Ransomware in azienda: come difendersi dal virus "sequestra pc"

I ransomware sono particolari virus informatici che, dopo aver infettato i computer delle vittime o di una LAN aziendale, cifrano i dati archiviati negli hard disk chiedendo poi un riscatto per ripristinarli. Ecco cosa c’è da sapere su questa minaccia e su come difendersi

Articolo in collaborazione con Cybersecurity360.it-Gruppo Digital360

I ransomware  sono una grave minaccia per le aziende: ne mettono a repentaglio i propri asset, rappresentati da preziosi dati archiviati nei computer dei dipendenti. Ecco perché è necessario prendere tutte le possibili contromisure per difendersi da questa temibile minaccia.

Che cos’è un ransomware

Con la parola ransomware (contrazione delle parole inglesi ransom, riscatto, e malware) si identifica una particolare tipologia di malware il cui scopo è quello di rendere inaccessibili i dati memorizzati nei computer infettati mediante cifratura, per poi chiedere un riscatto tipicamente in Bitcoin o in qualche altra criptomoneta per ripristinarli. Tecnicamente, i ransomware sono dei trojan crittografici che hanno come unico scopo l’estorsione di denaro. Ad infezione avvenuta, il malware sostituisce lo sfondo di Windows con una schermata in cui l’autore, in cambio di una password in grado di sbloccare tutti i contenuti, chiede all’utente il pagamento di una somma di denaro abbastanza elevata (comunque quasi sempre sotto i 1.000 euro).

Come si prende un ransomware

I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:

• Il più diffuso, perché purtroppo funziona molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware. Nelle mailbox aziendali capita sempre più frequentemente di ricevere email da spedizionieri, o con false fatture allegate. Sono evidentemente email di phishing e le statistiche ci dicono che nel 30% dei casi questi messaggi vengono aperti dai dipendenti e addirittura in oltre il 10% dei casi vengono cliccati anche gli allegati o i link presenti nel testo, permettendo così l’infiltrazione del malware!
• Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti (da parte di hacker che sono riusciti a violare il sito) exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri. Si presentano, per esempio come banner pubblicitari o pulsanti di download. A quel punto l’utente viene indirizzato su siti malevoli dove avverrà il download del malware.
• All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che promettono di “crackare” software commerciali usati nelle aziende per utilizzarli senza pagare. È una pratica che oggi è diventata assai pericolosa, perché il crack che si andrà a scaricare sarà un eseguibile (.exe) dentro il quale ci potrebbe essere anche una brutta sorpresa.
• Attacchi attraverso il desktop remoto (RDP: remote desktop protocol, in genere sulla porta 3389), una funzionalità del sistema operativo utilizzata dai reparti IT delle aziende o da ditte esterne per prestare assistenza sui computer dei dipendenti: sono attacchi con furto di credenziali (in genere di tipo “brute force”) per accedere ai server e prenderne il controllo.

Proteggersi dai ransomware in azienda: tre punti chiave

Da quanto detto, risulta evidente come la formazione del personale sull’uso delle e-mail e dei siti Internet sia fondamentale per difendersi dai ransomware e mettere al sicuro gli asset aziendali rappresentati dai dati archiviati nei computer.

• La miglior protezione è la prevenzione. Il primo passo da fare è aggiornare sempre sia l’antivirus aziendale, se presente, sia quello installato sui PC dei dipendenti, oltre che il sistema operativo.
• Utile è anche un backup dei dati, cioè una copia dei file archiviati nei computer. Un’operazione che va eseguita periodicamente in un hard disk esterno, ad esempio una chiavetta USB. In questo modo, se il ransomware dovesse infettare i PC aziendali, una copia dei dati rimarrebbe protetta, dando l’opportunità di ripristinarli all’occorrenza.
• Se si viene attaccati, invece, le buone pratiche dicono che non bisogna mai pagare il riscatto. Ma rivolgersi a un’azienda che si occupa di sicurezza informatica. Ecco un approfondimento però sulle valutazioni da fare se pagare o no in caso di attacco ransomware.

Protezione da ransomware: la prevenzione in azienda

Nonostante la virulenza e la diffusione dei ransomware, ci sono semplici regole pratiche da usare come un decalogo di sicurezza aziendale:

• Non aprire mai gli allegati di email di dubbia provenienza. Nel dubbio è consigliabile chiedere al mittente se quella email è autentica.
• Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione nota come “spoofing”).
• Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr e via dicendo.
• Disabilitare la riproduzione automatica (“autorun”) di chiavette USB, CD/DVD e altri supporti esterni e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza.
• Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint).
• Aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare sempre e subito le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati.
• Utilizzare – quando possibile – account senza diritti da amministratore.
• Installare servizi Antispam efficaci ed evoluti. Non riusciranno a bloccare tutte le email di phishing, ma i migliori riescono a raggiungere un’efficienza comunque superiore al 95%.
• Implementare soluzioni di tipo “User Behavior Analytics” (UBA) sulla rete aziendale (analisi anomalie traffico web). Questi strumenti rappresentano oggi la protezione più avanzata contro i ransomware. È noto infatti che questi malware presentano una serie di comportamenti tipici (accesso/scrittura a cartelle di sistema, collegamento a server esterni per il download dei file di criptazione, ecc.). Gli UBA analizzano perciò il comportamento di ciascun computer dell’azienda e sono in grado di capire se si stanno verificando eventi “anomali” (quali per esempio un traffico dati superiore alla media, l’accesso ad indirizzi IP classificati come malevoli, l’accesso e la scrittura in cartelle di sistema che non dovrebbero essere utilizzate). Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (quantomeno circoscrivere) l’attacco.
• Implementare l’uso di Sandboxing: questi strumenti sono in genere presenti nei sistemi UBA (di cui al punto precedente) e consentono di analizzare in un ambiente isolato (appunto la “sandbox”) i file sospetti in entrata.
• Assicurarsi che i plugin che si utilizzano (Java, Adobe Flash Player, ecc.) siano sempre aggiornati. Questi plugin – è noto – rappresentano una via d’ingresso preferenziale per la maggior parte dei cyber attacchi. Averli sempre aggiornati riduce le vulnerabilità di cui sono affetti (anche se non le elimina completamente).
• Fare sempre attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri. Come ho già spiegato, i ransomware ci possono colpire non solo attraverso il phishing, ma anche visitando siti che sia stati “infettati”, con la modalità definita “drive-by download”.
• Backup frequente dei propri dati. Questa è una regola fondamentale: se nonostante tutto un ransomware riesce a colpirci, l’unica salvezza è aver i propri dati salvati in un altro luogo. Ed è importante che il backup venga eseguito spesso ed in modo completo. In assenza di un backup rimane solo l’opzione di pagare il riscatto.

Cosa fare se siamo stati colpiti da un ransomware

In questa malaugurata ipotesi (ma potrebbe sempre accadere), le opzioni sono sostanzialmente quattro:

1. Ripristinare i file da un backup È la soluzione migliore, soprattutto in ambito aziendale, l’unica che dovrebbe essere presa in considerazione se abbiamo operato con attenzione e ci siamo organizzati con una corretta gestione di salvataggio periodico dei nostri dati. Ovviamente per fare un ripristino è necessario avere una copia di backup che sia disponibile, recente e funzionante.

2. Cercare un “decryptor” in rete per decriptare i file La grande proliferazione delle varietà di ransomware nel corso di questi ultimi 2-3 anni ha fatto sì che i maggiori vendor di sicurezza mondiali abbiamo cercato di trovare gli “antidoti” a questi malware. Ed in alcuni casi ci sono anche riusciti: per alcune versioni di ransomware (soprattutto i meno recenti) sono stati creati e resi disponibili in rete programmi e tool in grado di recuperare i file crittografati.

3. Non fare nulla e perdere i propri dati Non è una scelta entusiasmante e quasi mai la si può fare, soprattutto per un’azienda. A meno che i dati criptati non siano veramente di scarsa importanza.

4. Pagare il Riscatto È ovviamente la soluzione peggiore, quella alla quale non si dovrebbe mai arrivare: se paghiamo alimentiamo la criminalità e la rendiamo ancora più ricca e forte.