Ransomware: come si affronta il sequestro digitale

In queste ore tutto il mondo è alle prese con un attacco informatico ascrivibile al ransomware WannaCryptor, chiamato anche Wcry.

Il ransomware ha colpito un po' tutti: istituzioni pubbliche, sanitarie, università, aziende e chissà quanti altri.

Secondo quanto comunicato dal team Incident Response di Check Point questo attacco hacker ha utilizzato e sta utilizzando il protocollo SMB (Server Message Block) per propagarsi all’interno delle reti aziendali.

Come entra in azione il ransomware

Il vettore d’attacco può presentarsi in numerosi modi: come un link all’interno di una mail, come un link all’interno di un PDF o come un file ZIP crittografato protetto da password che contiene un PDF che dà avvio alla catena di infezione.

Secondo quanto riportato dalla società israeliana specializzata in soluzioni per la sicurezza informatica, il ransomware che ha sferrato l’attacco è la versione 2.0 di WCry, noto come WannaCry o WanaCrypt0r.

La versione 1.0 di questo ransomware era stata scoperta lo scorso 10 febbraio, ma il ransomware era stato poco utilizzato. Ieri, invece, la versione 2.0 è stata responsabile di un attacco mondiale che è ancora in corso.

Wcry insomma si propaga usando delle vulnerabilità di Windows che sono state scoperte dalla National Security Agency statunitense, a cui sono state sottratte.

Per insinuarsi WanaCrypt0r sfrutta email false, siti web infetti, vecchi spyware residenti, reti locali, BitTorrent. Dopo aver preso possesso del pc il ransomware chiede un riscatto in bitcoin.

Ma al di là di ciò si tratta di una vulnerabilità nota e che sta colpendo con alcune varianti. Microsoft, al riguardo, ha fatto sapere che con Windows Update attivato e un antivirus funzionante i computer sono in sicurezza.

Ma, tant'è, non tutti aggiornano i propri sistemi e, nemmeno, rivelano quanto vengono colpiti.

Infatti è da considerare che meno di un incidente su 4 solitamente viene denunciato alle autorità.

Il fenomeno ransoware è inarrestabile e prima dell'attuate attacco era stimato valere un miliardo di dollari a livello globale.

Fenomenologia del ransomware

Per ransomware, o cryptolocker, si intende infatti un informatico che cifra e tiene in ostaggio i dati delle aziende finché non viene pagato un riscatto.

Per via della sua natura e delle conseguenze che comporta, il ransomware è diventato un problema prioritario per chi si occupa di sicurezza informatica e di IT.

Considerando come oggi i dati vengono trattati nelle aziende e la centralità che rivestono in ogni tipo di attività, prendendoli in ostaggio il ransomware ha la capacità di distruggere qualsiasi realtà, anche grande, nel giro di pochi minuti.

E benché alcune aziende abbiano iniziato a utilizzare sistemi antivirus di nuova generazione e soluzioni di business continuity, sono ancora troppe le imprese impreparate all’eventualità di attacchi di questo tipo.

È il caso delle Pmi, dove spesso non c’è una figura dedicata a gestire l’IT e dove spesso si utilizzano sistemi informatici obsoleti e quindi inefficaci.

E di queste mancanze approfittano consapevolmente i cybercriminali che guadagnano milioni di dollari mettendo in ginocchio le aziende a cui il downtime genera delle perdite complessive per migliaia di dollari.

Non meno drammatici i numeri relativi alle denunce che ne conseguono: stando ai dati del Clusit , dicevamo, meno di 1 incidente su 4 viene riportato alle autorità.

ransomware achab

Come si reagisce al ransomware

Per essere pronti a resistere ad ransomware è necessario innanzitutto che le imprese siano consapevoli di questi rischi, e solo in seguito possono provvedere a mettere in atto best practice e sistemi di ripartenza post attacco affidandosi a fornitori di serviti IT e consulenti preparati.

Da una ricerca condotta da Achab è emerso che il 93% dei fornitori di servizi IT negli ultimi 12 mesi ha effettuato interventi tecnici a causa del ransomware e purtroppo si tratta di un dato che non può che continuare a crescere nei prossimi due anni.

«C’è una grande differenza di consapevolezza sui rischi del ransomware fra chi si occupa di IT e i clienti - ci aveva detto non molto tempo fa Andrea Veca, CEO di Achab - Solo il 24% dei clienti è consapevole».

Come mostra l’immagine seguente, la scarsa consapevolezza degli utenti, la mancanza di training e le email di phishing e spam sono le principali cause di infezione che nel 93% del casi ha determinato downtime e/o perdita di dati.

ransomware achab

 

«Inoltre il pagamento del riscatto – aveva ricordato Claudio Panerai, CTO di Achab – non garantisce il recupero dei dati: il 37% dei fornitori di servizi IT ha pagato il riscatto almeno una volta e di questi in 1 caso su 3 è successo di non riavere i dati anche dopo aver pagato. Le richieste di riscatto per l’81% dei casi non supera i 1.000 euro, ma si sono verificati casi in cui le richieste abbiano superato i 10.000 euro. Tuttavia, benché il tipico riscatto non sia generalmente una somma elevata da prosciugare il conto in banca, il costo del downtime e della perdita di dati conseguente a un attacco ransomware è il danno maggiore da sostenere».

Come ci si difende

Sul fronte tecnologico la risposta migliore, oltre a un sistematico aggiornamento dei sistemi, applicazioni e antivirus, è l’adozione di un sistema di disaster recovery e business continuity.

Per tenere sotto controllo l'evoluzione dei ransomware, Achab ha messo a disposizione una risorsa online (raggiungibile cliccando qui) che contiene tutte le novità in merito e le tecniche di reazione.

In linea generale, il singolo dovrebbe, da subito, subito aggiornare Windows con Windows Update, utilizzare un buon antivirus, cercare ed eliminare lo spyware, bloccare i siti web pericolosi, fare backup.

Il team Incident Response di Check Point sta continuamente tenendo sotto controllo la situazione e ha fornito una serie di informazioni per capire come prevenire gli elementi dell’attacco. Le informazioni sono disponibili qui.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.
CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here