Negli ultimi mesi i tentativi di estorsione alla voce ransomware hanno registrato una recrudescenza, bloccando computer e infrastrutture di primaria importanza.
Giusto per ricordare: la campagna di infezione ransomware WannaCry ha contaminato a maggio circa 99 paesi e oltre 200.000 sistemi Windows che sono stati compromessi, danneggiando aziende telefoniche, ospedali e strutture sanitarie.
Gli attacchi di ransomware stanno accelerando: tra gennaio e settembre 2016, il solo Dipartimento di Giustizia americano ha segnalato 4.000 attacchi di ransomware, quattro volte il numero di attacchi verificatisi nell’anno precedente ed il trend che stiamo osservando nel 2017 riporta attacchi ransomware ancora più frequenti e sofisticati.
La campagna di infezione di NotPetya ha contaminato diverse migliaia di sistemi Windows in tutto il mondo a partire da Ucraina, Russia, Regno Unito, Danimarca, Francia, Spagna e Stati Uniti.
Sta di fatto che il ransomware è un grosso business per i criminali informatici. Si tratta di un tipo di malware utilizzato per il cosiddetto rapimento di dati: funziona bloccando lo schermo dell’utente finale e rendendo inutilizzabile un dispositivo oppure, nei casi di crypto-ransomware, crittografando i file fino a quando non viene pagato un riscatto.
Il ransomware è difficile da tracciare. Si diffonde attraverso allegati di posta elettronica, pubblicità che contengono malware, applicazioni software infette, dispositivi di archiviazione esterni, siti web compromessi e infezioni secondarie sui sistemi interessati. Quest’ultimo caso apre la possibilità per ancor più attacchi.
L’Agenzia per l’Italia digitale ha pubblicato attraverso CERT-PA le linee guida per mitigarne gli effetti dannosi e per la riaccensione delle macchine. Nel documento, sono riportate una serie di azioni che possono essere assunte per mitigare l’impatto della campagna, soprattutto cercando di evitare l’estensione della compromissione a sistemi che non sono già compromessi.
Come funziona il ransomware
Una volta che il ransomware arriva su una singola macchina in una rete aziendale, si mette rapidamente a cercare altre macchine da attaccare. Petya, per esempio, cerca i nomi utente e le password amministrative di Windows e utilizza gli strumenti di amministrazione di Windows per infettare il maggior numero possibile di sistemi. Non sono solo i sistemi Windows a essere vulnerabili. Ransom32, programmato in JavaScript, HTML e CSS, può anche attaccare le piattaforme Linux, Unix e OS X.
Il ransomware può anche infiltrarsi nel cloud. Virlock, ad esempio, si diffonde attraverso i sistemi di memorizzazione e strumenti di collaborazione. Attacca un sistema e crittografa tutti i file, modificandoli in file Virlock, inclusi quelli sincronizzati con l’applicazione cloud. Quando un altro utente fa clic su questi file condivisi attiva il file Virlock, la macchina viene infettata e l’epidemia di Virlock continua.
Tuttavia, nonostante l’alto profilo dei “ricatti sui dati” che stiamo subendo, molte aziende sono impreparate a prevenire o a reagire a un tale attacco. Con Gianfranco Gargiulo, Cloud Consultant di Orange Business Services affrontiamo i metodi di prevenzione.
Gargiulo, infatti, rammenta che l’eventuale pagamento del riscatto non fornisce garanzia di alcun tipo circa la consegna delle chiavi utili al ripristino dei dati, ragione per cui si suggerisce di non cedere al ricatto ma di seguire le seguenti pratiche di prevenzione.
Le 10 azioni di prevenzione
1 – Pensare. il modo corretto per un’azienda di pensare alla questione ransomware è quando, piuttosto che “se”, sarà colpita da un attacco ransomware.
2 – Un backup completo e preciso è una protezione importantissima dalle richieste di riscatto. Gli archivi in cloud, i drive di rete ed i file locali sono tutti a rischio di attacco ransomware. È quindi indispensabile predisporre backup offline separati dei file critici.
3 – Aggiornare costantemente i sistemi. I cybercriminali cercano le vulnerabilità e avere la versione più recente rinforza le difese. Microsoft, ad esempio, rilascia periodicamente un pacchetto di security patch per proteggere tutte le versioni del sistema operativo dal ransomware WannaCry e malware simili.
4 – Istruire i dipendenti sul ransomware e sui pericoli connessi al visitare siti web sconosciuti o scaricare applicazioni che non sono state prima verificate da un app store.
5 – Utilizzare più livelli di protezione, inclusi antivirus, filtri web e firewall per rafforzare la sicurezza di rete e essere certi che questi siano continuamente aggiornati.
6 – Utilizzare credenziali d’accesso basate sul ruolo. Gli amministratori di sistema devono consentire ai dipendenti di accedere alle parti della rete essenziali per il loro lavoro. Questo aiuta a limitare i danni se c’è un attacco.
7 – Investire in un servizio di informazione e gestione eventi di sicurezza, che opera come un hub centrale di sicurezza e comprende una serie di strumenti software per raccogliere, memorizzare e analizzare i dati raccolti dal perimetro di rete fino all’utente finale per monitorare le minacce alla sicurezza.
8 – Utilizzare la segmentazione di rete per separare le parti della rete in base alla criticità dei dati che ospitano, per esempio separare server web, server delle applicazioni e server di database. Ciò rende più difficile per il ransomware trovare un punto di appoggio. È però di primaria importanza che le policy di sicurezza vengano applicate tra i segmenti, così che che gli attacchi non possano violare le difese tecnologiche di perimetro.
9 – Assicurarsi di avere una password robusta e un meccanismo di autenticazione a più fattori. Può sembrare ovvio, ma molte aziende utilizzano ancora password deboli.
10 – È necessario avere un piano di risposta agli incidenti e assicurarsi di avere procedure aggiornate per proteggere, identificare e rispondere agli attacchi di ransomware.
