Sicuramente in questi primi sette mesi dell’anno il ransomware è stato il problema di sicurezza maggiormente sentito in tutto il mondo, con casi di attacchi finiti sulle cronache dei quotidiani a copertura nazionale e finanche con il primo ransomware sviluppato per indirizzare specificamente il mondo Apple. (ne abbiamo scritto ad esempio qui e qui in specifico sul caso Apple)
Come funziona un ransomware lo abbiamo raccontato più volte: il software malevolo consente all’attacker di accedere al computer della vittima, crittografare i dati sensibili in esso contenuti per poi rilasciare una chiave di decrittazione solo dietro pagamento.
Ma come proteggersi?
Va detto che il ransomware non guarda in faccia a nessuno: ne sono vittime le grandi aziende così come il singolo utente.
Per questo motivo volentieri diamo la parola a Marc Laliberte, Information Security Analyst di WatchGuard Technologies con i suoi sei consigli utili (e qualche accorgimento in più) per evitare di cadere vittime del ricatto.
Il Backup, ma non basta con il ransomware
Laliberte concorda con le classiche buone pratiche: quando di tratta di mettere in atto buone difese, il consiglio è fare backup di tutti i dati importanti. Nel caso si verificasse un’infezione, avere una via per poter recuperare i dati senza quindi finanziare i criminali è un must. Sfortunatamente, connettere semplicemente un hard disk esterno, o fare backup su una rete condivisa non è una mossa adeguata.
“Le evoluzioni del ransomware come Locky e CryptoFortress – spiega – cercheranno e crittograferanno qualsiasi luogo di archiviazione su cui si hanno privilegi, anche se quei luoghi non sono mappati sul sistema. Per contrastare tutto ciò bisogna mantenere i backup dei dati offline. Ma anche con i migliori sistemi di backup, si potrebbe ancora perdere produttività nel momento in cui si va a fare il restore dei dati dopo un attacco”.
Attenzione al perimetro della rete
Un metodo comune di rilascio del ransomware è rappresentato dai drive-by downloads attraverso il browser. I drive-by downloads (qui una definizione) possono sfruttare plugin del browser a cui non sono state applicate patch per installare il ransomware senza alcun intervento da parte dell’utente. “E, ancor più spaventoso, attacchi di tipo cross-site scripting in siti popolari possono forzare il browser a caricare un sito malevolo a insaputa dell’utente”.
“Per assicurarsi la migliore difesa contro un attacco che si potrebbe non essere in grado di ‘vedere’, si dovrebbe muovere la prima linea di difesa il più lontano possibile. Il perimetro della rete è un posto eccellente per bloccare un attacco in arrivo prima che possa arrecare danni”, prosegue Laliberte, precisando come gli antivirus basati sulla rete e soluzioni di scansione APT possono identificare e bloccare payload malevoli prima che abbiano la possibilità di raggiungere i client interni. Questo è utile in particolar modo quando i client non sanno nemmeno che stanno caricando ransomware o altri download pericolosi.
Non dimenticare le altre minacce
Prima che CryptoLocker fosse smantellato dall’FBI (Operation Tovar), infettava comunemente client come un allegato malevolo in email di phishing che si presentavano come informazioni sul tracciamento di spedizioni Fedex e UPS. Locky, la variante ransomware citata prima, continua su questo trend installando se stesso attraverso delle macro in documenti Word malevoli che sembrano delle fatture.
Implementare una soluzione antispam per email può aiutare a bloccare i tentativi di truffa via phishing che hanno l’obiettivo di distribuire ransomware. La maggior parte di queste email di phishing sono inviate da client all’interno di botnet e contengono elementi che possono essere identificati da fornitori di servizi anti-spam. Usando un servizio anti-spam, si può limitare il numero di email di phishing che compaiono nella inbox, il che limiterà le opportunità di successo di un attacco ben camuffato.
Euristica nella protezione dell’endpoint
La protezione degli endpoint non è nulla di nuovo nel mondo della sicurezza. Anche uno scanner antivirus basato sulle firme può aiutare a bloccare sample di ransomware noti. “Ma ancora più importante, la moderna protezione degli endpoint basata sull’euristica alza le difese dei client di un livello. Per fare un esempio, la variante ransomware chiamata VIRLOCK usa codice polimorfico, vale a dire codice che muta pur mantenendo gli algoritmi originali, per evadere la rilevazione basata su signature. Quando non esistono due sample dello stesso ransomware uguali, la scansione basata sulle firme non basta. Invece di controllare solamente come il ransomware appare dal punto di vista del codice, la scansione basata sull’euristica verifica quali azioni compie l’applicazione ransomware. Se il comportamento di un download fa alzare dei sospetti, allora la protezione basata sull’euristica può bloccarlo prima che possa causare danni”.
Le patch, attenzione alle patch
Laliberte torna sul tema dei drive-by download: questi possono essere lanciati da siti malevoli caricati usando attacchi script cross-site o con campagne di advertising compromesse su siti legittimi. Questi attacchi spesso si basano su plugin di browser a cui non sono state applicate patch.
“Anche se frequenti aggiornamenti possono sembrare un’operazione noiosa, giocano invece un ruolo cruciale nel mantenere il sistema protetto. Gli attaccanti amano sfruttare versioni non aggiornate di Flash e Java per inserire codice malevolo”.
Installare gli aggiornamenti è la via più semplice per alzare le possibilità di difesa contro gli attaccanti che usano ransomware. Bisognerebbe anche verificare se è davvero necessario avere Flash e Java sui client. Oracle quest’anno ha annunciato che sta eliminando i suoi plugin Java nella prossima release del Java Development Kit. Flash allo stesso modo sta per essere sostituito da HTML5 e potrebbe non essere più necessario nell’uso quotidiano del browser.
Un po’ di educazione non guasta
Gli attacchi ransomware in gran misura non hanno un target specifico, e infettano i sistemi attraverso email di phishing di massa o attraverso drive-by download. Ecco perché è fondamentale educare i dipendenti, proprio al fine di evitare che l’azienda finisca col perdere migliaia di dollari per pagare il riscatto e i team IT o i consulenti di sicurezza debbano lavorare per recuperare i file crittografati. Alla fine, è l’utente ad aprire un allegato infetto o a visitare un link compromesso. Ciò fa comprendere come la formazione dell’utente sia un aspetto fondamentale nella strategia di difesa contro il ransomware. Gli utenti devono sapere come individuare e rispondere a tentativi di phishing. Devono essere consapevoli delle potenziali conseguenze che comporta il cliccare su certi link. Gli utenti devono realizzare l’importanza di queste ‘noiose’ notifiche di aggiornamento delle applicazioni.
“Come ho detto, – conclude Laliberte – il backup è importante, ma è ancora più importante capire e adottare le tattiche appropriate di difesa contro il ransomware. E se le protezioni di tipo tecnico possono aumentare le chances di difesa contro le infezioni da ransomware, queste da sole non sono ancora sufficienti. L’utente e i suoi colleghi saranno quasi sempre il punto di ingresso più semplice per sferrare un attacco. Sapere come riconoscere un attacco può fare la differenza tra continuare l’ attività quotidiana normalmente o perdere il resto della giornata nel recuperare i dati dal backup”.
