacchi e come proteggersi.

Attacchi ransomware 2024: il Report di Ransomfeed

Ransomfeed, la piattaforma che monitora in modo continuo i gruppi ransomware per rilevare tutte le rivendicazioni pubblicate dai vari criminali, ha pubblicato il report del secondo quadrimestre 2024.

Per realizzarlo, ha raccolto i dati degli attacchi ransomware attraverso uno scraping periodico da fonti riconosciute nel dark web e dai leak site dove i gruppi ransomware pubblicano le rivendicazioni dell’attacco. Ha innanzitutto effettuato un’analisi globale, per poi analizzare in particolare l’Italia.

Complessivamente, sono stati monitorati 208 gruppi criminali operanti a livello globale. Le rivendicazioni degli attacchi ransomware sono state 1747, di cui 58 nel territorio italiano. Il mese di Maggio ha fatto registrare il picco, con un totale di 557 attacchi, seguito da Agosto (446), Luglio (405) e Giugno (339).

Per approfondire > Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

Il ransomware nel mondo

Nel secondo quadrimestre 2024, la regione nord-occidentale del mondo si mostra la più colpita dai ransomware. Rimane quindi invariata la distribuzione geografica degli attacchi rispetto ai quadrimestri precedenti.

A livello globale, emerge chiaramente che l’impatto del conflitto tra Israele e Palestina ha contribuito all’aumento di attacchi registrati nei Paesi che supportano una delle due fazioni. Molti gruppi criminali sono nati in risposta all’ideologia politica di una delle due parti.

Gli Stati Uniti si aggiudicano il primo posto nella triste classifica delle vittime, rappresentando una quota significativa degli attacchi, ovvero il 48% del totale. A seguire troviamo il Regno Unito, con un 6,1% e il Canada con il 5,5%, L’Italia si aggiudica il 4° posto, con il 3,3% di attacchi subiti.

Questi Paesi rappresentano gli obiettivi privilegiati degli attaccanti perché sono sede di importanti attività economiche e dispongono di infrastrutture tecnologiche avanzate.

Proseguendo la lista, in ordine di numero di attacchi, nella top ten troviamo Germania, Spagna, Francia, Brasile, India, Israele e Australia. Come nei quadrimestri precedenti, anche in questo caso c’è però un ampio divario tra gli Stati Uniti e il resto del mondo. Non c’è da stupirsi: questo fenomeno riflette la maggior concentrazione di infrastrutture industriali e aziendali rispetto agli altri paesi.

Confrontando i dati con gli anni precedenti, emerge un trend in costante crescita. Se rispetto al 2023 l’incremento è stato “solo” dell’1,28%, rispetto al 2022 l’incremento ha raggiunto il 98,75%.

Le organizzazioni governative, le istituzioni educative e i servizi terziari, grazie alla loro centralità nel tessuto socio-economico, sono tra i bersagli preferiti dei criminali e testimoniano un incremento degli attacchi.

Attacchi ransomware 2024 in Italia

Nel territorio italiano sono stati registrati ben 58 attacchi, che equivalgono a un attacco ogni due giorni. Questi dati testimoniano un incremento di quasi il 100% rispetto al secondo quadrimestre del 2022.

Per quanto riguarda l’Italia, i settori maggiormente colpiti sono quelli dell’industria e del commercio. A seguire troviamo poi i settori della tecnologia, consulenza, dell’istruzione e dei servizi.

Per quanto riguarda la distribuzione geografica degli attacchi, l’attenzione dei criminali informatici è spesso rivolta al nord Italia. Un dato, questo, che si conferma costante nel tempo.

La mappa è disponibile cliccando qui.

Per approfondire > Subire un attacco ransomware non esime dalle responsabilità di protezione dati: il Garante Privacy sanziona la regione Lazio

E’ necessario un approccio proattivo alla sicurezza informatica

Questa tendenza rappresenta un segnale allarmante che evidenzia non solo la costante crescita degli attacchi ransomware, ma anche l’evoluzione delle tattiche e delle strategie adottate dai criminali informatici. L’analisi dei dati nel corso degli anni mostra che, sebbene gli attacchi siano in continuo aumento, il ritmo di crescita non è uniforme. L’incremento significativo registrato tra il 2022 e il 2024 segnala un’escalation particolarmente preoccupante negli ultimi due anni.

Analizzando i dati, emerge un’insufficiente consapevolezza delle minacce informatiche, sia tra le aziende che tra le istituzioni pubbliche e ciò si traduce spesso in una mancata adozione delle corrette misure di sicurezza. Nonostante il report sottolinei che i settori chiave dell’economia sono i bersagli privilegiati, gli investimenti in sicurezza informatica sono ancora scarsi e molte aziende non proteggono le loro infrastrutture in maniera adeguata.

Per fronteggiare questo tipo di minacce, è fondamentale che le aziende investano nella formazione del personale e nell’adozione di un approccio proattivo alla sicurezza, che non si limiti a reagire alle minacce ma le prevenga attraverso tecnologie avanzate dotate di AI e Machine Learning.

Per saperne di più > Tecniche di estorsione dei Ransomware: evoluzione e nuove frontiere

Proteggersi dai ransomware: step basilari

Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.

• Predisponi un piano di backup. E’ fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI.
• Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso: le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità.
• Scegli una solida soluzione antivirus e mantienila sempre aggiornata: sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti.
• Adotta l’approccio zero trust: applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le autorizzazioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai sì che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili. Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota
• Evita di scaricare file o cliccare su link contenuti nelle email. Spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, anzi. L’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine, non abilitare mai le macro contenute nei documenti circolanti via email. A meno che non ci sia l’assoluta certezza della legittimità della comunicazione. Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum
• Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
• Implementa un modello di sicurezza stratificato (multi livello). Nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
  > sicurezza delle reti e dei server;
  > gestione degli endpoint;
  > gestione dei dispositivi mobile. Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite!
• Implementa sistemi di protezione preventiva: come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.
• Adotta un SOC – Security Operation Center: un SOC è un vero e proprio centro operativo dedicato alla sicurezza informatica il cui scopo, nel complesso, è monitorare costantemente la rete aziendale in cerca di attività anomale o sospette. Per approfondire > SOC – Security Operation Center: che cosa, perché, come attacchi ran