Attacchi ransomware, best practices per prevenire i rischi informatici

La sicurezza informatica è sempre più la nuova frontiera del business. Non c’è azienda, grande o piccola che sia, che possa fare a meno di soddisfacenti standard di cybersecurity, in grado di schivare o quando non è possibile, disinnescare un attacco informatico. Una delle minacce informatiche sempre più diffuse e pericolose per imprese e industrie è il ransomware. Vediamo di cosa si tratta.

Un ransomware è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano all'utente di pagare per sbloccare l’accesso al dispositivo, altri invece cifrano i file dell'utente chiedendo di pagare per riportare i file cifrati in chiaro.
 
L’anatomia di un attacco ransomware oggi solitamente rispetta i passaggi della cyber kill chain, dove i criminali informatici sfruttano una o più vulnerabilità per accedere indisturbati ai sistemi della vittima, esplorarli e infine installare il ransomware per utilizzarlo. La forte componente umana dell’attacco rende il ransomware una vera e propria arma capace di paralizzare l’attività delle moderne imprese. 

L’autore del ransomware, infatti, è l'unico a conoscere la chiave di decriptazione. Queste tattiche forzano l'utente a pagare l'autore del malware per rimuovere il ransomware, sia con un programma che decritti i file criptati, sia con un codice di sblocco che elimini le modifiche fatte dal ransomware. 

  

Ransomware a confronto

A seconda della modalità usata per bloccare i dati, si identificano diverse tipologie di ransomware. Individuiamo pertanto tre principali tipi di ransomware:
Lockers
Questa tipologia di ransomware mostra a tutto schermo un messaggio di blocco che rende impossibile utilizzare il PC. Per poter sbloccare lo schermo bisogna pagare il riscatto, altrimenti il computer rimane inutilizzabile. Per esempio il ransomware Reveton, apparso nel 2012, ha bloccato i PC infetti mostrando una schermata con un presunto messaggio dell’FBI che comunicava di essere stati coinvolti in azioni illegali e intimava di pagare una multa per poterli sbloccare. Si tratta comunque di una tipologia meno diffusa negli ultimi anni, avendo lasciato il passo ad attacchi più complessi e devastanti.

Crypto ransomware 
Questi ransomware sono tra i più aggressivi e difficili da eliminare. A differenza del precedente, il virus cripta i file presenti sul PC, oltre a visualizzare il messaggio di richiesta di riscatto. Tutti i file ed i documenti coinvolti saranno inaccessibili perché criptati. In questo senso celebri furono i ransomware Cryptolocker e WannaCry, casi che fecero parlare oltre agli esperti anche l’opinione pubblica.

RaaS (Ransomware as a service)
RaaS è l’acronimo di Ransomware as a Service e, analogamente a quanto succede per i programmi e le “piattaforme”, indica l’attività di ransomware come un servizio online, disponibile dietro il pagamento di una tariffa di affiliazione e facilmente reperibili sul dark web. Questa tipologia è sempre più diffusa e sta consentendo una vera e propria industrializzazione del crimine informatico, dove le principali gang sviluppano i loro ransomware e altri programmi utili per gli attacchi come se fossero aziende e ne “vendono” la licenza di utilizzo a chiunque voglia affiliarsi per utilizzarli nei loro attacchi, qualsiasi sia l’obiettivo. Solitamente quando si parla di un attacco di una gang di criminali informatici ci si riferisce a un RaaS da loro sviluppato e venduto.

  
attacchi-ransomware

 

4 passi da seguire se sei vittima di ransomware

Se la tua azienda non è dotata di un SOC (Security Operations Center, un centro da cui vengono forniti servizi finalizzati alla sicurezza dei sistemi informativi dell'azienda o dei clienti esterni) o di altri servizi di sicurezza informatica, le cose che si consiglia di fare in caso di attacco ransomware sono:
1. Non pagare mai il riscatto. Cedere al ricatto è pericoloso per due motivi: da un lato il pagamento alimenta l’industria del crimine informatico e istiga i cybercriminali a continuare, dall’altro non c’è certezza che pagando si possa tornare in possesso dei dati, anzi spesso chi lo ha fatto ha comunque visto i propri dati pubblicati o venduti a terzi.
2. Disconnettere i dispositivi dalla rete. La seconda cosa da fare è isolare il computer che si sospetta sia infetto, scollegandolo da Internet e anche dalla rete locale, isolandolo così dagli altri computer e dispositivi di archiviazione aziendali. Alcuni ransomware cercano, infatti, attivamente di connettersi ad altri computer per propagarsi, e inoltre tentano di trasmettere e ricevere dati verso il proprio centro di controllo attraverso Internet.
3. Tenere i dispositivi accesi per permettere la diagnosi e l’individuazione delle tracce dell’attacco. Nella cache di solito rimangono file temporanei utili all’analisi forense per aiutare a individuare i punti di ingresso e le falle sfruttate.
4. Fare intervenire degli specialisti di sicurezza informatica che possano intervenire sui dispositivi infettati e ripristinare le funzionalità compromesse, così da avere di nuovo tutte le risorse a disposizione.

 
attacchi-ransomware

 

Vulnerability assessment, l’arma in più per prevenire i cyberattacchi

Per prevenire gli attacchi informatici - e specialmente quelli ransomware - è fondamentale investire nel vulnerability assessment, un’analisi di sicurezza che ha come obiettivo l’identificazione di tutte le vulnerabilità potenziali dei sistemi e delle applicazioni valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva. 
Quest’operazione comprende la valutazione dei dispositivi collegati nella rete interna, dell’infrastruttura aziendale e anche delle applicazioni web utilizzate nel corso dell’attività lavorativa. Una valutazione delle vulnerabilità programmata e svolta a scadenze ben definite è una buona pratica fondamentale per assicurare la continuità operativa di un’azienda.

Innolva offre ai propri clienti una gamma di soluzioni cybersecurity per prevenire simili rischi con la massima efficienza, ad esempio: 
Controlli di sicurezza su domini e applicazioni, con cui evidenziare le vulnerabilità delle applicazioni e dei domini dell’azienda;
Verifica della vulnerabilità dell’infrastruttura, con cui rilevare tempestivamente i punti critici e mettere in campo interventi mirati;
Corsi di formazione aziendale, per preparare i dipendenti e collaboratori a riconoscere le minacce ad attivare le procedure corrette di messa in sicurezza:
Servizio di monitoraggio, per assicurare la continuità del business grazie a un Security Operation Center sempre a disposizione.

 


Vuoi dare più forza e valore al tuo business?
PROVA UN SERVIZIO
ARTICOLI SIMILI