Il recente attacco di Wcry, o Wannacry, ha portato in evidenza come gli attacchi ransomware siano sempre più diffusi e che il rischio che corrono molte aziende è di dover prevedere una voce nel budget per riacquistare l’accesso ai propri servizi.
Prima ancora che esplodesse il caso di Wcry, i numeri del ransomware erano già eclatanto: nel 2016 la minaccia dei ransomware è aumentata del 752% rispetto al 2015 e, secondo una ricerca condotta da Trend Micro e The Zero Day Initiative, ha comportato una perdita di 1 miliardo di dollari. In particolare le famiglie di ransomware, tra cui le varianti conosciute come Bit Crypt, CryptoWall, Cerber e Jigsaw, sono aumentate da 29 a 247 nell’arco di un anno, e la ricerca condotta da CyberEdge group ha rivelato che quasi due terzi delle imprese è stata vittima di un attacco di questa tipologia nel corso dell’anno.
L’escalation del ransomware
Il motore dell’ascesa del ransomware è chiaramente legato al guadagno economico. Anche dipendenti interni possono essere attratti da questa prospettiva di colpire i sistemi contenenti i dati aziendali più importanti, assicurandosi così che l’azienda paghi il riscatto.
L’altro fattore chiave è che i malware inizialmente erano usati solo dagli hacker più capaci che erano in grado di crearli da zero, mentre ora il processo è molto meno complesso permettendo così a chiunque sia in possesso di un computer di inviare un malware e aspettare che venga attivato.
Esiste infatti un servizio chiamato Satan, presente sul dark web nel portale Tor, che permette a chiunque di creare e configurare qualsiasi tipologia di malware e scegliere tra una vasta gamma di tecniche, selezionare la richiesta di riscatto, il contatto e tracciare la somma ricevuta.
I malware Trojan come Locky, TeslaCrypt e CryptoLocker sono le varianti tra le più utilizzate attualmente per attaccare le imprese. Questi malware spesso sfruttano i punti deboli dei web browser e dei loro plugin oppure vengono attivati aprendo inavvertitamente un allegato di un’email. Una volta all’interno della rete aziendale il ransomware si può diffondere istantaneamente e criptare tutti i dati sensibili.
L’FBI ha consigliato alle aziende di dotarsi di una strategia di backup e recovery anti ransomware per evitare la perdita di dati causata da un CryptoLocker o qualsiasi altro Trojan.
Affrontare il ransomware con il backup
Gianluca Mazzotta, Pre-Sales EMEA manager di Veeam Software, ci indica il modo con cui si può applicare il dettato dell’Fbi.
Restringere i permessi per modificare i dati è una buona soluzione, anche se non aiuta il business dato che le credenziali possono sempre essere ottenute con un keylogger o attraverso strategie di social engineering. Invece per proteggersi da una minaccia, anche quelle interne, e dai ransomware, l’impresa deve puntare sugli “air gapped” backup, ossia backup offline che non possono essere eliminati o manipolati da remoto.
L’importanza dei carichi di lavoro e dei dati all’interno dell’ambiente lavorativo richiedono l’utilizzo della regola 3-2-1: ossia 3 copie dei dati aziendali devono essere salvati su 2 tipi di dispositivi e 1 copia deve essere offsite.
Esistono quattro opzioni per rendere efficace il backup dei dati.
Backup Copy Job sul disco
Una prima opzione è quella di trasferire i dati da un luogo all’altro usando Backup Copy Job. In questo caso, il file non è solo copiato ma i punti di ripristino individuali all’interno del backup vengono letti e scritti su un secondo disco. In caso il primo backup venga criptato o corrotto, il Backup Copy Job sarebbe inutilizzabile in quanto il vendor non sarebbe in grado di interpretare i dati. L’unica speranza è che il repository del secondo backup sia separato dal resto dell’ambiente IT. Si potrebbe anche usare un repository basato su sistemi Linux in maniera di renderlo sicuro contro i Trojan pensati per sistemi Windows.
Hard disk rimovibili
Un’altra opzione è quella di usare dei dispositivi di storage rimovibili come repository secondario. Spesso vengono usati degli hard drive rimovibili come i dischi USB, che sono sconsigliati se usati ai fini della sicurezza ma se vengono tenuti in un luogo sicuro possono essere una valida opzione per evitare il pericolo ransomware. In aggiunta, quando se si effettua rotazione dei supporti è possibile rilevare quando viene reinserito un vecchio supporto e assicurare che i vecchi file di backup vengano cancellati e viene avviata una nuova catena di backup automaticamente.
Backup su nastro
L’opzione di backup su nastro, più volte denigrata, sta diventando sempre più popolare per evitare la criptografia da parte di Trojan. Questo perché il backup su nastro non permette l’accesso diretto ai dati e protezione contro i ransomware. Proprio come la rotazione di diversi dispositivi, il backup su nastro dev’essere tenuto in un luogo sicuro per massimizzare la sicurezza.
Archiviazione di snapshot e repliche di VM
Le aziende possono godersi una disponibilità dei dati maggiore e aggiuntivi strumenti per implementare la regola 3-2-1 grazie all’archiviazione degli snapshot e repliche di VM. Istantanee di dati semi-offline che possono essere immuni alla propagazione dei malware.
Per non pagare più i riscatti
La possibilità di ripristinare i dati permette alle aziende di non dover più pagare riscatti. Nonostante ciò, niente deve essere sottovalutato all’interno del mondo della cybersecurity, le minacce sono in continua evoluzione e la superficie d’attacco aumenta per ogni nuovo dispositivo connesso alla rete.
Le aziende devono partire dal presupposto che subiranno un attacco. Per rimanere aggiornati e difesi contro le nuove, ed emergenti, minacce la sicurezza IT non deve agire come un compartimento stagno ed isolato ma deve essere considerata come un processo fondamentale per un business Always-On.
Quando è possibile occorre prevenire il ransomware, individuare dove ha colpito il sistema e contenere i danni. Ciò è possibile solo attraverso un approccio integrato e collaborativo, che assicuri sia le policy di sicurezza che l’allineamento degli SLA con gli obiettivi di business, in questo caso le imprese potranno tenere al sicuro i propri dati e ripristinarli quando necessario. Seguendo questi consigli le aziende potranno essere un passo avanti rispetto ai cybercriminali, sfruttando i benefici della digitalizzazione.
