Ransomware: soluzioni di recupero dati

Un ransomware è una forma di software dannoso progettato per bloccare l’accesso a un sistema informatico o pubblicare online i dati della vittima. Una volta sferrato l’attacco, l’hacker chiede un riscatto alla vittima, promettendo – non sempre in modo veritiero – di ripristinare l’accesso ai dati una volta ricevuto il pagamento.

A partire dagli anni ’80 si sono susseguite diverse varianti di Trojan, ma l’elemento che ha scatenato questa nuova ondata di attacchi è collegata all’introduzione dei Bitcoin. Questa criptovaluta consente agli hacker di raccogliere facilmente denaro dalle loro vittime senza passare attraverso i canali tradizionali.

La parola inglese “ransom” significa riscatto ed è per questo motivo che il termine viene utilizzato per indicare il software che blocca i dati e chiede i soldi per liberarli. In molti casi gli esperti parlano anche di trojan di crittografia, poiché la richiesta di riscatto si basa sul fatto che i dati vengono codificati e resi inaccessibili all’utente. 

l ransomware sono malware che bloccano il sistema operativo o l'intero server, crittografando i dati esistenti. Gli hacker mettono le loro vittime sotto costante pressione comunicando loro che i dati  saranno di nuovo disponibili solo dopo il pagamento del riscatto.

Il ransomware è una forma di malware che blocca l'accesso al sistema informatico o divulga i dati della vittima online. L'hacker chiede un riscatto alla vittima e promette di ripristinare l'accesso ai dati di pagamento.

Dagli anni '80 sono comparsi numerosi trojan ransomware ma la reale opportunità per gli hacker è aumentata con l’introduzione dei Bitcoin. Questa criptovaluta consente agli hacker di incassare il riscatto online, senza utilizzare i canali tradizionali.

Quelli che si celano dietro agli attacchi ransomware sono di solito truffatori altamente competenti con grande esperienza nella programmazione informatica. In genere, il ransomware infetta il computer tramite un allegato e-mail, una rete o un browser infetto.

Le modalità di attacco dei ransomware sono molto simili a più comuni sistemi di hackeraggio: ad esempio, la navigazione su siti compromessi, un link presente in email di spam, o virus incorporati all'interno di messaggi ricevuti sui social. In molti casi, i responsabili inviano e-mail contenenti una bolla di consegna sospetta o la richiesta di riscossione di un debito. Il file allegato, invece,  non contiene alcuna informazione rilevante, ad eccezione del ransomware.

I dati di Datto mostrano che il ransomware costa in media alle aziende $ 75 miliardi all'anno; questo include il riscatto stesso, i successivi sforzi di recupero, iniziative organizzative e IT per proteggere l'organizzazione da ulteriori attacchi, nonché tempi di inattività, indagini forensi, costi di formazione, ripristino e perdita di entrate / produttività. Stime più prudenti di Cybersecurity Ventures conteggiano i danni da ransomware a oltre $ 11,5 miliardi nel 2019, un aumento sorprendente rispetto ai $ 325 milioni di quattro anni fa. Sia che la cifra sia di $ 75 miliardi o $ 11,5 miliardi, i danni sono ingenti per tutte le aziende che subiscono un attacco ransomware. A maggio del 2019, ad esempio, la città di Baltimora è stata chiusa dai sistemi governativi per oltre un mese. I sistemi vitali per la produzione di vaccini, bancomat, aeroporti e ospedali sono stati tutti colpiti. Sebbene la richiesta di ransomware fosse di $ 76.000, il prezzo di recupero è ammontato a quasi $ 20 milioni.

Spear-Phishing

Il sistema di consegna più comune per i ransomware è tramite spamming phishing: allegati che arrivano nell’e-mail della vittima, mascherati da file di cui si possono fidare.

Una volta scaricato e aperto l’allegato, il malware prende il controllo del computer, crittografando alcuni o tutti i file. Quando ciò accade, l’unico modo per decrittografare i dati è tramite una chiave matematica nota solo all’hacker

Ci sono anche casi in cui il malware mostra un messaggio in cui si afferma che il sistema “Windows” dell’utente è bloccato. L’utente è quindi invitato a chiamare un numero di telefono “Microsoft” e inserire un codice di sei cifre per riattivare il sistema. Il messaggio sostiene che la telefonata è gratuita, ma questo non è vero. Mentre è al telefono chiamando il falso “Microsoft”, l’utente accumula addebiti per chiamate interurbane.

Punti di accesso da remoto

I ricercatori di McAfee hanno osservato che se da un lato i criminali informatici stanno ancora utilizzando tattiche di spear-phishing, un numero crescente di hacker riesce ad accedere ai sistemi aziendali da punti di accesso remoto aperti ed esposti, come RDP e virtual network computing (VNC). Le credenziali RDP possono essere forzate, ottenute da perdite di password o semplicemente acquistate nei mercati del dark web. Se prima gli hackeri ransomware avrebbero creato un ambiente di comando e controllo per le chiavi ransomware e di decriptazione, la maggior parte dei criminali ora si avvicina alle vittime con richieste di riscatto che includono un indirizzo di servizio di posta elettronica anonimo, che gli permette di mantenere nascosta la propria identità.

Secondo l'ultimo rapporto sulle minacce McAfee, nel primo trimestre del 2019, gli attacchi con ransomware sono cresciuti del 118%. Non solo c'è stato un aumento significativo del numero di attacchi, ma l'anno passato ha visto anche la comparsa di nuove famiglie di ransomware e cyber criminali che utilizzano tecniche più innovative per causare il caos. Di seguito sono descritte alcune delle principali varianti di ransomware che causano gravi interruzioni nell'arco di pochi anni.

Anatova
Uno dei ransomware nati nel 2019 è Anatova. Questo nuovo malware si nasconde dietro alle icone di giochi o applicazioni per raggirare gli utenti e fare scaricare loro il virus. Essendo una forma evoluta di malware, Anatova si adatta velocemente e utilizza diversi “trick” per non farsi scoprire.Grazie al suo design modulare, può incorporare funzionalità aggiuntive che gli permettono di contrastare i metodi e le tecnologie anti-ransomware.Fortunatamente il team Advanced Threat Research di McAfee ha scoperto questo nuovo ransomware all’inizio del 2019 prima che potesse diventare una seria minaccia per utenti e aziende.

Dharma
Una variante del virus CrySiS, il ransomware Dharma è attivo dal 2018. I cybercriminali continuano però a svilupparne nuove varianti impossibili da decifrare.

GandCrab
Questo ransomware utilizza la crittografia AES e carica nel sistema un file chiamato ‘GandCrab.exe’. Il virus colpisce sia utenti privati che aziende che utilizzano sui propri PC Microsoft Windows.
Il 31 maggio 2019 i creatori di GandCrab hanno annunciato la fine degli attacchi di questo ransomware avendo già guadagnato oltre 2 miliardi di dollari dal pagamento dei riscatti dei malcapitati.

Emotet
Emotet è un ransomware originariamente nato nel 2014 per attaccare le banche. Il virus ha subito diverse evoluzioni sino a diventare “invisibile” persino ai prodotti anti-ransowmare. Gli hacker di solito diffondono Emotet tramite e-mail di spam, fatte per sembrare legittime e con l’uso di un linguaggio allettante per indurre la vittima a fare clic sul link di collegamento.

Ryuk
Ryuk è un ransomware che prende solitamente di mira le aziende per ottenere il massimo del ritorno economico. Secondo CrowdStrike, tra agosto 2018 e gennaio 2019, Ryuk ha incassato oltre 705,80 bitcoin dagli attacchi sferrati, per un valore totale di 3.701.893,98 di dollari.Uno dei maggiori attacchi è quello generato nel periodo di natale del 2018 alla Tribune Publishing. In un primo momento l’azienda aveva pensato che l’attacco fosse solo legato ad una interruzione temporanea del server: poco dopo però è stato subito chiaro che si trattava del ransomware Ryuk.Questo malware è noto anche con l’appellativo “caccia al pesce grosso” per le aziende ad alto ROI che va a colpire. Questi attacchi su larga scala comportano una forte personalizzazione delle campagne per adattarsi al meglio ai singoli obiettivi e aumentarne quindi l’efficacia.Ruyk richiede quindi molto “lavoro” da parte degli hacker per struttura l’attacco in più fasi. La prima fase è quella dell’attacco tramite phishing con lo scopo di infettare il network delle aziende per mappare il sistema e identificare gli asset da colpire. La seconda e la terza fase, invece, saranno quelle di richiesta del riscatto per liberare i dati crittografati.

Negli ultimi anni, il  numero di attacchi ransomware è aumentato ad un ritmo allarmante. Sfortunatamente, l’ascesa della tecnologia va di pari passo con  l’aumento del crimine informatico. Ma quanto sai della minaccia ransomware in continua evoluzione? E sai quali misure adottare per prevenire un attacco?

La sicurezza informatica deve essere una priorità assoluta per le aziende di qualsiasi dimensione per proteggere la rete da minacce in continua evoluzione. Secondo lo studio “State of Enterprise Risk Management 2020” di ISACA, CMMI e Infosecurity Group, il 53% degli intervistati ha dichiarato di aver visto un aumento del rischio per la propria organizzazione negli ultimi 12 mesi. Inoltre, il 29% ha riscontrato che la sicurezza informatica è la categoria di rischio più critica per le aziende di oggi e il 33% ritiene che la minaccia informatica sarà la categoria di rischio più cruciale per la propria organizzazione nei prossimi 18-24 mesi.

A causa del continuo successo degli attacchi phishing, la formazione degli utenti rappresenta una delle migliori difese contro i ransomware. Inoltre è necessario che vengano implementate pratiche e tecnologie di sicurezza IT standard come antivirus, antimalware, rilevamento / prevenzione delle intrusioni, firewall, monitoraggio della rete e controlli degli accessi.
Le organizzazioni dovrebbero chiudere tutte le porte che non necessitano dell'accesso a Internet e quelle che lo fanno dovrebbero essere attentamente monitorate e protette. 

É altresì fondamentale che vengano introdotti ulteriori livelli di protezione, come backup effettuati con frequenza. Questi backup devono essere completi, devono essere facilmente accessibili e le organizzazioni dovrebbero testarli regolarmente per verificarne l'affidabilità. Sfortunatamente, il ransomware si evolve continuamente e trova nuovi modi per infettare i sistemi. A volte attacca specifici sistemi o database. Il primo step del malware è quello di utilizzare i diritti di amministratore rubati per disabilitare i backup online, in particolare sulle SAN. In questo modo il malware potrà cancellare i sistemi NAS. Altre volte riesce persino ad infiltrarsi e crittografare i file di backup. Le applicazioni di backup virtualizzate come Veeam, ad esempio, sono state in passato oggetto di attacchi ransomware. La domanda non è quindi se il malware colpirà anche la tua azienda, ma quando lo farà. Le organizzazioni devono essere preparate. I tape che rimangono all'interno  delle library corrono il grande rischio di essere sovrascritti, crittografati o altrimenti danneggiati dal ransomware. 

Le best practice da adottare sono in costante evoluzione e descrivono nel dettaglio quali azioni intraprendere in caso di attacchi ransomware. La cosa più importante è quella di non pagare mai il riscatto. L'FBI è un ferma sostenitrice di questa posizione e la Conferenza dei Sindaci degli Stati Uniti ha fatto in modo che tutti i suoi membri si impegnassero a non pagare mai il riscatto ai criminali informatici. Dopotutto, coloro che soddisfano le richieste di riscatto non hanno alcuna garanzia della decrittazione dei loro file. Potrebbe anche essere chiesto loro di pagare più denaro, oppure potrebbero trovare i dati e i sistemi infettati da altri malware.

Oltre a non pagare il riscatto, le vittime devono contattare immediatamente le forze dell'ordine. Le aziende devono spegnere e disconnettere immediatamente tutti i sistemi  collegati alla rete e clonare sempre i dischi critici prima di apportare qualsiasi modifica. Una volta che un'organizzazione rileva un attacco, non si deve perdere tempo. Altrimenti, l'infezione potrebbe diffondersi a più utenti, sistemi e applicazioni.

Gli ultimi anni hanno visto lo sviluppo di nuovi programmi in grado di decrittografare alcuni ceppi di ransomware. Il dipartimento IT di un'azienda dovrebbe contattare i fornitori o le forze dell'ordine per vedere se l’infezione di cui sono vittime può essere facilmente decrittografata. In questi giorni, ci sono oltre 100 strumenti di decriptazione che possono essere utilizzati contro più di 400 varianti di ransomware. Caso in questione: l'FBI ha rilasciato le chiavi di decodifica principali per il ransomware GandCrab per consentire alle vittime di effettuare il decrypt. I criminali informatici, dal canto loro, sono alla costante ricerca di nuove modalità di attacco e blocco dei dati. Una volta contenuti gli effetti dell’attacco subito, i backup sono tradizionalmente il modo migliore per recuperare i dati. File di backup memorizzati in cloud, sulle applicazioni di backup o su tape che sono stati effettuati in modo corretto e a cadenza regolare, permettono alle aziende di accedere nuovamente ai propri dati. Tuttavia, è necessario prestare attenzione ai file di backup per assicurarsi che non siano stati a loro volta vittime del contagio. Il ripristino di file che contengono ransomware può provocare una nuova infezione dei sistemi IT. Inoltre, spesso i  backup sono noti per essere incompleti, obsoleti o addirittura corrotti.

Saresti probabilmente portato a pensare che pagare un riscatto per avere accesso ai tuoi dati sia già abbastanza irritante, ma potrebbe essere niente in confronto all’importo dei danni effettivi derivanti da un attacco.

Tra questi ultimi si potrebbero includere:

• Danni e distruzione (o perdita) di dati

Mancata produttività

• Interruzione post-attacco del normale corso del business

• Indagini forensi

• Ripristino e cancellazione dei dati e dei sistemi presi in ostaggio

• Danno alla reputazione

• Formazione dei dipendenti in risposta agli attacchi

1.La sicurezza e-mail è fondamentale!

Secondo quanto riportato da McAfee l’e-mail resterà il vettore di attacco primario per le minacce alla sicurezza informatica aziendale, in particolare nel caso di attacchi mirati. Pertanto, mettere in sicurezza questo principale fattore di vulnerabilità è essenziale per chiunque gestisca una rete o sia collegato a Internet.

La maggior parte degli utenti scatena un attacco ransomware aprendo quella che sembra essere una normale email ma che invece contiene un allegato infetto, come un documento, una foto, un’animazione, un video o qualsiasi altro file. Non sono necessarie conoscenze approfondite per inserire un codice malware in un file. In molti casi sono disponibili numerosi articoli esplicativi o video su YouTube che mostrano come nascondere il codice, quindi oggigiorno potrebbe farlo anche un bambino.

Tenendo presente questa considerazione, non bisogna assolutamente aprire un allegato e-mail proveniente da un mittente sconosciuto! Se ricevi un’email da un mittente sconosciuto, informa immediatamente il responsabile della sicurezza dei dati dell’azienda.

Ricorda: la protezione e l’integrità dell’IT aziendale rappresentano sempre la scelta giusta.

2.Rendi sicuri la rete e l’ambiente IT!

Che un singolo computer venga criptato da un ransomware è sicuramente un brutto inconveniente, ma quando un ransomware si diffonde su tutta la rete può diventare non solo un incubo per il reparto IT, ma anche un pericolo per l’intero business!

Le società che non lo hanno ancora fatto, dovrebbero  prendere in considerazione l’implementazione di una soluzione software per la sicurezza dei dati che sia specificatamente ideata per verificare tutte le e-mail in entrata, prima che siano consegnate dal server Exchange al destinatario. Con una soluzione del genere, si riduce drasticamente il rischio che un virus si diffonda all’interno di una rete aziendale.

Inoltre, gli amministratori IT e i manager dovrebbero prendere in considerazione l’implementazione di un altro software per la sicurezza della rete, che controlli automaticamente la rete e i suoi file. Tale soluzione invierebbe un allarme nel caso un ransomware dovesse cercare di criptare grandi quantità di file sulla rete.

Queste soluzioni verificano il traffico in uscita, pertanto se il ransomware cerca di collegarsi al loro server esterno per avviare il processo di crittografia, la procedura potrebbe essere interrotta in uno stadio piuttosto precoce.

Infine, aggiorna sempre i software e i sistemi operativi con le ultime patch non appena sono disponibili. Come abbiamo spesso sottolineato, gli hacker hanno successo quando la vittima presenta delle falle nella propria sicurezza!

3.Rendi smart i tuoi dipendenti!

In caso di un attacco ransomware anche l’utente più esperto va in panico. Pertanto, ogni dipendente in un’azienda dovrebbe sapere esattamente cosa fare, in caso di attacco.
Un attacco ransomware dovrebbe non solo essere incluso nel piano di business continuity per i livelli di gestione più elevati o per gli esperti IT, ma anche le indicazioni su cosa fare, se colpiti, dovrebbero essere scritte su un foglio di carta appeso sul muro di ogni ufficio. Suggerimenti semplici, come per esempio:

• scollegarsi da Internet e dalla rete interna
• cercare di spegnere in maniera appropriata il dispositivo oppure chiamare immediatamente la sicurezza IT/l’amministratore IT

In particolare lo staff della gestione e amministrazione IT dovrebbero essere sempre informati al meglio in merito agli sviluppi più recenti nel campo della sicurezza informatica e degli attacchi hacker. Leggere le ultime news e restare aggiornati in merito ai nuovi sviluppi in questo settore, alle soluzioni per la rete o ai software, dovrebbe quindi essere una necessità per questi dipendenti.

4. Proteggi il Remote Desktop Protocol (RDP) della tua azienda

Con i servizi remoti viene comunemente utilizzato il protocollo desktop remoto (RDP). Mentre nel 2018/2019 la vulnerabilità di BlueKeep CVE 2019 0708 si è scatenata, recenti patch Microsoft hanno coperto quel thread. 

Se la tua azienda non ha bisogno di utilizzare un RDP, è meglio ricorrere ad una soluzione più sicura. Se ciò non è possibile, è necessario adottare le seguenti misure:

• Utilizza una VPN per accedere all’ RDP aziendale in quanto crea una connessione sicura tra i dipendenti di e Internet. Tutto il traffico di dati viene inviato attraverso un tunnel virtuale crittografato, che dovrebbe impedire ai criminali informatici di essere in grado di forzare un sistema.
• Assicurati di avere impostato l'autenticazione a due fattori
• I dipendenti che forniscono servizi interni importanti dovrebbero avere il massimo accesso necessario per poter completare il proprio lavoro. Tutti i dipendenti che accedono a sistemi o backup critici devono disporre di un'autenticazione a due fattori.
• Avere in atto un piano di ripristino di emergenza aggiornato per garantire che se il proprio RDP è compromesso, si dispone di un backup di tutti i dati critici.
  

5. Assicurarti di disporre di un backup aggiornato

Proteggersi significa anche avere un backup dei dati. Un backup altamente sicuro è un elemento cruciale nella preparazione della tua organizzazione ad un possibile  attacco ransomware. È necessario testare il backup accuratamente e frequentemente. In questo modo in caso di attacco di  qualsiasi forma di malware, sarà possibile ricostruire il sistema in modo rapido e senza problemi. Se possibile, assicurati che il tuo sistema di backup non sia connesso alla tua rete (o solo per il momento in cui è necessario), questo impedirà al tuo backup di essere influenzato anche da malware.

Se per qualsiasi ragione sei vittima di un attacco ransomware, segui queste istruzioni:

• Non pagare mai il riscatto!
  Pagare gli hacker infatti non ti garantisce di poter rientrare in possesso dei tuoi dati. In molti casi – soprattutto in caso di malware “ranscam” o wiper – non avrai più accesso ai dati. In questo modo oltre ad avere perso informazioni fondamentali avrai perso anche i tuoi soldi!

• Non cercare di decrittografare i dati da solo.Anche sei hai qualche competenza in ambito IT per ripristinare i dati, è un processo rischioso poiché se qualcosa andasse storto, potresti distruggere i tuoi documenti per sempre.