Come difendersi dai ransomware
Come difendersi dai Ransomware
Cosa sono i Ransomware e quali precauzioni e difese adottare
Meglio sapere come difendersi dai Ransomware e dagli attacchi provenienti dalla rete prima che le vostre mani finiscano direttamente nei capelli e il peso del vostro corpo sprofondi nello schienale della vostra poltrona. Questa volta vogliamo affrontare il delicato tema della sicurezza dati partendo da quello che rappresenta un vero e proprio incubo per la maggior parte delle persone che lavorano sui dati aziendali. La questione riguarda praticamente la quasi totalità di tutti noi, professionisti dediti al loro scrupoloso lavoro.
Arriva una mail che, a prima vista, sembra un’allettante richiesta di offerta commerciale. Ok… apriamola! Oggi come oggi ogni richiesta di lavoro può valere oro!
Da qui potrebbe partire il vostro incubo, questo è il punto di arrivo o di inizio di quello che potrebbe essere l’incontro con un “Ransomware”!
Quando un’azienda è preda del Ramsonware e ne finisce vittima ha due possibilità:
o ha a disposizione degli strumenti che permettano di ripristinare le informazioni, oppure deve pagare un “riscatto” per poter tornarne in possesso.
Si tratta di vere e proprie estorsioni che nel 2017 2018 hanno subito un aumento esponenziale.
Un vero incubo per chi lavora con i dati!
Cosa sono i Ransomware
I Ransomware sono virus informatici – tecnicamente “trojan” – che bloccano i documenti contenuti sui sistemi infettati chiedendo un riscatto per tornarne in possesso. Dopo essere stato contagiato il computer continua a funzionare ma foto, filmati, musica e scritti della vittima vengono protetti tramite algoritmi di cifratura.
Il ransomware è un tipo di attacco malware avanzato che si impossessa di un dispositivo, bloccando del tutto l’utente o crittografando i file in modo che non possano essere utilizzati.
Si può introdurre in vari modi: sia via email che attraverso il web nel momento in cui viene eseguito il download di un contenuto non sicuro o attraverso periferiche collegate al pc.
Nel 2017, l’evoluzione del ransomware Petya 2.0, ha comportato un aumento dei rischi in quanto, rispetto al precedente ransomware, funziona diversamente. Non interviene crittografando i singoli file, ma il Master Boot Record (MBR) del computer della vittima.
In questo modo crittografando il MBR, il sistema operativo e i file risultano completamente bloccati e completamente inutilizzabili fino allo sblocco.
A questa pratica segue di solito un contatto da parte del mandante e una richiesta di riscatto per “liberare” i file dal blocco.
Al pagamento del riscatto, i criminali in genere sbloccano la protezione dai documenti e rimuovono il criptovirus.
A essere colpiti dai ransomware non sono soltanto i PC con con qualsiasi sistema operativo, ma qualsiasi tipo di dispositivo collegato in rete: pc, smartphone e persino dispositivi elettronici come Smart TV, insomma qualsiasi apparecchiatura facente parte dell’internet delle cose, cioè apparecchiature digitali collegate in qualche modo alla rete web.
L’infezione dei ransomware si diffonde in genere tramite email di phishing, cioè con l’inivo e la ricezione di email che vengono inopportunamente aperte e cliccate.
Le prime versioni dei trojan come si presentavano sotto forma di fatture o note di credito e venivano inviate direttamente in allegato al messaggio, chiedendo un riscatto in bitcoin.
I messaggi che possiamo ricevere via email possono avere qualsiasi natura: banche, corrieri, raccomandate da ritirare tramite poste o poste private ecc: la fantasia ha oramai raggiunto livelli impensabili e sono scritte in modo estremamente convincente.
Il semplice antivirus, magari di basso costo, spesso non è sufficiente per bloccare queste mail alle quali è allegato il file in questione pronto a bloccare tutti i file del tuo dispositivo.
Ovviamente l’allegato o il file che viene scaricato dal sito linkato non è un documento vero e proprio, ma un malware, che se aperto infetta il PC e blocca i documenti, inclusi quelli in rete.
Ma attenzione, oltre tramite mail, i malware possono arrivare anche direttamente dalla rete, visitando siti la cui funzionalità sia stata compromessa a causa di qualche componente non aggiornato. Il mancato aggiornamento dei componenti che fanno funzionare un sito, come ad esempio un plugin di wordpress, possono aprire delle “finestre” attraverso le quali i “cattivi” possono introdursi ed installare il malware direttamente nel codice che fa funzionare una determinata pagina web.
Oggi esistono varie versioni di questi malware nate successivamente al più famoso Cryptolocker come: Crypt0l0cker, CTB-Locker, TeslaCrypt, Locky, Cerber, Zepto, che addirittura essendo più pericolose ed evolute rispetto al primo hanno cominciato a criptare i dati senza possibilità di recupero.
Quali soluzioni adottare quindi per difendersi da queste pratiche?
Ora vi starete sicuramente chiedendo: nel caso in cui capitasse l’inconveniente come poter recuperarei documenti criptati dai ransomware? Esiste un “antidoto”?
Il problema è proprio questo, a parte alcuni casi per i quali esistono soluzioni tecniche, conosciuti come “decryptor”, ma che hanno valore in casi specifici, non è ancora stato trovato una soluzione che in via generale possa recuperare i documenti cifrati. Qualora capitasse il problema, l’unica soluzione è la prevenzione e in questo caso avere eseguito copie di back-up dei propri file.
Come difendersi dai Ransomware
Numerose softwarehouse si sono poste il problema di come difendersi dai ransomware, siluppando soluzioni integrate con antivirus, endpoint security che limitano i danni tentando di identificare il cryptovirus prima che venga scaricato, prima che si attivi o, se non c’è alternativa, quando ha iniziato a criptare i documenti.
Queste soluzioni di difesa perimetrale rimangono oggi le alternative più sicure ai possibili attacchi, la regola è quindi quella di prevenire più che di curare.
La prima cosa da fare è sicuramente quella di adottare delle best practice interne: in primis aggiornamenti e informative continue destinate al personale che deve essere costantemente informato delle possibili minacce in circolazione e come queste si possono presentare soprattutto attraverso i messaggi di posta elettronica.
Inoltre è opportuno eseguire aggiornamenti regolari del software e il backup di tutti i dispositivi critici.
Sicuramente quello che possiamo consigliare è avere Antivirus professionali costantemente aggiornati e avere attivi sistemi di protezione della rete in grado di identificare possibili intrusi.
Quello che possiamo consigliare è di muoversi congiuntamente su 4 livelli di sicurezza:
- Attivare dei Firewall
- Dotarsi di Antivirus professionali
- Avere sistemi di difesa perimetrale
- Prevedere sistemi di Backup e disaster recovery
Da considerare inoltre con l’entrata in vigore del GDPR, come sia evidente che i dati aziendali siano diventati elementi critici e la loro protezione ancora più rilevante. Per questo abbiamo scelto di fornire ai nostri clienti servizi all’avanguardia con i migliori partner esistenti sul mercato.
Se credi sia meglio alzare prima possibile le tue difese contatta i nostri esperti. Team Memores Computer lavora con i migliori partner al mondo in tema di sicurezza informatica tra cui Watchguard come Top Partner per Firewall e sicurezza reti e Kaspersky per i sistemi di protezione antivirus . Chiedi a Team Memores per le tue soluzioni di difesa informatica.
Comments (0)