Perché e come le aziende devono imparare a proteggersi.

Nell’ultimo interessante brighttalk di Symantec (che potete rivedere qui) vengono presentati i dati dell’ultimo ISTR (Internet Security Threat Report), con particolare attenzione al fenomeno Ransomware. I dati sono preoccupanti, vado subito al punto:

  1. Perché il fenomeno sta crescendo così velocemente? Semplice. Soldi. Tanti. Con una singola campagna, ad esempio, sono stati portati a casa più di 120 milioni di dollari.
  2. Gli utenti, consumer ma soprattutto business, non hanno in gran parte ancora messo in campo azioni difensive.

Perché? La risposta è difficile. Spesso la frase che mi sento ripetere è “ma tanto chi vuoi che mi attacchi? Perché dovrebbe succedere proprio a me?”

E’ proprio grazie a ragionamenti di questo tipo che le campagne hanno effetto e possono racimolare milioni di dollari, a discapito di utenti consumer o enterprise. Negli ultimi anni tra l’altro gli attacchi si stanno concentrando verso il mondo business, aziende grandi ma anche piccolo o piccolissime (small business) in quanto i dati che hanno sono strategici, sono il patrimonio dell’azienda, e di conseguenza possono pagare un prezzo più alto di riscatto.

Ma come funziona un ransomware?

I vettori di attacco sono principalmente due: via email o tramite sito web. Nel primo, l’utente riceve una email con un allegato che è stato opportunamente “camuffato”: può sembrare un normale PDF quando in realtà è un eseguibile. Ultimamente si trovano anche documenti Word o Excel che hanno incorporato il virus (o meglio, un programma che scarica il virus), all’interno di una macro. Nel secondo caso invece e sufficiente visitare una pagina web compromessa con un browser con un plugin non aggiornato (ad esempio Adobe Flash o Java) ed il gioco è fatto.

Il virus come prima cosa cripta i file sul PC e tutte i file presenti su dispositivi di rete, e cancella tutte le così dette shadow copy che il sistema operativo ha eventualmente creato. La chiave di cifratura può: o essere ricevuta dal malware dal server, oppure inviata dal virus verso il server: in questo secondo caso, se la trasmissione per qualsiasi motivo non avviene, l’utente non sarà più in grado di recuperare i file, neppure pagando.

A questo punto i file criptati sono inutilizzabili. Non c’è modo di riportarli allo stato di origine se non con la chiave di cifratura. I danni che un’azienda può subire da un attacco del genere sono ingenti: si pensi ad esempio ai dati del gestionale, al data base del CRM, o anche ai soli fogli excel usati quotidianamente. La cosa più importante da considerare è la facilità con cui si può incorrere in un ransomware: basta che un solo PC dell’azienda cada nella trappola e sono guai.

Che in Italia il fenomeno sia allarmante lo si vede anche dal report di Symantec che riporta la % di attacchi per paese: noi siamo al 4% contro un 2% della Germania, ad esempio e un 3% UK. Se leggiamo il dato considerando la penetrazione di banda larga e di PC dei relativi paese, possiamo capire come un 4% in Italia sia un indicatore che deve farci riflettere.

Cosa fare quando siamo stato attaccati da un ransomware?

  1. Non pagare. E’ molto rischioso e spesso – nel caso in cui il target sia appunto una azienda – rischia di mettere l’utente al centro di campagne ad hoc diventando un bersaglio
  2. Isolare il/i computer infetti.
  3. Effettuare un ripristino dei dati da un backup sicuro

La cosa sicuramente più importante è quella di rendere difficile la vita a questi malware, mettendo in atto delle semplici azioni che possano salvaguardare i nostri dati. Ecco i 5+1 consigli:

  1. Backup. Definisci una procedura e una policy corretta all’interno dell’azienda. Crea un piano condiviso, imposta RTO e RPO in funzione delle tue esigenze.
  2. Blocca gli accessi ai dischi di rete. Cerca di mappare al meglio le risorse condivise, per non esporle inutilmente.
  3. Proteggi server e workstation con sistemi di sicurezza affidabili (Symantec e Kaspersky hanno certamente un prodotto su misura, anche per piccole e medie realtà)
  4. Aggiorna sempre i plugin
  5. Utilizza sistemi di sicurezza specifici per le email: ricorda che l’email è uno dei due vettori di diffusione principale

L’ultimo consiglio, il più importante, è la formazione: è fondamentale che tutto il personale che ha accesso ad un PC connesso ad internet sia consapevole dei rischi che possono esserci, di come individuarli, e cosa fare nel caso ci siano dubbi.