Il ransomware è un software dannoso che blocca l’accesso a un sistema informatico o ai dati in esso conservati finché la vittima non trasferisce un determinato pagamento all’aggressore. Nel 2022 si sono verificati 493,33 milioni di attacchi ransomware in tutto il mondo, rendendo il ransomware una delle minacce informatiche più gravi affrontate oggi dalle aziende. In questa guida discuteremo dei comuni attacchi ransomware e dei modi per difendersi.
Se il ransomware ti preoccupa, proteggi subito i tuoi dati con la Protezione dal ransomware di Veeam.
Il ransomware rappresenta una minaccia crescente per le aziende moderne
Al giorno d’oggi, gli attacchi ransomware sono così comuni che la maggior parte delle persone ha già almeno un’idea di base di cosa sia il ransomware, ma potrebbe non comprendere appieno come funziona o perché è così grave. Secondo il report sui costi economici e sociali della criminalità del Regno Unito, il costo complessivo della criminalità informatica nel solo Regno Unito ammonta a diversi “miliardi”. Globalmente, si prevede che il costo degli attacchi ransomware, in particolare, raggiungerà 265 miliardi di dollari entro il 2031.
Mentre alcune vittime del ransomware sono abbastanza fortunate da riuscire a decrittografare i dati, esistono molti tipi di ransomware in circolazione per i quali i decrittatori non sono disponibili, e ciò significa che l’organizzazione deve ripristinare i backup per riprendersi dall’attacco. Se non dispone del backup o se anche i backup sono stati attaccati, il costo in termini di perdita di dati e di tempo per l’azienda può essere pesante. Il nostro Report sulle tendenze nel ransomware 2023 evidenzia quanto possa essere grave un attacco ransomware per alcune organizzazioni.
Comprendere la difesa dal ransomware
La difesa dal ransomware richiede una varietà di strategie. Ha inizio con le best practice di sicurezza informatica di base e prevede l’utilizzo di strategie e tecnologie più mirate per rilevare e rispondere agli attacchi ransomware, compresi quelli in corso.
I firewall tradizionali e i software antivirus possono evitare alcuni attacchi, mentre la formazione di tutti i dipendenti su come individuare e-mail di phishing, siti web dannosi e file eseguibili potenzialmente pericolosi può contribuire notevolmente alla prevenzione degli attacchi. Tuttavia, i moderni strumenti di difesa dal ransomware possono andare oltre, monitorando l’attività della rete e del file system per identificare i segnali di un attacco, come pattern di comunicazione o attività di accesso/crittografia ai file insoliti.
Gli amministratori di rete possono applicare diversi strumenti di sicurezza e IT per la difesa dal ransomware. La protezione degli endpoint, i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) possono essere combinati con tecniche di analisi basate sul comportamento per individuare rapidamente gli attacchi e mitigare eventuali danni.
È improbabile che ciascuna di queste strategie sia sufficiente, da sola, a proteggere un sistema IT aziendale dal ransomware. Combinando tecniche di difesa, scansione passiva e misure di difesa proattiva è possibile ridurre la superficie di attacco e aumentare la probabilità che le misure correttive abbiano successo in caso di attacco.
Componenti chiave della difesa dal ransomware
Una difesa efficace dal ransomware richiede un approccio su più fronti.
Sicurezza e monitoraggio della rete
I firewall e i sistemi di rilevamento delle intrusioni (IDS) rappresentano la prima linea di difesa da una varietà di attacchi, non solo dai ransomware. Un firewall analizza l’attività di rete in entrata e in uscita e blocca le connessioni che considera non autorizzate.
Un’attività non autorizzata potrebbe essere una scansione delle porte, in cui l’autore di un attacco tenta di connettersi alle porte in modo casuale per cercare di scoprire quali servizi sono in esecuzione su un server. Oppure potrebbe trattarsi di un malintenzionato che tenta di accedere a un server tramite un attacco di forza bruta o semplicemente di eseguire un attacco Denial of Service su un server inviando un numero enorme di richieste in rapida successione.
I sistemi di rilevamento delle intrusioni sono simili ai firewall dato che anch’essi rilevano attività dannose. Questi strumenti agiscono quindi in base a una serie di regole predefinite. Ad esempio, potrebbero attivare l’esecuzione di altri strumenti o avvisare l’amministratore di sistema in modo che possa analizzare il problema e intervenire manualmente.
La difesa dal ransomware è una corsa agli armamenti e non è possibile fare affidamento esclusivamente su regole e definizioni di malware statiche. Persino la scansione euristica dei virus non garantisce l’identificazione di tutto il codice dannoso. Pertanto, è importante utilizzare il monitoraggio in tempo reale e l’analisi comportamentale per identificare i cambiamenti nell’attività dei sistemi. L’utilizzo di questa forma di monitoraggio aumenta la probabilità che vengano rilevate attività sospette.
Ad esempio, il monitoraggio in tempo reale può controllare l’accesso o la modifica di un gran numero di file in un breve periodo di tempo. Può anche rilevare l’apertura improvvisa di file inutilizzati da molto tempo. Anche se questa attività risulta non essere ransomware, potrebbe trattarsi di qualche altro problema di sicurezza, come una minaccia interna.
Risposta e ripristino in caso di incidente
Gli strumenti di sicurezza sono solo una parte dell’equazione. Anche disponendo di strumenti sofisticati, esiste comunque il rischio che si verifichi una violazione della sicurezza e disporre di un piano di risposta agli incidenti chiaro ed efficace è fondamentale per ridurre al minimo i danni in caso di attacco.
Un piano di risposta agli incidenti ransomware comprende diversi passaggi:
- Determinare quali sistemi sono interessati.
- Scollegare i dispositivi dalla rete ove possibile.
- Se necessario, spegnere le apparecchiature interessate.
- Esaminare i log di sistema per determinare come è avvenuto l’attacco.
- Identificare il ransomware e determinare se sono presenti altri malware nel sistema.
A seconda della natura dell’attacco, i passaggi da seguire possono variare. Gli amministratori devono valutare il costo potenziale derivante dal lasciare accesi i dispositivi infetti (consentendo quindi la continuazione dell’attacco) rispetto allo spegnimento del sistema e alla perdita di qualsiasi prova archiviata nella memoria volatile.
Dove sono disponibili backup recenti e si sa che sono protetti/isolati dal ransomware, può aver senso lasciare i sistemi infetti accesi ma disconnessi da qualsiasi connessione Wi-Fi o LAN per analizzarli.
Il ripristino dei dati è solo una parte dell’equazione. Idealmente, l’attacco dovrebbe essere contenuto rapidamente per evitare che si diffonda. In molti casi, il ransomware ottiene l’accesso a una rete attraverso, ad esempio, un attacco di phishing mirato sul laptop di un dipendente e da lì il software dannoso si diffonde alle unità di rete e ad altri sistemi, cercando qualsiasi cosa a cui abbia l’autorizzazione ad accedere e su cui scrivere.
Identificare rapidamente l’attacco significa che il malware ha meno tempo per diffondersi e infettare le unità. A seconda del sistema inizialmente infetto e di quanto siano ben configurati i privilegi di accesso ai file sulla rete, il danno potrebbe essere limitato solo al computer dell’utente e ad alcune condivisioni di rete non critiche.
Adottare un approccio sistematico al contenimento e al ripristino
Gli amministratori di sistema dovrebbero sempre ricordare che il ransomware può agire in molti modi diversi. Alcuni ransomware crittografano semplicemente i file, altri script dannosi cancelleranno i dati della vittima dopo un tempo prestabilito se il riscatto non viene pagato. Esistono anche alcuni ransomware particolarmente pericolosi che scansionano i file alla ricerca di dati potenzialmente preziosi, inviandoli all’aggressore, che minaccerà di divulgarli se il riscatto non viene pagato.
Le violazioni dei dati di questo tipo possono essere particolarmente dannose per qualsiasi azienda, quindi è importante procedere con cautela quando si risponde a un attacco ransomware. Invece di precipitarti alla fase di ripristino dei dati, dedica un po’ di tempo a sanificare a fondo tutti i sistemi infetti. A seconda della gravità dell’attacco, potrebbe essere più efficiente limitarsi a cancellare o a ricreare l’immagine di tali sistemi.
Per ridurre il rischio che un attacco si ripeta, modifica tutte le password del sistema e rivedi le regole del firewall, gli elenchi di blocco e i sistemi di rilevamento malware di cui disponi per garantire che siano adeguatamente aggiornati e funzionino correttamente. Fornisci formazione ai membri del personale sugli attacchi di phishing e di social engineering.
Una volta avuta la certezza che il malware sia stato completamente rimosso dalla rete, puoi avviare il processo di ripristino dei dati critici dai backup. Scansiona i backup stessi prima di ripristinarli per assicurarti che non siano infetti. Se l’infezione è stata rilevata rapidamente, è molto improbabile. Tuttavia, se esegui backup frequenti, è possibile che quello più recente sia infetto e che tu debba invece ripristinare uno dei backup “ad accesso infrequente” o “off-site” più vecchi.
Evitare i pagamenti del riscatto
Sebbene si siano riscontrati alcuni esempi di alto profilo di attacchi ransomware che hanno preso di mira grandi organizzazioni chiedendo loro ingenti somme di denaro, la maggior parte degli attacchi ransomware è opportunistica. Gli aggressori spesso chiedono somme minori, tra 700 e 1.500 dollari, partendo dal presupposto che se rendono il riscatto relativamente conveniente, è più probabile che la vittima lo paghi perché vuole semplicemente recuperare i propri file il più rapidamente possibile.
I metodi più frequenti per il pagamento del ransomware sono le criptovalute come Bitcoin, Litecoin o anche Dogecoin. Questi token vengono scelti perché sono ampiamente disponibili sui mercati di scambio tradizionali, quindi le vittime dovrebbero essere in grado di acquisirli facilmente. Gli aggressori trovano anche facile usare i “tumbler” per offuscare la storia delle monete che ricevono, rendendo più facile convertirle in denaro reale in un secondo momento.
Pagare un attacco ransomware può essere un’opzione allettante per un imprenditore con poco tempo che si trova ad affrontare la temuta schermata di blocco sul computer. Tuttavia, prima di decidere tra il ripristino dei dati e il semplice pagamento, è importante considerare l’impatto di ciascuna scelta. L’unica garanzia che al pagamento del riscatto ti saranno restituiti i dati è la promessa dello sviluppatore del ransomware, qualcuno che è abbastanza immorale da scegliere questo modo di fare soldi. Inoltre, anche se ripristini i dati, non c’è garanzia che il malware rimanente non verrà utilizzato per infettarti con qualcos’altro in futuro se non hai sanificato i tuoi sistemi.
Un altro aspetto da considerare è legato alle questioni etiche relative al pagamento del ransomware. Le criptovalute vengono spesso utilizzate per finanziare il traffico di droga, il riciclaggio di denaro, il traffico di esseri umani e le attività terroristiche. Quando acquisti criptovalute, sostieni indirettamente tali attività e il pagamento del riscatto premia inoltre il crimine informatico.
In alcune aree del mondo, effettuare un pagamento per un ransomware potrebbe effettivamente essere illegale perché comporterebbe il pagamento a un’entità soggetta a sanzioni finanziarie. Questo non è vero in tutti i Paesi, ma è qualcosa di cui essere consapevoli. Se sei stato vittima di un attacco ransomware e stai considerando di pagare un riscatto, rivolgiti a un legale prima di farlo.
Miglioramento e formazione continui
È facile sentirsi in imbarazzo se la tua organizzazione è rimasta vittima di un attacco ransomware. Forse ti starai chiedendo come è successo e se avresti potuto fare qualcosa per evitarlo. Ricorda sempre che anche le grandi organizzazioni con team IT dedicati e budget elevati sono state vittime di crimini informatici. Cerca di imparare dall’incidente e crea nuove strategie per sconfiggere il ransomware.
Se riesci a farlo senza violare gli accordi di non divulgazione o senza condividere dati aziendali, rendi pubblico l’attacco e aiuta gli altri a trarne insegnamento. Condividi informazioni su cosa è andato storto e avvia una discussione su come tu (e gli altri) potete difendervi meglio.
Un’altra opzione possibile è quella di eseguire esercitazioni simulate sul ransomware per testare la tua preparazione e identificare le aree in cui le persone potrebbero aver bisogno di ulteriore formazione o in cui il tuo IDS o altri sistemi sono carenti.
Collegamenti con altri aspetti del ransomware
In questo caso ci siamo concentrati principalmente sulla difesa dal ransomware, ma ci sono altri problemi correlati:
- In primo luogo, prevenire il verificarsi degli attacchi
- Rispondere agli attacchi se vengono identificati
- Ripristinare i dati dopo un attacco
Tutti questi aspetti si combinano per formare un’efficace strategia anti-ransomware, con una notevole sovrapposizione. Una buona strategia di difesa dal ransomware può utilizzare strumenti simili alla prevenzione del ransomware e parte della strategia di difesa dal ransomware includerà l’adozione un piano di risposta rapida. Tuttavia, vale la pena sviluppare ciascuna strategia individualmente in modo da essere sicuri di disporre di solidi sistemi di sicurezza e di backup.
Rafforzare la difesa dal ransomware della tua organizzazione
Se la tua organizzazione è preoccupata per il potenziale impatto del ransomware, cogli l’occasione per rivedere la tua strategia di difesa.
Creare una strategia complessiva
Rivedi le misure di sicurezza informatica esistenti ed esegui un controllo di sicurezza completo. Prendi in considerazione l’esecuzione di simulazioni di incidenti per identificare potenziali falle nella sicurezza.
Dopo questa revisione, elabora un piano che integri prevenzione, protezione, difesa e risposta per coprire ogni eventualità che ti viene in mente. Non copiare semplicemente il piano di qualcun altro; assicurati di adattare il piano alle esigenze specifiche della tua organizzazione.
Sfruttare la tecnologia e la collaborazione
Il ransomware è oggi un problema così pervasivo che sono disponibili molti strumenti per il monitoraggio e il rilevamento delle intrusioni, nonché per l’intelligence sulle minacce. Non provare a creare i tuoi strumenti. Approfitta della ricchezza di competenze già disponibile e collabora con altri operatori del settore. Insieme, possiamo sconfiggere il ransomware.
Il ransomware non discrimina
Il ransomware è una minaccia opportunistica sempre presente. È altrettanto probabile che infetti un singolo utente domestico quanto una multinazionale. Ecco perché è così importante che coloro che sono preoccupati per la protezione dei propri dati siano proattivi nella difesa dal ransomware.
Costruendo una strategia di difesa dal ransomware articolata che combina prevenzione, protezione, risposta e ripristino, è possibile creare un quadro di sicurezza informatica resiliente in grado di combattere efficacemente il panorama delle minacce in continua evoluzione degli attacchi ransomware.
Se desideri saperne di più su come possiamo aiutarti a proteggere i dati della tua organizzazione, scarica il nostro white paper 7 best practice per il ripristino dal ransomware.
