Ransomware, 10 mosse per proteggersi

Ransomware, 10 mosse per proteggersi

Un numero significativo di aziende, oggi, si deve confrontare con la forma di attacco informatico conosciuta come Ransomware. Di certo, è opportuno per tutti approfondire il tema. Altrettanto certamente, il ransomware è un brutto cliente.

di Redazione pubblicata il , alle 17:07 nel canale Sicurezza
Fortinet
 
Il tema Ransomware è sempre più di attualità. Come la redazione di Hardware Upgrade ha avuto modo di approfondire, questa tipologia di attacchi è difficile da prevedere e soprattutto è pressoché impossibile ripristinare l'accesso ai file crittografati dopo che l'infezione è avvenuta. Per questo i siti di informazione tecnologica hanno il campito di sensibilizzare verso la prevenzione. Oggi lo facciamo pubblicando questo interessante contenuto proveniente da Fortinet, azienda che si occupa di sicurezza delle reti e che è responsabile di piattaforme innovative e ad alte prestazioni per la sicurezza delle reti, al fine di proteggere e semplificare l'infrastruttura IT dei suoi clienti. L'articolo è stato scritto da Antonio Madoglio, SE Manager, Fortinet Italia.

Che cosa è il ransomware?

Il ransomware è una forma di malware che infetta dispositivi, reti e data center e impedisce il loro corretto utilizzo fino a quando l’utente o l’organizzazione non pagano un riscatto per sbloccare il sistema. Come forma il malware esiste almeno dal 1989, da quando il Trojan “PC Cyborg” criptò i nomi dei file su un disco rigido e costrinse gli utenti pagare 189 dollari per poterli sbloccare. Nel corso del tempo, gli attacchi ransomware sono diventati sempre più sofisticati e mirati, oltre che proficui.

L’impatto generale del ransomware è difficile da calcolare, dal momento che molte organizzazioni scelgono semplicemente di pagare per sbloccare i propri file, con un approccio che però non sempre si rivela lungimirante. Un report sulla campagna di ransomware Cryptowall v3, rilasciato dalla Cyber ​​Threat Alliance nello scorso ottobre, ha stimato che il costo di quel singolo attacco è stato pari a 325 milioni di US $. (E’ possibile consultare il report completo qui).

Il ransomware può operare in modi differenti. Ad esempio, il ransomware Crypto può infettare un sistema operativo impedendo a un dispositivo di effettuare il boot. Altri tipi di ransomware possono cifrare un drive o un gruppo di file. Altre versioni malevole dispongono di un timer che inizia a cancellare gradualmente i file fino a quando non viene pagato un riscatto. In ogni caso, tutti chiedono il pagamento di un riscatto per sbloccare o liberare il sistema, il file o i dati crittografati.

Solitamente, gli utenti infetti ricevono un messaggio sullo schermo del proprio dispositivo, che comunica che il computer è stato infettato da un virus e dà le prime indicazioni per risolvere il problema. In alcuni casi, questo avviso viene accompagnato da immagini esplicite o pornografiche al fine di motivare l’utente ad eliminarlo dal sistema il più velocemente possibile. Ma la caratteristica comune a ogni infezione da ransomware è il fatto che i sistemi vengano messi off line, i dati critici resi non più disponibili, la produttività interrotta e le operazioni aziendali danneggiate.

In che modo si viene infettati?

Se il ransomware può essere distribuito in più modi, il più comune è quello di usare un file infetto, allegandolo ad una e-mail. Per esempio, può succedere di ricevere un messaggio e-mail all’apparenza proveniente dalla propria banca, contenente il logo e il collegamento all’URL reale della banca, oltre al nome dell’utente. Nel corpo del messaggio si parla della rilevazione di attività sospette sul conto corrente e quindi della necessità di installare un file allegato per verificare le credenziali. Sembra tutto corretto, ma non lo è: si tratta di un attacco evoluto di phishing.

Ne è la prova il fatto che ovviamente nessuna banca invierebbe mai un file chiedendovi di installarlo, e di certo non per convalidare le credenziali. Al contrario, il file allegato è infettato dal ransomware, che viene automaticamente caricato sul sistema se incautamente si clicca su di esso.

Ma gli allegati e-mail non sono l’unico meccanismo di infezione. Il drive-by download – ad esempio – è un altro meccanismo malevolo, che si verifica quando un utente visita un sito infetto e il malware viene scaricato e installato a sua insaputa. Il ransomware si diffonde anche attraverso i social media, come ad esempio le applicazioni di messaggistica istantanea basate sul web. Recentemente, web server vulnerabili sono stati sfruttati come punto di accesso alla rete di un’organizzazione.

Cosa si può fare per fermarlo?

Di seguito un elenco di dieci punti che è bene prendere in esame per proteggere se stessi e la propria organizzazione dagli effetti del ransomware.

  1. Elaborare un piano di backup e ripristino. Eseguire il backup dei sistemi regolarmente e salvarlo offline, su una piattaforma differente.
  2. Utilizzare strumenti di sicurezza professionali per e-mail e web, in grado di analizzare allegati e-mail, siti web e file di malware, nonché bloccare pubblicità potenzialmente compromesse e social media non rilevanti per il proprio business. Questi strumenti dovrebbero includere funzionalità di sandbox, in modo che i file nuovi o non riconosciuti possano essere eseguiti e analizzati in un ambiente sicuro
  3. Mantenere sistemi operativi, dispositivi e tutto il software costantemente aggiornati e dotati di tutte le patch.
  4. Assicurarsi che gli strumenti antivirus, IPS e antimalware dei dispositivi e della rete siano sempre dotati degli aggiornamenti più recenti.
  5. Ove possibile, creare una policy di application whitelisting, che impedisce di scaricare o eseguire applicazioni non autorizzate.
  6. Segmentare la rete in aree distinte, in modo che una eventuale infezione in un settore non possa facilmente diffondersi ad altri.
  7. Stabilire e applicare permessi e privilegi, in modo che il minor numero possibile di utenti abbiano la capacità potenziale di infettare applicazioni, dati o servizi critici per il business.
  8. Stabilire e applicare una policy di sicurezza sul BYOD in grado di controllare e bloccare dispositivi che non soddisfino standard prefissati di sicurezza (mancanza di antimalware, antivirus non aggiornati, sistemi operativi che necessitano di patch critiche, ecc.)
  9. Implementare strumenti di analisi forense in modo che, dopo un attacco sia possibile verificare a) da dove proviene l’infezione, b) da quanto tempo si è insediata nel proprio ambiente, c) di aver rimosso tutto da ogni dispositivo, d) che sia possibile garantire che non torni.
  10. Ultimo e forse più importante accorgimento è quello di non contare sui propri dipendenti per garantire la sicurezza della propria azienda. Se è necessario innalzare il livello di formazione per sensibilizzare i dipendenti sull’importanza di non scaricare file, cliccare su allegati o seguire link che appaiono in messaggi e-mail non richiesti; gli esseri umani restano l’anello più vulnerabile nella catena di sicurezza di un’azienda ed è necessario orientare i piani di sicurezza tenendo conto di questa costante.

Il motivo è questo: innanzi tutto per molti dipendenti, cliccare su allegati ed effettuare ricerche su Internet fa parte della quotidianità lavorativa. E’ difficile quindi mantenere un adeguato livello di sicurezza. In secondo luogo, gli attacchi di phishing sono diventati nel tempo più verosimili e convincenti. Un attacco di phishing mirato utilizza dati reperibili on-line e info provenienti dai profili social media per personalizzare un approccio. In terzo luogo, viene quasi istintivo cliccare su una fattura, anche se inaspettata, quando proviene dalla propria banca. E infine, sondaggio dopo sondaggio, resta evidente che gli utenti ritengono che della sicurezza se ne debba occupare qualcun altro, non loro in prima persona.

Conclusioni

La criminalità informatica è un business a scopo di lucro che genera ingenti guadagni. Come per la gran parte delle attività, anche i cyber criminali sono fortemente motivati ​​a trovare il modo per generare nuovo business. E per farlo, utilizzano sotterfugi, estorsioni, aggressioni, minacce e strumenti di persuasione per ottenere accesso a dati e risorse critiche.

In definitiva, il ransomware non è una novità. Ma i livelli più elevati di sofisticazione e distribuzione rappresentano il più recente elemento nella crescente tendenza di trovare nuovi e imprevedibili modi per raggirare individui e aziende che operano on-line.

Ora più che mai, la sicurezza non è un’opzione ma rappresenta parte integrante del business. E’ bene premunirsi stringendo partnership con esperti di security che ne comprendano l’importanza e non la considerino un mero strumento. Si tratta piuttosto di un sistema di tecnologie altamente integrate e collaborative, che si combinano a una policy efficace ad un approccio integrato, che copre preparazione, protezione, rilevazione, risposta e apprendimento.

Le soluzioni di sicurezza devono condividere le informazioni che raccolgono, allo scopo di individuare le minacce e rispondere in modo efficace ovunque, in tutto l'ambiente distribuito. E’ Inoltre indispensabile che queste soluzioni siano integrate nella struttura di rete in modo che possano proteggere gli utenti in modo costante, seguendo evoluzioni ed ampliamenti dell’ambiente. Devono essere in grado di adattarsi in modo dinamico man mano che vengono scoperte nuove minacce. Infine, non devono ostacolare o interferire in alcun modo con le proprie attività principali. In questo caso, possono rivelarsi un reale elemento di supporto al business di un’azienda.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
aqua8420 Aprile 2016, 18:21 #1
secondo me ne basta 1: non aprire file "a caxxo"

e cmq, i files salvati in cloud (gmail, mega, ecc...) non vengono criptati, come anche quelli salvati su un eventuale nas.
floc20 Aprile 2016, 18:56 #2
veramente quasi tutti i ransomware cifrano anche le unita' mappate e documenti in cloud, cifrati in locale e poi uploadati sul cloud dal clienti di sincronizzazione. Ok la history ma tecnicamente vengono cifrati eccome
inited20 Aprile 2016, 19:21 #3
Nella pubblica amministrazione non verrà mai adottata una simile strategia, i vertici non vedranno mai la necessità.
giovanni6920 Aprile 2016, 19:57 #4
.. nè tantomeno nei privati in cui l'IT è un esterno che viene pagato ad intervento / ore: più casini -->> più ore.
JJDanziger20 Aprile 2016, 20:57 #5
Originariamente inviato da: aqua84
secondo me ne basta 1: non aprire file "a caxxo"

e cmq, i files salvati in cloud (gmail, mega, ecc...) non vengono criptati, come anche quelli salvati su un eventuale nas.


Per la tua prima affermazione, basta leggere il punto 10. Finché sei un esperto o una persona intelligente, non aprirai mai file "a caxxo", ma il discorso è molto diverso quando ti devi fidare di gente che pensa "della sicurezza se ne debba occupare qualcun altro, non loro in prima persona".

Anche la tue seconda affermazione è errata, visto che i ransomware ultimamente sono evoluti a tal punto che prendono di mira anche i file in cloud, in rete e sul nas, le copie shadow e chissà cos'altro, visto che ogni giorno che passa si fanno sempre più intelligenti.
battilei20 Aprile 2016, 22:26 #6
Originariamente inviato da: Antonio Madoglio, SE Manager, Fortinet Italia.
Che cosa è il ransomware?

Il ransomware è una forma di malware che infetta dispositivi, reti e data center
....

Mi scusi,
io sui miei client uso esclusivamente Linux, per la precisione Ubuntu.
Sa dirmi se sono a rischio, oppure posso stare tranquillo ? Perchè parlando genericamente di "dispositivi", mi sembra fuorviante: le nostre segretarie su Ubuntu cliccano dove vogliono, ma di malware non ne prendiamo.
Invero i 10 punti mi sembrano girare intorno al pero senza trovare la soluzione.
La soluzione definitiva che ho adottato è appunto questa:
0) utilizzare un sistema operativo che non sia un colabrodo.

Grazie e stimati saluti,
utente Batti Lei (congiuntivo)
rockroll21 Aprile 2016, 02:02 #7
Originariamente inviato da: JJDanziger
Per la tua prima affermazione, basta leggere il punto 10. Finché sei un esperto o una persona intelligente, non aprirai mai file "a caxxo", ma il discorso è molto diverso quando ti devi fidare di gente che pensa "della sicurezza se ne debba occupare qualcun altro, non loro in prima persona".

Anche la tue seconda affermazione è errata, visto che i ransomware ultimamente sono evoluti a tal punto che prendono di mira anche i file in cloud, in rete e sul nas, le copie shadow e chissà cos'altro, visto che ogni giorno che passa si fanno sempre più intelligenti.


Certo, i file in cloud sono a rischio comunque da quando è praticata quella favolosa idea che è la sincronizzazione automatica, che ribalta la parte infetta su qualsiasi device da sincronizzare, CLOUD COMPRESO.
Voglio essere io a decidere se, quando, cosa e dove sincronizzare, a ragion veduta e non a rampazzo! (ammesso che abbia senso avere dati e back-up in cloud, che non è certo l'unico ne' il più sicuro sistema di condivisione tra varie postazioni).

Comunque questo è una conseguenza dell'avvenuta infezione, e l'infezione non bisogna prenderla a priori, quanto meno comportandosi in modo accuratamente ortodosso, così come un automobilista sa come comportarsi per non andare contro un muro o un albero.

Quello che invece mi sconvolge è la possibilità paventata dall'esperto intervistato, che cioè si possa prendere un virus ovvero ransomware solo visitando un sito infetto, senza fare nulla, e completamente a nostra insaputa. Ma davvero è possibile, senza cliccare a rampazzo? Entro in un sito che a priori non posso sapere se infetto (anche perchè magari non ancora segnalato ai sistemi di protezione), guardo senza toccare nulla, e quindi esco di brutto, magari chiudendo proprio il browser: questo basta ad infettarmi?
Perchè se è così, per prima cosa non navigo più e per seconda faccio causa a chi ha progettato un browser ed un sistema che accettano qualunque modifica di ambiente proveniente da WEB senza alcun consenso o azione voluta da lato utente e completamente a sua insaputa!

Non sarà che così agiscono gli activex, vero M$?
Il Picchio21 Aprile 2016, 08:06 #8
Non è linux a essere supersicuro (infatti è stato dimostrato non essere così è Microsoft che prende soldi dai virus!!1!!11!!

Gombloddooooo!!!
Stormblast21 Aprile 2016, 08:47 #9
Originariamente inviato da: aqua84
secondo me ne basta 1: non aprire file "a caxxo"

e cmq, i files salvati in cloud (gmail, mega, ecc...) non vengono criptati, come anche quelli salvati su un eventuale nas.


quello che ho preso io è stato sufficiente finire sul sito sbagliato... e mi ha criptato la nas che avevo in rete.... fai conto tu.
Pier220421 Aprile 2016, 08:47 #10
Originariamente inviato da: battilei
Mi scusi,
io sui miei client uso esclusivamente Linux, per la precisione Ubuntu.
Sa dirmi se sono a rischio, oppure posso stare tranquillo ? Perchè parlando genericamente di "dispositivi", mi sembra fuorviante: le nostre segretarie su Ubuntu cliccano dove vogliono, ma di malware non ne prendiamo.
Invero i 10 punti mi sembrano girare intorno al pero senza trovare la soluzione.
La soluzione definitiva che ho adottato è appunto questa:
0) utilizzare un sistema operativo che non sia un colabrodo.

Grazie e stimati saluti,
utente Batti Lei (congiuntivo)


Si certo, la soluzione definitiva, quando tutti adotteranno la "soluzione definitiva" si scopre che anche la soluzione definitiva diventa un colabrodo, come stato ampiamente dimostrato...
E' incredibile poi che fai la domanda all'autore dell'articolo e dai la risposta "definitiva"..

Mon Dieu...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^