IL TUO PARTNER TECNOLOGICO PER L'IT

Ransomware e Cryptolocker, 10 mosse per proteggersi

Indice dell'articolo

Il tema Ransomware è sempre più di attualità. Come abbiamo avuto modo di approfondire, questa tipologia di attacchi è difficile da prevedere e soprattutto è pressoché impossibile ripristinare l’accesso ai file crittografati dopo che l’infezione è avvenuta. Per questo i siti di informazione tecnologica hanno il campito di sensibilizzare verso la prevenzione. Oggi lo facciamo pubblicando questo interessante contenuto proveniente da Fortinet, azienda che si occupa di sicurezza delle reti e che è responsabile di piattaforme innovative e ad alte prestazioni per la sicurezza delle reti, al fine di proteggere e semplificare l’infrastruttura IT dei suoi clienti. L’articolo è stato scritto da Antonio Madoglio, SE Manager, Fortinet Italia.

Che cosa è il ransomware?

Il ransomware è una forma di malware che infetta dispositivi, reti e data center e impedisce il loro corretto utilizzo fino a quando l’utente o l’organizzazione non pagano un riscatto per sbloccare il sistema. Come forma il malware esiste almeno dal 1989, da quando il Trojan “PC Cyborg” criptò i nomi dei file su un disco rigido e costrinse gli utenti pagare 189 dollari per poterli sbloccare. Nel corso del tempo, gli attacchi ransomware sono diventati sempre più sofisticati e mirati, oltre che proficui.

L’impatto generale del ransomware è difficile da calcolare, dal momento che molte organizzazioni scelgono semplicemente di pagare per sbloccare i propri file, con un approccio che però non sempre si rivela lungimirante. Un report sulla campagna di ransomware Cryptowall v3, rilasciato dalla Cyber ​​Threat Alliance nello scorso ottobre, ha stimato che il costo di quel singolo attacco è stato pari a 325 milioni di US $. (E’ possibile consultare il report completo qui).

Il ransomware può operare in modi differenti. Ad esempio, il ransomware Crypto può infettare un sistema operativo impedendo a un dispositivo di effettuare il boot. Altri tipi di ransomware possono cifrare un drive o un gruppo di file. Altre versioni malevole dispongono di un timer che inizia a cancellare gradualmente i file fino a quando non viene pagato un riscatto. In ogni caso, tutti chiedono il pagamento di un riscatto per sbloccare o liberare il sistema, il file o i dati crittografati.

Solitamente, gli utenti infetti ricevono un messaggio sullo schermo del proprio dispositivo, che comunica che il computer è stato infettato da un virus e dà le prime indicazioni per risolvere il problema. In alcuni casi, questo avviso viene accompagnato da immagini esplicite o pornografiche al fine di motivare l’utente ad eliminarlo dal sistema il più velocemente possibile. Ma la caratteristica comune a ogni infezione da ransomware è il fatto che i sistemi vengano messi off line, i dati critici resi non più disponibili, la produttività interrotta e le operazioni aziendali danneggiate.

In che modo si viene infettati?

Se il ransomware può essere distribuito in più modi, il più comune è quello di usare un file infetto, allegandolo ad una e-mail. Per esempio, può succedere di ricevere un messaggio e-mail all’apparenza proveniente dalla propria banca, contenente il logo e il collegamento all’URL reale della banca, oltre al nome dell’utente. Nel corpo del messaggio si parla della rilevazione di attività sospette sul conto corrente e quindi della necessità di installare un file allegato per verificare le credenziali. Sembra tutto corretto, ma non lo è: si tratta di un attacco evoluto di phishing.

Ne è la prova il fatto che ovviamente nessuna banca invierebbe mai un file chiedendovi di installarlo, e di certo non per convalidare le credenziali. Al contrario, il file allegato è infettato dal ransomware, che viene automaticamente caricato sul sistema se incautamente si clicca su di esso.

Ma gli allegati e-mail non sono l’unico meccanismo di infezione. Il drive-by download – ad esempio – è un altro meccanismo malevolo, che si verifica quando un utente visita un sito infetto e il malware viene scaricato e installato a sua insaputa. Il ransomware si diffonde anche attraverso i social media, come ad esempio le applicazioni di messaggistica istantanea basate sul web. Recentemente, web server vulnerabili sono stati sfruttati come punto di accesso alla rete di un’organizzazione.

Cosa si può fare per fermarlo?

Di seguito un elenco di dieci punti che è bene prendere in esame per proteggere se stessi e la propria organizzazione dagli effetti del ransomware.

  1. Elaborare un piano di backup e ripristino. Eseguire il backup dei sistemi regolarmente e salvarlo offline, su una piattaforma differente.
  2. Utilizzare strumenti di sicurezza professionali per e-mail e web, in grado di analizzare allegati e-mail, siti web e file di malware, nonché bloccare pubblicità potenzialmente compromesse e social media non rilevanti per il proprio business. Questi strumenti dovrebbero includere funzionalità di sandbox, in modo che i file nuovi o non riconosciuti possano essere eseguiti e analizzati in un ambiente sicuro
  3. Mantenere sistemi operativi, dispositivi e tutto il software costantemente aggiornati e dotati di tutte le patch.
  4. Assicurarsi che gli strumenti antivirus, IPS e antimalware dei dispositivi e della rete siano sempre dotati degli aggiornamenti più recenti.
  5. Ove possibile, creare una policy di application whitelisting, che impedisce di scaricare o eseguire applicazioni non autorizzate.
  6. Segmentare la rete in aree distinte, in modo che una eventuale infezione in un settore non possa facilmente diffondersi ad altri.
  7. Stabilire e applicare permessi e privilegi, in modo che il minor numero possibile di utenti abbiano la capacità potenziale di infettare applicazioni, dati o servizi critici per il business.
  8. Stabilire e applicare una policy di sicurezza sul BYOD in grado di controllare e bloccare dispositivi che non soddisfino standard prefissati di sicurezza (mancanza di antimalware, antivirus non aggiornati, sistemi operativi che necessitano di patch critiche, ecc.)
  9. Implementare strumenti di analisi forense in modo che, dopo un attacco sia possibile verificare a) da dove proviene l’infezione, b) da quanto tempo si è insediata nel proprio ambiente, c) di aver rimosso tutto da ogni dispositivo, d) che sia possibile garantire che non torni.
  10. Ultimo e forse più importante accorgimento è quello di non contare sui propri dipendenti per garantire la sicurezza della propria azienda. Se è necessario innalzare il livello di formazione per sensibilizzare i dipendenti sull’importanza di non scaricare file, cliccare su allegati o seguire link che appaiono in messaggi e-mail non richiesti; gli esseri umani restano l’anello più vulnerabile nella catena di sicurezza di un’azienda ed è necessario orientare i piani di sicurezza tenendo conto di questa costante.

Il motivo è questo: innanzi tutto per molti dipendenti, cliccare su allegati ed effettuare ricerche su Internet fa parte della quotidianità lavorativa. E’ difficile quindi mantenere un adeguato livello di sicurezza. In secondo luogo, gli attacchi di phishing sono diventati nel tempo più verosimili e convincenti. Un attacco di phishing mirato utilizza dati reperibili on-line e info provenienti dai profili social media per personalizzare un approccio. In terzo luogo, viene quasi istintivo cliccare su una fattura, anche se inaspettata, quando proviene dalla propria banca. E infine, sondaggio dopo sondaggio, resta evidente che gli utenti ritengono che della sicurezza se ne debba occupare qualcun altro, non loro in prima persona.

La criminalità informatica è un business a scopo di lucro che genera ingenti guadagni. Come per la gran parte delle attività, anche i cyber criminali sono fortemente motivati ​​a trovare il modo per generare nuovo business. E per farlo, utilizzano sotterfugi, estorsioni, aggressioni, minacce e strumenti di persuasione per ottenere accesso a dati e risorse critiche.

In definitiva, il ransomware non è una novità. Ma i livelli più elevati di sofisticazione e distribuzione rappresentano il più recente elemento nella crescente tendenza di trovare nuovi e imprevedibili modi per raggirare individui e aziende che operano on-line.

Ora più che mai, la sicurezza non è un’opzione ma rappresenta parte integrante del business. E’ bene premunirsi stringendo partnership con esperti di security che ne comprendano l’importanza e non la considerino un mero strumento. Si tratta piuttosto di un sistema di tecnologie altamente integrate e collaborative, che si combinano a una policy efficace ad un approccio integrato, che copre preparazione, protezione, rilevazione, risposta e apprendimento.

Le soluzioni di sicurezza devono condividere le informazioni che raccolgono, allo scopo di individuare le minacce e rispondere in modo efficace ovunque, in tutto l’ambiente distribuito. E’ Inoltre indispensabile che queste soluzioni siano integrate nella struttura di rete in modo che possano proteggere gli utenti in modo costante, seguendo evoluzioni ed ampliamenti dell’ambiente. Devono essere in grado di adattarsi in modo dinamico man mano che vengono scoperte nuove minacce. Infine, non devono ostacolare o interferire in alcun modo con le proprie attività principali. In questo caso, possono rivelarsi un reale elemento di supporto al business di un’azienda.

CONDIVIDI L'ARTICOLO

Altro dal BLOG

FTTc e FTTh: si fa presto a dire “fibra”!

FTTc e FTTh sono due sigle che si vedono molto spesso in articoli e offerte di gestori di telecomunicazioni (dette anche aziende TELCO) e si riferiscono alle cosiddette “connessioni in fibra”.

Cloud: come e perché

Il termine “il cloud” si riferisce a una tecnologia di distribuzione di servizi informatici, dati, risorse e applicazioni tramite Internet.

Log Management

Il log management è un fattore cruciale nella gestione e nella sicurezza dei sistemi informatici.
Questo pratica coinvolge la raccolta, la conservazione, l’analisi e la gestione dei log generati da dispositivi, applicazioni e sistemi informatici.