Da tutti gli incidenti ransomware descritti in questo blog, abbiamo appreso che il backup è un’ottimo strumento di prevenzione per evitare che dati e informazioni sensibili vengano persi, distrutti o sottratti illegalmente.

Ma che relazione sussiste tra backup e attacchi ransomware?

Sempre più di frequente sono proprio le copie di archiviazione di documenti e file a essere prese di mira dai cybercriminali.

Come fare, dunque, per preservarle da un potenziale attacco?

backup e ransomware

In questo articolo approfondiremo metodi e tecniche per rendere le nostre copie di backup sicure e a prova di crittazione da parte dei ransomware.

  1. Perché i backup vengono presi di mira dai ransomware
  2. Backup: errori che lo rendono vulnerabile ai ransomware
  3. Backup immutabili: cosa sono e come contrastano gli attacchi ransomware
  4. Come proteggere i nostri backup dai ransomware?

Perché i backup vengono presi di mira dai ransomware

Com’è noto, i ransomware sono malware implementati appositamente per crittografare e rendere inaccessibili file e sistemi IT.

Per prevenire l’eventuale perdita definitiva dei dati, le buone prassi di cybersecurity prevendono che questi vengano archiviati mediante backup.

Tuttavia, spesso quest’operazione viene eseguita senza una reale consapevolezza circa la corretta strategia da adottare.

Ne conseguono attacchi ransomware mirati a sistemi e infrastrutture di backup.

Senza dubbio, queste costituiscono una risorsa altamente appetibile per i cybercriminali. Al loro interno, infatti, sono racchiusi e archiviati interi database di dati e risorse. Gli stessi che, solitamente, nelle infrastrutture operative sarebbero allocati in posizioni diverse.

Ben si comprende, dunque, come per un hacker sia molto più redditizio attaccare direttamente un sistema di backup, anziché  l’infrastruttura IT vera e propria.

Si stima, infatti, che ormai l’80% dei dati sensibili delle aziende sia archiviato proprio in sistemi di backup.

Insomma: il backup, strumento che dovrebbe aiutare aziende e privati a preservare i propri dati da furti e compromissioni, sta diventando un bersaglio privilegiato dei ransomware.

Ad esempio, CryptoLocker, tra i ransomware più famosi della storia, è stato affinato proprio per prendere di mira NAS, storage di rete e sistemi di backup aziendali.

L’obiettivo è quello di limitare le possibilità di recupero dati, aumentando di conseguenza le somme richiesta per il riscatto.

Infatti, quanto più sono elevati il numero e la riservatezza delle informazioni prese in ostaggio, tanto maggiore sarà la cifra che le vittime saranno disposte a pagare per riottenerle.

Come fare, quindi, per arginare l’incombenza della minaccia?

Per scoprirlo, dobbiamo partire innanzitutto dagli errori più comuni in ambito di archiviazione dati.

Backup: errori che lo rendono vulnerabile ai ransomware

I cybercriminali sanno bene che i server di backup sono scarsamente protetti, spesso gestiti senza le accortezze necessarie.

Quali sono, quindi, gli errori di configurazione e strategia che espongono i backup ad attacchi ransomware?

  1. mancata visibilità su dati e risorse: spesso le aziende si affidano a più soluzioni di backup in contemporanea, creando silos sparsi sia nei sistemi fisici che multi-cloud, il che incrementa notevolmente la superficie d’attacco
  2. retention time troppo lunghi: l’idea diffusa è che l’esecuzione del backup sia un’operazione da compiere una tantum. In realtà, come avremo modo di constatare, bisognerebbe impostare una routine da ripetere almeno una volta a settimana
  3. conservare le copie di backup sullo stesso server o sistema operativo: questo ovviamente faciliterà il lavoro degli hacker, che, accedendo ad un unico sistema, riusciranno a penetrare sia nell’area produttiva che negli spazi di archiviazione
  4. creare una sola copia di backup, senza distinguere almeno tra una versione online e una offline
  5. consentire l’accesso agli utenti: file e sistemi di backup dovrebbero essere accessibili soltanto agli amministratori, o a pochi selezionati utenti dotati di alti privilegi. Il rischio è che questi possano inavvertitamente compromettere i file, o che gli hacker esfiltrino le loro credenziali di accesso.

Backup immutabili: cosa sono e come contrastano gli attacchi ransomware

In sintesi, un backup immutabile è un file di backup che non può essere modificato o eliminato.

Oltre ad offrire una protezione ottimale dai ransomware, evita incidenti come

  • la cancellazione accidentale
  • la sovrascrittura dei file 

Questi backup vengono archiviati utilizzando il modello write-once-read-many (acronimo WORM), una tecnologia utilizzata da vari dispositivi per fornire archiviazione a lungo termine e preservare l’integrità delle informazioni.

L’idea alla base di questo meccanismo è che i dati possono essere scritti solo una volta su un dispositivo di archiviazione non volatile, senza rischiare che siano cancellati o sovrascritti.

I backup immutabili mantengono un numero ottimale di punti di ripristino, impedendo così alle risorse di interferire con i blocchi di archiviazione esistenti.

Tra i principali vantaggi possiamo riscontrare:

  • Integrità totale dei dati.
  • Corrispondenza a 360 gradi con file e documenti originali

Come scegliere un buon software di backup

Se prima l’unica possibilità era offerta dall’archiviazione in loco mediante dispositivi hardware, oggi si può usufruire dei cosiddetti software di backup.

Poiché solitamente il software è direttamente collegato al provider del servizio, è possibile che i criminali informatici introducano funzionalità e plug-in potenzialmente dannosi.

Per evitare questa situazione, prestare molta attenzione quando si seleziona il fornitore di servizi di backup.

Bisogna sempre tenere a mente che gli si stanno affidando dati e informazioni altamente sensibili, per cui sarebbe auspicabile acquistarlo solo sui siti ufficiali e garantiti.

Backup aziendale nel Cloud

Tra le soluzioni più gettonate degli ultimi tempi, vi è sicuramente il fare affidamento sui servizi di Cloud backup.

Si tratta essenzialmente di spazi di archiviazione messi a disposizione sul Cloud da specifici provider, che offrono importanti vantaggi come:

  • costo inferiore rispetto ai servizi on-permise
  • accesso ai dati quasi istantaneo
  • aggiornamenti di sicurezza costanti

Pertanto, la combinazione di Cloud storage con backup immutabili è attualmente la soluzione più efficace per la pianificazione assicurarsi che i propri dati siano adeguatamente protetti dai ransomware.

Come proteggere i backup dagli attacchi ransomware?

Elenchiamo di seguito alcune regole per configurare un backup sicuro a livello tecnico e strategico:

  1. Crittografare tutti i dati di backup indipendentemente dalla posizione di archiviazione: questo permetterà di renderli illeggibili in caso di compromissione
  2. air-gap (isolamento dei supporti di archiviazione), quest’impostazione rende la copia di backup fisicamente disconnessa dall’infrastruttura cloud o locale
  3. esecuzione di backup completo una volta a settimana e un backup differenziale o incrementale quotidianamente
  4. controllo delle versioni, consente al sistema di salvare le copie di backup precedenti separate da quelle successive, in modo da non sovrascriverle e conservarne una cronologia puntuale
  5. automatizzare l’esecuzione del backup nelle ore notturne: di solito, infatti, i ransomware colpiscono durante gli orari lavorativi, poiché le azioni accidentali degli utenti possono dare il via allo scaricamento dei malware. Eseguendo il backup durante la notte, si può star certi che al mattino la copia conserverà la versione più aggiornata di dati e risorse
  6. impostare backup distribuiti, non soltanto divisi tra risorse hardware e software, ma anche utilizzando diversi account di archiviazione cloud per ogni endpoint o database
  7. limitare l’accesso ad applicazioni e sistemi di backup; una politica di accesso attentamente progettata ti consentirà di ridurre la possibilità che i file di backup vengano attaccati con successo
  8. Creare una copia in un Cloud storage permanente