La nuova minaccia informatica scombina i dati aziendali chiedendo denaro per sistemarli. Rodolfo Falcone di Check Point ci spiega le aziende come possono difendersi. Con le sandbox.
Il ransomware è una forma di occultamento di dati con lo scopo di ottenere un riscatto.
Gli hacker, infatti, non rubano i dati di un’azienda: si limitano a scombinarli ed a renderli illeggibili.
All’azienda colpita arriva una richiesta di denaro per ottenere la chiave per tornarne in possesso.
Si tratta di una minaccia quanto mai concreta.
Utilizzando la crittografia per scombinare i dati, l’attacco ransomware ha registrato nel terzo trimestre del 2013 un aumento del 200% rispetto al primo semestre dell’anno.
Inoltre, gli attacchi si sono concentrati su aziende di piccole e medie dimensioni, utilizzando CryptoLocker, uno dei ceppi di ransomware più dannosi in circolazione.
Da quando è stato individuato a fine estate, CryptoLocker ha preso di mira oltre un milione di computer.
Come funziona
Una volta attivato sul pc di un utente, CryptoLocker avvia una ricerca su tutte le cartelle e drive a cui è possibile accedere dal computer infetto, compresi dischi di back-up in rete sui server aziendali.
Successivamente inizia a scombinare i file utilizzando una crittografia a 2048 bit virtualmente impossibile da decriptare. I file rimarranno crittografati a meno che l’azienda non paghi un riscatto per rilasciare la chiave di decriptazione – supponendo, naturalmente, che i criminali forniscano effettivamente la chiave una volta pagato.
Il Country manager di Check Point Software Italia, Rodolfo Falcone, ci indica come ci si può proteggere coerentamente dal ransomware.
Come proteggersi
È fondamentale innanzitutto che le organizzazioni implementino le stesse best practice di sicurezza di base consigliate per proteggere i computer da qualsiasi altro tipo di malware:
• Assicurarsi che il software anti-virus sia aggiornato con le più recenti signature
• Verificare che il sistema operativo e le patch del software applicativo siano aggiornati
• Installare un firewall sia in entrata che in uscita sul pc di ogni utente
• Educare gli utenti sulle tecniche di social engineering, specialmente quando si trovano di fronte ad allegati sconosciuti che arrivano nella posta indesiderata.
Si tratta però di misure che non offrono protezione totale dagli attacchi.
È troppo facile per un dipendente cliccare inavvertitamente su un allegato di posta elettronica, provocando un’infezione.
È anche relativamente facile per i criminali che stanno dietro una truffa ransomware fare piccoli aggiustamenti al codice malware, permettendo così di bypassare l’antivirus dal rilevamento basato su signature, rendendo in questo modo le aziende vulnerabili.
Le sandbox possono aiutare
Per difendersi contro i nuovi exploit che non possono essere rilevati dalle soluzioni antivirus convenzionali, una nuova tecnica di sicurezza permette di isolare i file dannosi prima che entrino nella rete in modo che l’infezione accidentale non si verifichi.
Senza incidere sul flusso aziendale, questa tecnologia apre i file sospetti che arrivano via email e controlla il loro contenuto in un ambiente virtualizzato noto come sandbox.
Nella sandbox, il file viene monitorato in tempo reale per registrare qualsiasi comportamento insolito, come ad esempio tentativi di apportare modifiche di registro, azioni o connessioni di rete anomale.
Se il comportamento del file risulta essere sospetto o potenzialmente dannoso, questo viene bloccato e messo in quarantena, per prevenire ogni possibile infezione prima che raggiunga la rete – o le caselle di posta degli utenti, azzerando così il rischio che possa causare danni.
Le aziende dovrebbero prendere in considerazione queste ulteriori precauzioni per assicurarsi di non cader vittime di criminali informatici che necessitano solamente di una minuscola falla di sicurezza per entrare nella rete e prendere in ostaggio gli asset dell’azienda.
Potendo potenzialmente catturare tutti i file e i dati di una società in un istante, il ransomware rappresenta una grave minaccia che le organizzazioni dovrebbero seriamente considerare.
