Ransomware: 5+1 consigli per proteggere la tua azienda.

ransomware Italia
ransomware Italia

Perché e come le aziende devono imparare a proteggersi.

Nell’ultimo interessante brighttalk di Symantec (che potete rivedere qui) vengono presentati i dati dell’ultimo ISTR (Internet Security Threat Report), con particolare attenzione al fenomeno Ransomware. I dati sono preoccupanti, vado subito al punto:
  1. Perché il fenomeno sta crescendo così velocemente? Semplice. Soldi. Tanti. Con una singola campagna, ad esempio, sono stati portati a casa più di 120 milioni di dollari.
  2. Gli utenti, consumer ma soprattutto business, non hanno in gran parte ancora messo in campo azioni difensive.
 
Perché? La risposta è difficile.
Spesso la frase che mi sento ripetere è “ma tanto chi vuoi che mi attacchi? Perché dovrebbe succedere proprio a me?”
E’ proprio grazie a ragionamenti di questo tipo che le campagne hanno effetto e possono racimolare milioni di dollari, a discapito di utenti consumer o enterprise. Negli ultimi anni tra l’altro gli attacchi si stanno concentrando verso il mondo business, aziende grandi ma anche piccolo o piccolissime (small business) in quanto i dati che hanno sono strategici, sono il patrimonio dell’azienda, e di conseguenza possono pagare un prezzo più alto di riscatto.
ransomware business vs consumer
ransomware business vs consumer

Ma come funziona un ransomware?

I vettori di attacco sono principalmente due: via email o tramite sito web. Nel primo, l’utente riceve una email con un allegato che è stato opportunamente “camuffato”: può sembrare un normale PDF quando in realtà è un eseguibile. Ultimamente si trovano anche documenti Word o Excel che hanno incorporato il virus (o meglio, un programma che scarica il virus), all’interno di una macro. Nel secondo caso invece e sufficiente visitare una pagina web compromessa con un browser con un plugin non aggiornato (ad esempio Adobe Flash o Java) ed il gioco è fatto.
Il virus come prima cosa cripta i file sul PC e tutte i file presenti su dispositivi di rete, e cancella tutte le così dette shadow copy che il sistema operativo ha eventualmente creato. La chiave di cifratura può: o essere ricevuta dal malware dal server, oppure inviata dal virus verso il server: in questo secondo caso, se la trasmissione per qualsiasi motivo non avviene, l’utente non sarà più in grado di recuperare i file, neppure pagando.
A questo punto i file criptati sono inutilizzabili. Non c’è modo di riportarli allo stato di origine se non con la chiave di cifratura. I danni che un’azienda può subire da un attacco del genere sono ingenti: si pensi ad esempio ai dati del gestionale, al data base del CRM, o anche ai soli fogli excel usati quotidianamente. La cosa più importante da considerare è la facilità con cui si può incorrere in un ransomware: basta che un solo PC dell’azienda cada nella trappola e sono guai.
Che in Italia il fenomeno sia allarmante lo si vede anche dal report di Symantec che riporta la % di attacchi per paese: noi siamo al 4% contro un 2% della Germania, ad esempio e un 3% UK. Se leggiamo il dato considerando la penetrazione di banda larga e di PC dei relativi paese, possiamo capire come un 4% in Italia sia un indicatore che deve farci riflettere.
attacchi ransomware vs Italia
attacchi ransomware vs Italia

Cosa fare quando siamo stato attaccati da un ransomware?

  1. Non pagare. E’ molto rischioso e spesso – nel caso in cui il target sia appunto una azienda – rischia di mettere l’utente al centro di campagne ad hoc diventando un bersaglio
  2. Isolare il/i computer infetti.
  3. Effettuare un ripristino dei dati da un backup sicuro

La cosa sicuramente più importante è quella di rendere difficile la vita a questi malware, mettendo in atto delle semplici azioni che possano salvaguardare i nostri dati. Ecco i 5+1 consigli:

1) Backup. Definisci una procedura e una policy corretta all’interno dell’azienda. Crea un piano condiviso, imposta RTO e RPO in funzione delle tue esigenze.
2) Blocca gli accessi ai dischi di rete. Cerca di mappare al meglio le risorse condivise, per non esporle inutilmente.
3) Proteggi server e workstation con sistemi di sicurezza affidabili (Symantec e Kaspersky hanno certamente un prodotto su misura, anche per piccole e medie realtà)
4) Aggiorna sempre i plugin
5) Utilizza sistemi di sicurezza specifici per le email: ricorda che l’email è uno dei due vettori di diffusione principale

L’ultimo consiglio, il più importante, è la formazione: è fondamentale che tutto il personale che ha accesso ad un PC connesso ad internet sia consapevole dei rischi che possono esserci, di come individuarli, e cosa fare nel caso ci siano dubbi.

Se vuoi supporto nell’organizzare il tuo piano di difesa, sono a tua disposizione per aiutarti a metterlo in pratica.