8 modi per prevenire un Attacco Ransomware

da

LE AZIENDE DI TUTTO IL MONDO HANNO UN NUOVO NEMICO: IL “VIRUS DEL RISCATTO”

Negli ultimi anni abbiamo assistito ad un fenomeno che ha visto la crescita esponenziale di attacchi informatici che hanno paralizzato aziende ed enti di tutto il mondo. Infatti, a cavallo tra il 2016 e il 2017, siamo stati testimoni di gravissimi attacchi informatici, che hanno colpito non solo privati, ma anche e soprattutto aziende appartenenti a diversi settori, sia pubblici che privati, rischiando di mandare in tilt l’intera società.

I ransomware sono un fenomeno vecchio quasi 30 anni, ma adesso rappresentano la minaccia informatica più temuta. Sono tornati alla ribalta a metà 2017 attraverso il pericoloso virus WannaCry, seguito poi dal più recente Petya-NotPetya, che hanno contaminato migliaia di computer e infrastrutture informatiche in brevissimo tempo. I media di tutto il mondo hanno parlato di questi due attacchi, ed ora in molti hanno iniziato a temere questo potente programma virale, ma ancora in pochi pochi sanno cosa sia realmente e come funzioni. Quindi ci sembra opportuno spiegare nel modo più semplice possibile cos’è un ransomware, come funziona il suo processo di infezione e diffusione e quali sono le migliori precauzioni per schivare un’infezione da “virus del riscatto”.

 

COS’È UN RANSOMWARE

Il primo ransomware, che però non è stato in grado di diffondersi, è il PC Cyborg e risale al 1989. Si chiamava in questo modo, perchè dopo aver bloccato i file, chiedeva il pagamento di una somma di denaro per “il rinnovo di una licenza” da pagare ad una compagnia fittizia dal nome PC Cyborg Corporation.

Dopo un lungo periodo di stallo si è sentito parlare di nuovo di questi virus del riscatto nel 2014, che con il passare degli anni hanno ampliato la loro capacità di diffondersi, fino agli ultimi gravissimi attacchi di maggio e giugno 2017, con WannaCry e Petya-NotPetya.

In passato lo scopo dei virus informatici, a cui siamo tuttora abituati, era quello di creare fastidi o danneggiare le macchine, costringendo gli utenti a formattarle per poterne ripristinare il corretto funzionamento. Ora, vediamo la diffusione di questa nuova famiglia di virus, che sono diventati più distruttivi e dannosi a partire dalla creazione del ceppo Cryptolocker. Questi virus hanno la stessa capacità tecnica dei virus che li hanno preceduti, il loro scopo però non si limita al voler apportare danni. Infatti, negli ultimi anni i virus sono diventati un vero e proprio business, capace di generare entrate di diversi milioni di euro. Questi software hanno adesso subito un’evoluzione politica che ha portato i loro creatori ad usarli con un intento criminale: ricattare (ransom in inglese, parola da cui  deriva il nome) ed estorcere denaro.

Quindi, in parole semplici, il ransomware è un programma malevolo (malware) che ha l’abilità di bloccare (criptare) tutti i file contenuti nel nostro computer, smartphone o tablet (exel, documenti, pdf, foto ed altri) e renderli inutilizzabili, fino al pagamento di una somma di denaro, ossia il riscatto. Quindi, a differenza dei virus che abbiamo conosciuto in passato, questo ransomware è in grado di ripristinare lo stato iniziale del computer a fronte del pagamento di un riscatto, solitamente chiesto in Bitcoin, in quanto questo tipo di transazioni non possono essere tracciate.

Il ransomware inizialmente colpiva principalmente PC con Sistema Operativo Windows e cellulari Android, invece adesso colpisce anche Mac OS X e Linux.

Ma perchè questi virus sono così temuti?

Il Ransomware ha subito dalla sua versione originale un forte cambiamento tecnologico, infatti le ultime versioni sono state aggiornate con dei sistemi automatizzati, che li rendono in grado di identificare la propria vittima, attaccarla attraverso email o link, infettarla e continuare il processo di propagazione dell’infezione.

C’è anche un’altra ragione che li rende così distruttivi questi virus informatici: circa sei mesi fa un gruppo di criminali ha sottratto un arsenale di armi digitali alla NSA (National Security Agency) e successivamente l’ha reso pubblico, e dunque accessibile, in tutto il mondo; i nuovi virus informatici dunque, potenziati con quest’arsenale che fino a pochi mesi fa era top secret, hanno acquisito una capacità e velocità di propagazione molto superiore ai loro predecessori.

Infatti, per esempio, uno dei peggiori attacchi informatici avvenuto a maggio 2017, è stata un’infezione da ransomware che si è diffusa a macchia d’olio in circa 150 paesi. Questo è l’attacco di WannaCry, che non ha sfruttato l’email come i suoi predecessori, ma ha sfruttato una delle armi sottratte alla NSA, l’exploit EternalBlue di Windows, che fu per l’appunto, creato dall’agenzia di sicurezza nazionale americana.

 

COME FUNZIONANO

prevenire un attacco ransomware

Come la maggior parte dei malware, anche il ransomware può provenire dall’apertura di un allegato malevolo in un’email, da un clic su un pop-up ingannevole o semplicemente dalla visita di un sito web compromesso. Essi possono anche provenire da siti web legittimi e, recentemente, i cyber criminali hanno utilizzato persino la pubblicità per diffondere i malware tra gli utenti.

Eppure, il metodo più utilizzato è attraverso l’email, in quanto è il sistema meno faticoso per i criminali, che mandano anche decine di migliaia di messaggi in una sola volta.

Il processo di infezione del computer o del cellulare è semplice, l’utente riceve un’email ingannevole, il testo lo spingerà a fare doppio click sull’allegato dando la possibilità al ransomware contenuto nell’allegato di eseguirsi e cominciare il suo processo di infezione. Una volta che esso ha infettato una macchina, il malware ha la capacità di auto replicarsi e diffondersi nel web, sfruttando la rubrica di contatti del computer infettato.

Per quanto riguarda le aziende, invece, il ransomware ha la capacità di sfruttare la prima macchina attaccata per risalire al server di backup ed infettare l’intera rete aziendale.

 

COME PROTEGGERSI

Ora che abbiamo visto come funzionano questi attacchi e come questi virus infettano le aziende, capiamo bene come proteggersi.

È importante dire che il modo migliore per proteggersi da questa tipologia è attuare delle strategie di prevenzione.

1.
Innanzitutto, è molto importante formare costantemente il personale sulle evoluzioni dei programmi malevoli; se le persone fossero più prudenti prima di aprire un allegato, il rischio di essere infettati da un ransomware diminuirebbe notevolmente. Quindi, suggeriamo di non aprire mai gli allegati di mail sospette, non visitate siti web strani e non scaricate programmi da siti che non siano i siti web ufficiali dello sviluppatore e gli store. Il mittente della mail può essere camuffato, con contatti che potreste conoscere, quindi bisogna sempre porre la massima attenzione alla provenienza delle email e agli eventuali allegati presenti. I cyber criminali si preparano per mesi per i loro attacchi, quindi è bene ricordarsi che essi preparano le email in maniera tale da trarre in inganno chi le riceve.

2.
È altrettanto importante effettuare regolarmente il backup dei file. Inoltre, suggeriamo di tenere un backup di tutti quanti i dati staccato dalla rete locale o con la possibilità di scriverci solo in determinati orari del giorno. Così, anche se il ransomware riesce ad accedere ad una delle macchine all’interno della rete, non sarà in grado di collegarsi al server di backup e bloccare l’unica fonte di dati che tutta la rete aziendale ha a disposizione.

3.
È altamente consigliato installare un buon antivirus.

4.
Un’altra strategia per difendersi da questa tipologia di malware è effettuare una verifica a intervalli regolari dello stato di sicurezza della propria rete aziendale.Con ciò intendiamo affidarsi ad esperti di cyber security, che facciano attività di Penetration Test e Vulnerability Assessment  che sono essenzialmente delle simulazione di attacchi volte ad identificare le falle all’interno di un sistema con lo scopo ultimo di rimuoverle.

5.
Suggeriamo anche di creare account utenti standard per ogni dipendente da usare per il lavoro quotidiano. Con ciò intendiamo che, quando si lavora in Windows, per le attività di tutti i giorni, suggeriamo di utilizzare un account utente dotato di privilegi standard, ossia limitato rispetto agli account amministratori. In caso di infezione da ransomware il danno sarebbe più limitato ai soli file dell’utente in uso, l’aggressione non potrebbe diffondersi altrove. L’account amministratore dovrebbe essere utilizzato solo per le attività che ne richiedono strettamente l’utilizzo.

6.
Bisogna attivare la visualizzazione delle estensioni conosciute in Windows e non fare mai doppio clic sui file con una doppia estensione. Questo perché uno degli espedienti più utilizzati in assoluto dagli aggressori informatici è inviare email con allegati malevoli contraddistinti da una doppia estensione.

7.
Bisogna prestare anche molta attenzione ai file che si scaricano dai social, in quanto anche gli stessi social network sono sempre più utilizzati dai criminali informatici per diffondere i ransomware e malware.

8.
Un altro metodo è sicuramente quello di applicare tutte quante le patch di sicurezza, ovvero tenere i propri software costantemente aggiornati. Per esempio, l’arsenale creato dall NSA, a cui abbiamo accennato prima, sfrutta delle falle all’interno dei sistemi che sono note e quindi ormai sono state risolte. Per cui applicando le patch contenute negli aggiornamenti si rendono completamente inefficaci queste armi digitali. È anche importante tenere aggiornati il browser e tutti i plugin da questo utilizzati.

 

CONCLUSIONI

Il ransomware è un programma malevolo che si diffonde principalmente tramite email e ha lo scopo di bloccare tutti i file contenuti nei dispositivi elettronici da computer a tablet per chiedere un riscatto. Visto il recente attacco ci è parso utile condividere con voi gli 8 modi migliori per diminuire il rischio di subire un attacco da ransomware.
Questi software, comunque, continuano a svilupparsi e trovano sempre nuovi metodi per rintracciare vittime e attaccarle; prossimamente vedremo cosa fare nel caso in cui è stato eseguito un ransomware sul nostro computer, bloccando l’accesso a tutti i nostri dati.

Ultimi articoli

CAPTURE THE FLAG WASTELANDS 2024

CAPTURE THE FLAG WASTELANDS 2024

Per la prima volta la CTF (Capture the Flag) di Interlogica si è evoluta in un evento indipendente: WASTELANDS 2024. Dal 5 al 7 luglio si è tenuta una sfida online di 3 giorni, progettata dal nostro talentuoso Team di Cybersecurity, che ha offerto a chi ha la passione...

AI, MACHINE LEARNING, IOT. LA MIA ESPERIENZA A AWS SUMMIT 2023

AI, MACHINE LEARNING, IOT. LA MIA ESPERIENZA A AWS SUMMIT 2023

Giovedì 22 giugno ero al Milano Convention Center in occasione dell'evento annuale organizzato da Amazon Web Services per promuovere i propri servizi Cloud in continua evoluzione: AWS SUMMIT. In mezzo a un mare di IoT, di Servitization, di Cloud Computing sopra le...

TECNOLOGIA E SOSTENIBILITÀ: DUE PAROLE CON ERIC EZECHIELI

TECNOLOGIA E SOSTENIBILITÀ: DUE PAROLE CON ERIC EZECHIELI

Sostenibilità non può essere solo una parola che fa parte del nostro vocabolario quotidiano, ma vuota nei suoi effetti. La tecnologia ha un ruolo di propulsione in questo senso e può aiutare le aziende a raggiungere obiettivi più sostenibili. Abbiamo fatto una lunga...