Attacco ransomware

F-Secure discute una strategia di difesa

In un recente workshop organizzato dalla Federal Trade Commission degli Stati Uniti si è discusso su come reagire di fronte a un attacco ransomware. Come abbiamo avuto modo di raccontare anche in articoli precedenti, questa tipologia di attacchi risulta nella maggior parte dei casi estremamente dannosa, dal momento che si tratta di un malware che limita l’accesso al dispositivo colpito chiedendo un riscatto in denaro per poter riprendere le normali attività.

Attacco ransomware: pagare o non pagare?

Tra i relatori c’era anche Päivi Tynninen dei Laboratori di F-Secure che ha affrontato la dibattuta questione se le vittime debbano pagare o meno il riscatto che viene richiesto dai criminali che conducono questo tipo di attacco

Nel corso del workshop sono emersi diversi punti interessanti per capire come affrontare questa tipologia di attacchi, come evitarli oppure come affrontarli senza dover incorrere in gravi danni per il proprio business.

Attacco ransomware: cerca informazioni

Anzitutto occorre specificare che non tutti gli attacchi ransomware sono uguali. Uno dei più noti è certamente quello a tema “polizia”: in questo caso lo schermo del dispositivo colpito viene reso inaccessibile per l’utente (differentemente dal crypto-ransomware che crittografa i dati), al quale viene fatto credere che l’unica soluzione sia quella di pagare. Tuttavia spesso il pagamento non rimuove il malware. La cosa migliore da fare è dunque quella di raccogliere più informazioni possibili sullo specifico ransomware, poiché esistono diversi applicativi che ne consentono la rimozione senza neppure dover considerare l’ipotesi di riscatto in denaro.

Attacco ransomware: renditi anonimo

Un’altra buona norma è quella di rendersi il più possibile anonimi nei confronti degli estorsori. Molte volte si è assistito a delle vere e proprie trattative tra l’utente e gli estorsori in merito all’allungamento delle deadline o all’abbassamento dell’importo da pagare ecc. Nel momento in cui si avvia una conversazione diretta con chi sta chiedendo il denaro, è bene mantenere privati tutti i dati anagrafici o informazioni di riferimento. Si può infatti utilizzare come intermediario un’azienda di cyber-security che prevede proprio questo tipo di interventi tra i propri servizi. Si tratta inoltre di un vero e proprio caso di estorsione che è illegale e può dunque essere legalmente segnalato alle autorità.

Attacco ransomware: previenilo con i backup

Chiaramente è fondamentale fare un’analisi dei dati che sono finiti sotto riscatto per esser certi che, in caso di nessun’altra opzione, valga la pena pagare il riscatto per averli indietro. È ovvio che qualora si trattasse di dati di clienti, fornitori, dati finanziari, purtroppo non si avrebbe altra scelta che concordare una modalità di riscatto. L’arma migliore per impedire che si verifichi una situazione simile è avere sempre backup aggiornati di tutti i dati sensibili.

Attacco Ransomware: denunciare alle autorità

Sean Sullivan, Security Advisor di F-Secure, sostiene che le aziende devono rendersi conto che in questi casi sono delle vere e proprie vittime. Di conseguenza spesso la cosa migliore da fare è, come accennato in precedenza, denunciare l’accaduto alle autorità di competenza. Molte aziende, temendo di perdere di credibilità ed affidabilità, optano per il pagamento. Tuttavia va ricordato che le forze di polizia sono hanno maturato esperienza e conoscenza su questi criminali e hanno sviluppato strategie investigative che garantiscono la privacy delle aziende coinvolte.

«Vale la pena condividere le informazioni che avete su questi crimini con le forza di polizia, con organizzazioni come il CERT, o con aziende di cyber security. In questo modo, qualsiasi informazione che avete può essere ben utilizzata» spiega Sean. «E se gli estorsori vengono catturati, le informazioni che avrete fornito potranno essere utilizzate per procedere con azioni penali, il che è utile per la sicurezza di tutti».

Per maggiori informazioni sulle soluzioni per prevenire e affrontare un attacco Ransomware, contattaci.