Con il progredire della tecnologia, anche le politiche di sicurezza informatica che la proteggono restano sempre di pari passo.
La protezione dagli attacchi ransomware dovrebbe essere una priorità assoluta sia per gli individui che soprattutto per le aziende.
Senza di essa, consumatori e aziende non adeguatamente protetti rischiano di perdere informazioni sensibili.
Secondo un’analisi di Cybersecurity Ventures, nel 2021 si sarebbe verificato un attacco ransomware ogni 11 secondi, con danni per circa 20 miliardi di dollari.
Gli schemi di estorsione prendono sempre più spesso di mira le aziende che sono più propense a pagare il prezzo per recuperare i dati.
Per molte aziende, i dati sono la loro risorsa più importante, ad esempio: per banche, ospedali e cliniche mediche, per aziende di produzione e non da ultimo, per tutte le attività imprenditoriali che basano il loro business sull’elaborazione dei dati. Di conseguenza, quantunque questi venissero sottratti comporterebbe una paralisi irreversibile dell’operatività dell’azienda.
Prima di diventare una vittima della criminalità informatica, è fondamentale essere proattivi con le migliori soluzioni di sicurezza ransomware.
In quest’articolo, esamineremo dieci suggerimenti per proteggere i tuoi dati e prevenire gli attacchi ransomware.
- Che cos’è il ransomware
- Come si trasmettono i ransomware
- Esempi di ransomware moderni
- Come prevenire gli attacchi ransomware?
Che cos’è il ransomware
Il ransomware è uno degli attacchi informatici frequenti negli ultimi anni.
Si tratta di una tipologia di malware che cripta i dati sui dispositivi colpiti fino al pagamento di un riscatto.
Un attacco ransomware può essere così devastante da mettere le organizzazioni che fanno affidamento sui dati sull’orlo del fallimento.
Il mancato pagamento del riscatto dei dati potrebbe significare la permanente perdita d’informazioni sensibili se l’azienda vittima non possiede un backup.
Tuttavia, pagare il riscatto ad un ransomware non dovrebbe essere un’opzione.
Infatti, non vi è alcuna garanzia che otterrete indietro i vostri dati anche dopo aver pagato il riscatto.
Quando paghi il riscatto, ricevi la chiave di decrittazione o non ne ricevi mai una.
Gli esperti dicono che le aziende non dovrebbero mai pagare il riscatto. Sebbene la perdita di dati possa creare problemi per un’azienda, il finanziamento di questo business incoraggerebbe solo i criminali informatici a continuare a svolgere attività illegali e ad aumentare le richieste di riscatto.
Come si trasmettono i ransomware
Alcuni dei modi più diffusi in cui si viene infettati da ransomware sono i seguenti:
- Spoofing delle e-mail;
- Siti web contraffatti;
- Download di allegati di dannosi;
- Vulnerabilità nel sistema e/o nella rete;
- Attacchi RDP; sfruttando il Remote Desktop Protocol e le sessioni di accesso remoto ai server rimaste “aperte”.
Esempi di ransomware
Ci sono principalmente quattro categorie di ransomware:
- Encryption
il tipo più frequente di ransomware è la crittografia, che crittografa i dati e impedisce la decrittazione senza una chiave di decrittografia.
- Lockers
limita l’uso del tuo computer rendendo impossibile l’esecuzione di qualsiasi operazione a meno che paghi un riscatto.
- Scareware
questa forma di software è progettata per indurre gli utenti ad acquistare software senza valore.
I popup possono persino sopraffare lo schermo, richiedendo all’utente di pagare per rimuoverli.
- Doxware o leakware
minaccia di rilasciare informazioni personali o aziendali se non viene pagato il riscatto richiesto.
Come prevenire gli attacchi ransomware?
Non è facile azzerare il rischio di attacchi ransomware, ma certamente è possibile ridurre le probabilità di contrarre l’infezione al minimo.
Di seguito dieci suggerimenti per la protezione dalle minacce ransomware.
- Consapevolezza e formazione
La consapevolezza della dinamica degli attacchi ransomware e altri malware nonché le devastanti conseguenze che ne possono derivare, dovrebbero essere in cima alla lista di controllo della sicurezza informatica.
Un’azienda può vantare la protezione più completa delle tecnologie informatiche, ma se i dipendenti sono ignari dell’esistenza di e-mail di phishing, ne hanno ricevuto una nella loro casella elettronica di lavoro.
Ignorando le possibili conseguenze, hanno aperto l’allegato e avviato il payload del ransomware sul loro computer di lavoro, crittografando tutti i loro dati e rendendoli inaccessibili.
Per prevenire lo scenario di cui sopra, si possono organizzare seminari di sensibilizzazione sulla sicurezza informatica per il personale almeno una volta all’anno. I dipendenti dovrebbero conoscere i possibili pericoli d’Internet, come riconoscerli e come rispondere efficacemente in caso di tentativi di violazione.
- Backup dei dati
Una delle tecniche basilari di mitigazione del rischio è la presenza di un backup dei dati su un disco rigido esterno o in cloud.
In caso di attacco ransomware, gli utenti possono formattare il dispositivo infettato e ripristinare i dati di backup.
Le organizzazioni dovrebbero preferibilmente eseguire il backup dei dati più sensibili almeno una volta al giorno. La regola del 3-2-1 è una delle tecniche popolarmente adottate. Questa strategia comporta il mantenimento di tre copie indipendenti dei tuoi dati su due diverse forme di archiviazione, nonché una copia offline.
- Archiviazione immutabile
Un’altra pratica consigliata è, se possibile, l’utilizzo di uno storage di backup immutabile.
La maggior parte delle soluzioni di backup basate su disco protegge i dati a livello di blocco e utilizza il rilevamento dei blocchi modificati per preservare i file mentre cambiano. Il problema è che l’attacco ransomware altera molti blocchi di archiviazione e il tuo sistema di backup finirà per eseguire il backup dei contenuti ora crittografati.
In linea di principio, il programma di backup dovrebbe essere in grado di ripristinare i dati nella forma precedente all’infezione. A tal fine, deve essere in grado di mantenere un numero sufficiente di punti di ripristino e preservare gli attuali blocchi di archiviazione dall’alterazione. L’utilizzo dello spazio di archiviazione immutabile può aiutare a proteggere i backup dagli attacchi ransomware.
- Segmentazione
Poiché il ransomware può diffondersi rapidamente in tutta la rete, è fondamentale contenere il più possibile un attacco. La segmentazione della rete suddivide la rete in parti più piccole, consentendo all’azienda di isolare il ransomware e impedirne la diffusione attraverso la rete.
Per impedire al ransomware di raggiungere i dati di destinazione, ogni singolo sottosistema dovrebbe avere le proprie regole di sicurezza, firewall e accesso univoco. L’accesso segmentato non solo impedirà all’attacco di diffondersi sulla rete principale, ma consentirà anche al tuo supporto di sicurezza di avere più tempo per identificare, isolare ed eliminare il problema.
- Limitazione dei privilegi di accesso
Un altro metodo per proteggere la rete e i sistemi consiste nel limitare l’accesso e le autorizzazioni degli utenti solo ai dati necessari per il lavoro.
Il concetto di privilegio minimo limita chi ha accesso ai dati sensibili. In questo modo è possibile impedire la diffusione del ransomware tra i computer all’interno di un’organizzazione. Anche se hanno accesso, gli utenti possono confrontarsi con funzioni o risorse limitate, come determinato da un criterio di controllo dell’accesso basato sui ruoli.
Il privilegio minimo spesso incorpora un paradigma zero-trust che ritiene che né gli utenti interni né quelli esterni possano essere considerati affidabili, richiedendo la verifica dell’identità a ogni livello di accesso. Per vietare l’accesso ai dati di destinazione in caso di violazione, la verifica spesso prevede l’autenticazione almeno a due fattori o multi-fattore.
- Protezione e-mail
Gli attacchi di phishing tramite posta elettronica sono una delle fonti più comune d’infezioni malware.
Esistono modi diversi in cui il ransomware può infettare una vittima tramite e-mail:
- Utilizzo di approcci d’ingegneria sociale per indurre gli utenti a rivelare informazioni personali;
- Scaricando allegati e-mail sospetti;
- cliccando su link che portano a siti web compromessi.
È possibile adottare misure aggiuntive oltre al software antivirus seguendo queste pratiche e tecnologie come:
- Non leggere e-mail di mittenti sconosciuti: evitare di fare clic su allegati, file o collegamenti da indirizzi sconosciuti o fonti illegali;
- Aggiorna le tue app client di posta elettronica: non consentire agli hacker di sfruttare falle di sicurezza dovute a tecnologie obsolete;
- Sender Policy Framework (SPF): approccio di autenticazione e-mail per designare specifici server di posta elettronica da cui inviare le comunicazioni in uscita.
- WhiteList
La whitelist è una procedura di sicurezza informatica in cui un utente può eseguire solo operazioni sul proprio computer che sono state esplicitamente autorizzate in anticipo da un amministratore. Anziché tentare di anticipare gli attacchi ransomware identificando e bloccando il codice dannoso, il personale IT sviluppa un elenco di app consentite a cui un computer o un dispositivo mobile può accedere.
In sostanza, l’utente ha accesso a una gamma limitata di funzioni che sono state giudicate sicure dall’amministratore.
La whitelist è un meccanismo di sicurezza piuttosto estremo che, se applicato correttamente, può prevenire numerosi problemi di sicurezza informatica. Tuttavia, è molto sgradevole e fastidioso per gli utenti finali, richiede un’attenta configurazione e una buona amministrazione continua e non è una barriera sicura agli attacchi informatici.
Gli endpoint non sono altro che dispositivi accomunati dalla capacità di connettersi alla rete.
Di conseguenza, gli endpoint potrebbero essere molto diversi tra loro: stiamo parlando di laptop, smartphone e dispositivi IoT come telecamere e sensori di sicurezza digitale.
Il problema degli endpoint è che sono nelle mani degli utenti finali, i quali, nonostante le protezioni perimetrali messe in atto dalle aziende, possono commettere un errore o essere negligenti, fornendo agli hacker un margine di manovra.
In sintesi, poiché gli endpoint sono sempre più presi di mira e, cosa ancora più importante, hanno dimostrato di essere l’anello debole della catena nel tempo, lo sviluppo di un piano di sicurezza degli endpoint è ora diventato una priorità.
Innanzitutto, il dispositivo endpoint deve essere protetto: ciò richiede di mantenere regolarmente aggiornato il sistema operativo per far fronte alla presenza di vulnerabilità. Gli endpoint devono anche essere protetti da modifiche non autorizzate, che spesso nascondono sforzi d’infiltrazione.
Per difendere gli endpoint, potrebbe essere necessario controllare centralmente la rete, infatti, un aumento delle attività sospette attorno a un determinato endpoint è un probabile sintomo di un attacco.
Inoltre, vanno protette anche le app presenti sugli endpoint, ad esempio con l’autenticazione a due fattori, che inibisce notevolmente gli accessi non autorizzati. Per ridurre i fenomeni di phishing, è fondamentale proteggere i browser utilizzati durante l’accesso a Internet. In ogni caso, per evitare il diffondersi di attacchi su tutta la rete locale, è fondamentale affidarsi a soluzioni che consentano il rilevamento tempestivo degli attacchi agli endpoint, a cui deve seguire un’altrettanta rapida capacità di reazione.
- Test di sicurezza
Poiché le tattiche di ransomware continuano a evolversi, le aziende devono eseguire test e valutazioni di sicurezza informatica regolari per adattarsi agli ambienti in evoluzione.
Le aziende dovrebbero continuamente:
- Rivalutare privilegi utente e punti di accesso
- Identificare nuove vulnerabilità del sistema
- Crea nuovi protocolli di sicurezza
Tutto questo è possibile grazie all’implementazione di servizi di Vulnerability Assessment.
- Aggiornamento
Malware, virus e ransomware sono in continuo sviluppo, con nuovi moduli che tentano di superare i meccanismi di sicurezza esistenti; quindi, è bene ricontrollare che tutto sia aggiornato.
Molti hacker prendono di mira le aziende che fanno affidamento su vecchi sistemi legacy che non vengono aggiornati da anni.
L’attacco ransomware WannaCry, che ha fermato le principali società di tutto il mondo nel 2017; si tratta forse dell’attacco ransomware più noto.
Ha persino spinto gli ospedali NHS nel Regno Unito, Telefónica in Spagna e il fornitore di chip Apple Taiwan Semiconductor Manufacturing Co. (TSMC) a chiudere per quattro giorni. Oltre 230.000 dispositivi in tutto il mondo sono state infettati.
In seguito a questo evento, gli esperti di sicurezza di tutto il mondo hanno consigliato alle aziende di aggiornare i propri sistemi in tempo.
Conclusione
Le organizzazioni dovrebbero sviluppare linee chiare di comunicazione di emergenza e processi di risposta in anticipo in modo che tutti gli utenti sappiano cosa fare in caso di attacco ransomware.
Sappiate che i dati in merito alla crescita degli attacchi ransomware sono estremamente allarmanti per l’Italia. Ad oggi, il nostro paese risulta tra le nazioni maggiormente prese di mira da queste minacce informatiche al punto che non è possibile nascondere la testa sotto la sabbia.
Diventa necessario agire subito e farlo bene: la minaccia è ormai reale.
Affidatevi ad un gruppo di professionisti per difendere la vostra azienda dal pericolo di contagio ransomware.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
