La guida di F-Secure a Ransomware

come aggirare gli hacker e non essere costretti a pagare il riscatto
guida di f-secure a ransomware

La guida di F-Secure a Ransomware

come aggirare gli hacker e non essere costretti a pagare il riscatto

La diffusione di Crypto Ransomware nei mesi scorsi ha paralizzato numerose aziende ed ha rappresentato un argomento di primaria importanza per la sicurezza informatica. Grazie a questa breve guida di F-Secure a Ransomware, insieme all’azienda leader mondiale per la sicurezza informatica business e consumer, spieghiamo di cosa si tratta e cosa si può fare per proteggere la propria impresa.

Alla fine del 2015 il consulente di sicurezza informatica di F-Secure, Sean Sullivan, aveva predetto che il 2016 sarebbe stato l’anno delle estorisioni. Fino ad ora possiamo dire che ha avuto assolutamente ragione. Crypto Ransomware è stato in primo piano in tutte le notizie sulla sicurezza informatica degli ultimi mesi, paralizzando aziende e organizzazioni grandi e piccole. Senza alternative a portata di mano, per poter riavere il proprio PC e i propri dati, molti si sono visti costretti a pagare il riscatto. Pagare è legittimo ma incoraggia i criminali informatici nella loro attività di racket dei dati.

Ecco la guida di F-Secure a Ransomware: di cosa si tratta e cosa si può fare per proteggere la propria azienda?

Guida di F-Secure a Ransomware: cosa fa?

Crypto-ransomware crittografa i file su un computer rimescolando il contenuto del file in modo che l’utente non possa accedervi senza una chiave di decodifica. In cambio della chiave di decrittazione viene chiesto il pagamento di un riscatto. Una volta che il malware ha infettato una macchina può diffondersi ad altri in rete, rendendo impossibile effettuare le normali attività aziendali e bloccando di fatto il business dell’impresa.

Il pagamento viene spesso richiesto in Bitcoin, una moneta virtuale difficile da tracciare. L’hacker di solito impone un termine entro il quale effettuare il pagamento. Allo scadere di questo termine, spesso aumenta l’importo del pagamento e viene fissato un nuovo termine. Se il pagamento non avviene neppure al secondo termine, è probabile che gli aggressori cancellino del tutto la chiave di decrittazione. Una volta che la chiave viene eliminata può essere impossibile recuperare i dati.

Guida di F-Secure a Ransomware: come avviene l’infezione?

Gli utenti online possono imbattersi in ransomware in diversi modi. Il metodo più comune in cui si può venire infettati è tramite e-mail, attraverso l’apertura del file allegato. Il file è di solito mascherato o come un documento contenente informazioni urgenti o contenuti d’interesse o come un file ZIP compresso con un nome fuorviante. Questo metodo, ingannando l’utente, lo spinge ad aprire l’allegato e ad eseguire il file dannoso. A parte gli allegati, l’e-mail può diffondere anche ransomware tramite link. Malevoli.

Per gli hacker un altro metodo comune per diffondere ransomware è quello di includerlo nel payload di un exploit kit. Gli utenti possono essere esposti agli expolit kit quando visitano un sito web compromesso o vengono reindirizzati a un sito dannoso (ad esempio, tramite un link contenuto in un’e-mail). L’exploit kit esplora il computer dell’utente per trovare eventuali difetti o vulnerabilità sfruttabili, piuttosto comuni in caso di software obsoleti. Se la vulnerabilità viene trovata, l’exploit kit scarica e installa il ransomware sul computer dell’utente. Per un utente medio questo può avvenire a sua completa insaputa.

Guida di F-Secure a Ransomware: qual è l’impatto sul business?

La quota di riscatto richiesto è di solito dai $ 300 ai $ 500 per computer. Se vengono infettati 20 computer si può arrivare fino a $ 10.000. È anche possibile che i cyber criminali che effettuano attacchi ransomware mirati a specifici business possano richiedere una somma forfettaria a loro scelta. Per una discussione interessante sulla monetizzazione dei cripto-ransomware, consigliamo questo Labs post del blog di F-Secure.

Ma il denaro richiesto per “liberare” il PC è solo una piccola parte del costo effettivo. Il vero danno deriva dagli effetti di inattività dell’utente (diminuzione della produttività, perdita di opportunità commerciali, ridotta soddisfazione del cliente e danni al brand) e dai costi di ripristino della rete (le risorse per rispondere all’attacco, riparando o sostituendo i sistemi).

Guida di F-Secure a Ransomware: come fare a riavere indietro i propri file?

F-Secure sconsiglia di pagare il riscatto: è vero che in questo modo il sistema aziendale può riprendere la propria regolare attività, ma un metodo migliore per riavere indietro i file aziendali inizia prima di essere colpiti, ovvero grazie all’abitudine di fare backup regolari. In questo modo, anche se si viene attaccati, ci si può rilassare e ripristinare il backup. Se ognuno avesse sempre i backup del proprio lavoro, Ransomware cesserebbe di essere un modello di business per i criminali.

Se i file sono stati riscattati e non si dispone di backup è opportuno cercare online per vedere se esiste uno strumento di decrittografia per il Ransomware con cui si è stati colpiti. Questa lista è un buon inizio, anche se i decryptors sono in genere disponibili solo per le primi versioni di alcune famiglie. Bisogna inoltre tenere a mente che gli hacker aggiornano i propri sistemi in modo da utilizzare quei Ransomware che non abbiano ancora a disposizione uno strumento di decrittografia.

Un’altra cosa che potrebbe essere utile è condividere la propria situazione su forum come Bleeping Computer, dove ci sono le discussioni di aiuto con Locky, TeslaCrypt, CryptoWall, Petya, CryptXXX, Locker e molti altri.

Guida di F-Secure a Ransomware: come evitare che il proprio business diventi vittima di Ransomware?

Prevenire è meglio che curare, e questo è a maggior ragione vero per Ransomware. Prendere precauzioni per essere preparati ed evitare un attacco Ransomware ti farà stare molto meglio. Ecco i nostri consigli per mantenere l’operatività all’interno dell’azienda:

  • Effettuare regolarmente il backup dei dati aziendali. Archiviare i backup non in linea, in modo che non possano essere infettati anch’essi, e ripristinarli in prova di tanto in tanto per assicurarsi che siano validi. Con dei buoni backup, anche nel caso in cui si venisse attaccati, si avrebbe la tranquillità di tornare subito operativi senza dover sborsare denaro ai criminali.
  • Assicurarsi che si stia eseguendo una soluzione di sicurezza affidabile che copra tutti gli endpoint e fornisca tutti i livelli di protezione. F-Secure Protection Service for Business è un approccio a più livelli che protegge da tutte le minacce Ransomware note ed è anche in grado di bloccare nuove minacce appena nate. Con tutte le nuove varianti di Ransomware che stanno spuntando come funghi ultimamente, questo aspetto è decisamente importante.
  • Mantenere il software aggiornato su tutti gli endpoint per prevenire exploit. Con la gestione automatizzata delle patch come Software Updater F-Secure (incluso con Protection Service for Business), niente di più facile.
  • Formare i dipendenti sui sistemi di social engineering correnti utilizzati nella diffusione di Ransomware. È importante insegnare a diffidare di allegati e link inviati via email, in particolar modo di quelli che arrivano da mittenti non attendibili. Assicurarsi che siano consapevoli del loro ruolo nella protezione dei dati aziendali.
  • Limitare l’uso dei browser plugin e disabilitare quelli comunemente sfruttati, come Flash Player e Silverlight, quando non in uso.
  • Gestire i controlli di accesso. Limitare l’uso di account di amministrazione solo a coloro per i quali è assolutamente necessario l’accesso come amministratore: gli account admin dovrebbero essere utilizzati solo quando realmente necessario. Inoltre, file, directory e autorizzazioni di condivisioni di rete dovrebbero essere strutturati in modo tale che gli utenti non ottengano un accesso superiore a quello di cui abbiano realmente bisogno: gli utenti che devono solo visualizzare alcuni file non hanno bisogno di accesso alla scrittura, ad esempio.
  • Implementare i controlli applicativi in modo che i programmi non possano essere eseguiti da luoghi comuni per Ransomware (ad esempio, le cartelle temporanee di supporto browser Internet). Implementare inoltre le whitelist in modo che solo programmi noti e approvati siano autorizzati all’esecuzione.
  • Categorizzare e separare i dati. Limitare il movimento laterale all’interno della rete separando reti e dati per le diverse unità di business.
  • Disabilitare macro script da file di Office ricevuti via mail.
  • Utilizzare un gateway di filtraggio della posta elettronica e configurarlo per bloccare gli allegati eseguibili.

Se vuoi saperne di più sulle soluzioni F-Secure per prevenire attacchi Ransomware, contattaci.

Ti potrebbe interessare
ELMAT – INNOVATION DAY 2018
nuove minacce informatiche
Nuove minacce informatiche: il report F-Secure
sicurezza informatica
Sicurezza informatica: quali cose evitare per tenere i dati al sicuro?
attacco ransomware
Attacco ransomware

Lascia un Commento