In un recente workshop organizzato dalla Federal Trade Commission degli Stati Uniti si è discusso su come reagire di fronte a un attacco ransomware. Come abbiamo avuto modo di raccontare anche in articoli precedenti, questa tipologia di attacchi risulta nella maggior parte dei casi estremamente dannosa, dal momento che si tratta di un malware che limita l’accesso al dispositivo colpito chiedendo un riscatto in denaro per poter riprendere le normali attività.

Attacco ransomware: pagare o non pagare?

Tra i relatori c’era anche Päivi Tynninen dei Laboratori di F-Secure che ha affrontato la dibattuta questione se le vittime debbano pagare o meno il riscatto che viene richiesto dai criminali che conducono questo tipo di attacco

Nel corso del workshop sono emersi diversi punti interessanti per capire come affrontare questa tipologia di attacchi, come evitarli oppure come affrontarli senza dover incorrere in gravi danni per il proprio business.

Attacco ransomware: cerca informazioni

Anzitutto occorre specificare che non tutti gli attacchi ransomware sono uguali. Uno dei più noti è certamente quello a tema “polizia”: in questo caso lo schermo del dispositivo colpito viene reso inaccessibile per l’utente (differentemente dal crypto-ransomware che crittografa i dati), al quale viene fatto credere che l’unica soluzione sia quella di pagare. Tuttavia spesso il pagamento non rimuove il malware. La cosa migliore da fare è dunque quella di raccogliere più informazioni possibili sullo specifico ransomware, poiché esistono diversi applicativi che ne consentono la rimozione senza neppure dover considerare l’ipotesi di riscatto in denaro.

Attacco ransomware: renditi anonimo

Un’altra buona norma è quella di rendersi il più possibile anonimi nei confronti degli estorsori. Molte volte si è assistito a delle vere e proprie trattative tra l’utente e gli estorsori in merito all’allungamento delle deadline o all’abbassamento dell’importo da pagare ecc. Nel momento in cui si avvia una conversazione diretta con chi sta chiedendo il denaro, è bene mantenere privati tutti i dati anagrafici o informazioni di riferimento. Si può infatti utilizzare come intermediario un’azienda di cyber-security che prevede proprio questo tipo di interventi tra i propri servizi. Si tratta inoltre di un vero e proprio caso di estorsione che è illegale e può dunque essere legalmente segnalato alle autorità.

Attacco ransomware: previenilo con i backup

Chiaramente è fondamentale fare un’analisi dei dati che sono finiti sotto riscatto per esser certi che, in caso di nessun’altra opzione, valga la pena pagare il riscatto per averli indietro. È ovvio che qualora si trattasse di dati di clienti, fornitori, dati finanziari, purtroppo non si avrebbe altra scelta che concordare una modalità di riscatto. L’arma migliore per impedire che si verifichi una situazione simile è avere sempre backup aggiornati di tutti i dati sensibili.

Attacco Ransomware: denunciare alle autorità

Sean Sullivan, Security Advisor di F-Secure, sostiene che le aziende devono rendersi conto che in questi casi sono delle vere e proprie vittime. Di conseguenza spesso la cosa migliore da fare è, come accennato in precedenza, denunciare l’accaduto alle autorità di competenza. Molte aziende, temendo di perdere di credibilità ed affidabilità, optano per il pagamento. Tuttavia va ricordato che le forze di polizia sono hanno maturato esperienza e conoscenza su questi criminali e hanno sviluppato strategie investigative che garantiscono la privacy delle aziende coinvolte.

«Vale la pena condividere le informazioni che avete su questi crimini con le forza di polizia, con organizzazioni come il CERT, o con aziende di cyber security. In questo modo, qualsiasi informazione che avete può essere ben utilizzata» spiega Sean. «E se gli estorsori vengono catturati, le informazioni che avrete fornito potranno essere utilizzate per procedere con azioni penali, il che è utile per la sicurezza di tutti».

Per maggiori informazioni sulle soluzioni per prevenire e affrontare un attacco Ransomware, contattaci.

L'articolo Attacco ransomware sembra essere il primo su Elmat Blog.

La diffusione di Crypto Ransomware nei mesi scorsi ha paralizzato numerose aziende ed ha rappresentato un argomento di primaria importanza per la sicurezza informatica. Grazie a questa breve guida di F-Secure a Ransomware, insieme all’azienda leader mondiale per la sicurezza informatica business e consumer, spieghiamo di cosa si tratta e cosa si può fare per proteggere la propria impresa.

Alla fine del 2015 il consulente di sicurezza informatica di F-Secure, Sean Sullivan, aveva predetto che il 2016 sarebbe stato l’anno delle estorisioni. Fino ad ora possiamo dire che ha avuto assolutamente ragione. Crypto Ransomware è stato in primo piano in tutte le notizie sulla sicurezza informatica degli ultimi mesi, paralizzando aziende e organizzazioni grandi e piccole. Senza alternative a portata di mano, per poter riavere il proprio PC e i propri dati, molti si sono visti costretti a pagare il riscatto. Pagare è legittimo ma incoraggia i criminali informatici nella loro attività di racket dei dati.

Ecco la guida di F-Secure a Ransomware: di cosa si tratta e cosa si può fare per proteggere la propria azienda?

Guida di F-Secure a Ransomware: cosa fa?

Crypto-ransomware crittografa i file su un computer rimescolando il contenuto del file in modo che l’utente non possa accedervi senza una chiave di decodifica. In cambio della chiave di decrittazione viene chiesto il pagamento di un riscatto. Una volta che il malware ha infettato una macchina può diffondersi ad altri in rete, rendendo impossibile effettuare le normali attività aziendali e bloccando di fatto il business dell’impresa.

Il pagamento viene spesso richiesto in Bitcoin, una moneta virtuale difficile da tracciare. L’hacker di solito impone un termine entro il quale effettuare il pagamento. Allo scadere di questo termine, spesso aumenta l’importo del pagamento e viene fissato un nuovo termine. Se il pagamento non avviene neppure al secondo termine, è probabile che gli aggressori cancellino del tutto la chiave di decrittazione. Una volta che la chiave viene eliminata può essere impossibile recuperare i dati.

Guida di F-Secure a Ransomware: come avviene l’infezione?

Gli utenti online possono imbattersi in ransomware in diversi modi. Il metodo più comune in cui si può venire infettati è tramite e-mail, attraverso l’apertura del file allegato. Il file è di solito mascherato o come un documento contenente informazioni urgenti o contenuti d’interesse o come un file ZIP compresso con un nome fuorviante. Questo metodo, ingannando l’utente, lo spinge ad aprire l’allegato e ad eseguire il file dannoso. A parte gli allegati, l’e-mail può diffondere anche ransomware tramite link. Malevoli.

Per gli hacker un altro metodo comune per diffondere ransomware è quello di includerlo nel payload di un exploit kit. Gli utenti possono essere esposti agli expolit kit quando visitano un sito web compromesso o vengono reindirizzati a un sito dannoso (ad esempio, tramite un link contenuto in un’e-mail). L’exploit kit esplora il computer dell’utente per trovare eventuali difetti o vulnerabilità sfruttabili, piuttosto comuni in caso di software obsoleti. Se la vulnerabilità viene trovata, l’exploit kit scarica e installa il ransomware sul computer dell’utente. Per un utente medio questo può avvenire a sua completa insaputa.

Guida di F-Secure a Ransomware: qual è l’impatto sul business?

La quota di riscatto richiesto è di solito dai $ 300 ai $ 500 per computer. Se vengono infettati 20 computer si può arrivare fino a $ 10.000. È anche possibile che i cyber criminali che effettuano attacchi ransomware mirati a specifici business possano richiedere una somma forfettaria a loro scelta. Per una discussione interessante sulla monetizzazione dei cripto-ransomware, consigliamo questo Labs post del blog di F-Secure.

Ma il denaro richiesto per “liberare” il PC è solo una piccola parte del costo effettivo. Il vero danno deriva dagli effetti di inattività dell’utente (diminuzione della produttività, perdita di opportunità commerciali, ridotta soddisfazione del cliente e danni al brand) e dai costi di ripristino della rete (le risorse per rispondere all’attacco, riparando o sostituendo i sistemi).

Guida di F-Secure a Ransomware: come fare a riavere indietro i propri file?

F-Secure sconsiglia di pagare il riscatto: è vero che in questo modo il sistema aziendale può riprendere la propria regolare attività, ma un metodo migliore per riavere indietro i file aziendali inizia prima di essere colpiti, ovvero grazie all’abitudine di fare backup regolari. In questo modo, anche se si viene attaccati, ci si può rilassare e ripristinare il backup. Se ognuno avesse sempre i backup del proprio lavoro, Ransomware cesserebbe di essere un modello di business per i criminali.

Se i file sono stati riscattati e non si dispone di backup è opportuno cercare online per vedere se esiste uno strumento di decrittografia per il Ransomware con cui si è stati colpiti. Questa lista è un buon inizio, anche se i decryptors sono in genere disponibili solo per le primi versioni di alcune famiglie. Bisogna inoltre tenere a mente che gli hacker aggiornano i propri sistemi in modo da utilizzare quei Ransomware che non abbiano ancora a disposizione uno strumento di decrittografia.

Un’altra cosa che potrebbe essere utile è condividere la propria situazione su forum come Bleeping Computer, dove ci sono le discussioni di aiuto con Locky, TeslaCrypt, CryptoWall, Petya, CryptXXX, Locker e molti altri.

Guida di F-Secure a Ransomware: come evitare che il proprio business diventi vittima di Ransomware?

Prevenire è meglio che curare, e questo è a maggior ragione vero per Ransomware. Prendere precauzioni per essere preparati ed evitare un attacco Ransomware ti farà stare molto meglio. Ecco i nostri consigli per mantenere l’operatività all’interno dell’azienda:

• Effettuare regolarmente il backup dei dati aziendali. Archiviare i backup non in linea, in modo che non possano essere infettati anch’essi, e ripristinarli in prova di tanto in tanto per assicurarsi che siano validi. Con dei buoni backup, anche nel caso in cui si venisse attaccati, si avrebbe la tranquillità di tornare subito operativi senza dover sborsare denaro ai criminali.
• Assicurarsi che si stia eseguendo una soluzione di sicurezza affidabile che copra tutti gli endpoint e fornisca tutti i livelli di protezione. F-Secure Protection Service for Business è un approccio a più livelli che protegge da tutte le minacce Ransomware note ed è anche in grado di bloccare nuove minacce appena nate. Con tutte le nuove varianti di Ransomware che stanno spuntando come funghi ultimamente, questo aspetto è decisamente importante.
• Mantenere il software aggiornato su tutti gli endpoint per prevenire exploit. Con la gestione automatizzata delle patch come Software Updater F-Secure (incluso con Protection Service for Business), niente di più facile.
• Formare i dipendenti sui sistemi di social engineering correnti utilizzati nella diffusione di Ransomware. È importante insegnare a diffidare di allegati e link inviati via email, in particolar modo di quelli che arrivano da mittenti non attendibili. Assicurarsi che siano consapevoli del loro ruolo nella protezione dei dati aziendali.
• Limitare l’uso dei browser plugin e disabilitare quelli comunemente sfruttati, come Flash Player e Silverlight, quando non in uso.
• Gestire i controlli di accesso. Limitare l’uso di account di amministrazione solo a coloro per i quali è assolutamente necessario l’accesso come amministratore: gli account admin dovrebbero essere utilizzati solo quando realmente necessario. Inoltre, file, directory e autorizzazioni di condivisioni di rete dovrebbero essere strutturati in modo tale che gli utenti non ottengano un accesso superiore a quello di cui abbiano realmente bisogno: gli utenti che devono solo visualizzare alcuni file non hanno bisogno di accesso alla scrittura, ad esempio.
• Implementare i controlli applicativi in modo che i programmi non possano essere eseguiti da luoghi comuni per Ransomware (ad esempio, le cartelle temporanee di supporto browser Internet). Implementare inoltre le whitelist in modo che solo programmi noti e approvati siano autorizzati all’esecuzione.
• Categorizzare e separare i dati. Limitare il movimento laterale all’interno della rete separando reti e dati per le diverse unità di business.
• Disabilitare macro script da file di Office ricevuti via mail.
• Utilizzare un gateway di filtraggio della posta elettronica e configurarlo per bloccare gli allegati eseguibili.

Se vuoi saperne di più sulle soluzioni F-Secure per prevenire attacchi Ransomware, contattaci.

L'articolo La guida di F-Secure a Ransomware sembra essere il primo su Elmat Blog.