Ransomware, come difendersi dagli attacchi?

martedì 4 febbraio 2020 di Michael Nuncic

Secondo il report sulle minacce di attacchi hacker di McAfee nel primo trimestre del 2019 il numero di attacchi ransomware è aumentato del 118% rispetto allo stesso periodo dell’anno precedente. Un altro dato allarmante riscontrato è la nascita di nuove famiglie di ransomware, oltre ai metodi e canali che i cyber criminali hanno iniziato ad utilizzare per diffondere i virus.

Nuove famiglie ransomware

I cyber criminali sono alla continua ricerca di metodi nuovi e innovativi per infettare le infrastrutture IT delle aziende.

Lo Spear phishing è ancora il canale di diffusione maggiormente utilizzato dagli hacker. I ricercatori McAfee hanno inoltre riscontrato un incremento di attacchi diffusi nelle aziende attraverso accessi remoti non protetti come il remote desktop protocol (RDP) e il virtual network computing (VNC).

Gli hacker sono spesso in grado di entrare in possesso delle credenziali di accesso poiché le aziende lasciano le porte RDP client aperte in rete: in questo modo è facile scansionare blocchi di indirizzi IP. Gli hacker cercheranno quindi di forzare l’accesso ai desktop remoti o di ottenere le credenziali e le password RPD nei “mercati neri”.

Anatova

Uno dei ransomware nati nel 2019 è Anatova. Questo nuovo malware si nasconde dietro alle icone di giochi o applicazioni per raggirare gli utenti e fare scaricare loro il virus. Essendo una forma evoluta di malware, Anatova si adatta velocemente e utilizza diversi “trick” per non farsi scoprire. Grazie al suo design modulare, può incorporare funzionalità aggiuntive che gli permettono di contrastare i metodi e le tecnologie anti-ransomware.

Fortunatamente il team Advanced Threat Research di McAfee ha scoperto questo nuovo ransomware all'inizio del 2019 prima che potesse diventare una seria minaccia per utenti e aziende.

Dharma

Una variante del virus CrySiS, il ransomware Dharma è attivo dal 2018. I cybercriminali continuano però a svilupparne nuove varianti impossibili da decifrare.

GandCrab

Questo ransomware utilizza la crittografia AES e carica nel sistema un file chiamato ‘GandCrab.exe’. Il virus colpisce sia utenti privati che aziende che utilizzano sui propri PC Microsoft Windows. Il 31 maggio 2019 i creatori di GandCrab hanno annunciato la fine degli attacchi di questo ransomware avendo già guadagnato oltre 2 miliardi di dollari dal pagamento dei riscatti dei malcapitati.

Emotet

Emotet è un ransomware originariamente nato nel 2014 per attaccare le banche. Il virus ha subito diverse evoluzioni sino a diventare “invisibile” persino ai prodotti anti-ransowmare. Fin dal suo primo attacco, Emotet ha rubato i dati di login ai conti correnti, informazioni finanziarie e portafogli Bitcoin a privati, aziende e enti governativi in Europa e USA.

Gli hacker di solito diffondono Emotet tramite e-mail di spam, fatte per sembrare legittime e con l'uso di un linguaggio allettante per indurre la vittima a fare clic sul link di collegamento. Emotet è uno dei malware più costosi e distruttivi: secondo il Dipartimento per la sicurezza nazionale degli USA, il costo dell'attacco medio a Emotet è di oltre 1 milione di dollari.

Ryuk

Ryuk è un ransomware che prende solitamente di mira le aziende per ottenere il massimo del ritorno economico. Secondo CrowdStrike, tra agosto 2018 e gennaio 2019, Ryuk ha incassato oltre 705,80 bitcoin dagli attacchi sferrati, per un valore totale di 3.701.893,98 di dollari.

Uno dei maggiori attacchi è quello generato nel periodo di natale del 2018 alla Tribune Publishing. In un primo momento l’azienda aveva pensato che l’attacco fosse solo legato ad una interruzione temporanea del server: poco dopo però è stato subito chiaro che si trattava del ransomware Ryuk.

Questo malware è noto anche con l’appellativo “caccia al pesce grosso” per le aziende ad alto ROI che va a colpire. Questi attacchi su larga scala comportano una forte personalizzazione delle campagne per adattarsi al meglio ai singoli obiettivi e aumentarne quindi l’efficacia.

Ruyk richiede quindi molto “lavoro” da parte degli hacker per struttura l’attacco in più fasi. La prima fase è quella dell’attacco tramite phishing con lo scopo di infettare il network delle aziende per mappare il sistema e identificare gli asset da colpire. La seconda e la terza fase, invece, saranno quelle di richiesta del riscatto per liberare i dati crittografati.

Come proteggersi con efficacia da ransomware?

Ci sono molti aspetti da considerare nella lotta contro i ransomware. Considerate le diverse tipologie di virus in circolazione, tieni a mente questi tre importanti suggerimenti e agisci di conseguenza:

1. La sicurezza e-mail è fondamentale!

Secondo quanto riportato da McAfee l’e-mail resterà il vettore di attacco primario per le minacce alla sicurezza informatica aziendale, in particolare nel caso di attacchi mirati. Pertanto, mettere in sicurezza questo principale fattore di vulnerabilità è essenziale per chiunque gestisca una rete o sia collegato a Internet.

La maggior parte degli utenti scatena un attacco ransomware aprendo quella che sembra essere una normale email ma che invece contiene un allegato infetto, come un documento, una foto, un’animazione, un video o qualsiasi altro file. Non sono necessarie conoscenze approfondite per inserire un codice malware in un file. In molti casi sono disponibili numerosi articoli esplicativi o video su YouTube che mostrano come nascondere il codice, quindi oggigiorno potrebbe farlo anche un bambino.

Tenendo presente questa considerazione, non bisogna assolutamente aprire un allegato e-mail proveniente da un mittente sconosciuto! Se ricevi un’email da un mittente sconosciuto, informa immediatamente il responsabile della sicurezza dei dati dell’azienda.

Ricorda: la protezione e l’integrità dell’IT aziendale rappresentano sempre la scelta giusta.

2. Rendi sicuri la rete e l’ambiente IT!

Che un singolo computer venga criptato da un ransomware è sicuramente un brutto inconveniente, ma quando un ransomware si diffonde su tutta la rete può diventare non solo un incubo per il reparto IT, ma anche un pericolo per l’intero business!

Le società che non lo hanno ancora fatto, dovrebbero prendere in considerazione l’implementazione di una soluzione software per la sicurezza dei dati che sia specificatamente ideata per verificare tutte le e-mail in entrata, prima che siano consegnate dal server Exchange al destinatario. Con una soluzione del genere, si riduce drasticamente il rischio che un virus si diffonda all'interno di una rete aziendale.

Inoltre, gli amministratori IT e i manager dovrebbero prendere in considerazione l’implementazione di un altro software per la sicurezza della rete, che controlli automaticamente la rete e i suoi file. Tale soluzione invierebbe un allarme nel caso un ransomware dovesse cercare di criptare grandi quantità di file sulla rete.

Queste soluzioni verificano il traffico in uscita, pertanto se il ransomware cerca di collegarsi al loro server esterno per avviare il processo di crittografia, la procedura potrebbe essere interrotta in uno stadio piuttosto precoce.

Infine, aggiorna sempre i software e i sistemi operativi con le ultime patch non appena sono disponibili. Come abbiamo spesso sottolineato, gli hacker hanno successo quando la vittima presenta delle falle nella propria sicurezza!

3. Rendi smart i tuoi dipendenti!

In caso di un attacco ransomware anche l’utente più esperto va in panico. Pertanto, ogni dipendente in un’azienda dovrebbe sapere esattamente cosa fare, in caso di attacco. Un attacco ransomware dovrebbe non solo essere incluso nel piano di business continuity per i livelli di gestione più elevati o per gli esperti IT, ma anche le indicazioni su cosa fare, se colpiti, dovrebbero essere scritte su un foglio di carta appeso sul muro di ogni ufficio. Suggerimenti semplici, come per esempio:

  • scollegarsi da Internet e dalla rete interna
  • cercare di spegnere in maniera appropriata il dispositivo oppure chiamare immediatamente la sicurezza IT/l’amministratore IT

In particolare lo staff della gestione e amministrazione IT dovrebbero essere sempre informati al meglio in merito agli sviluppi più recenti nel campo della sicurezza informatica e degli attacchi hacker. Leggere le ultime news e restare aggiornati in merito ai nuovi sviluppi in questo settore, alle soluzioni per la rete o ai software, dovrebbe quindi essere una necessità per questi dipendenti.

Cosa fare in caso di attacco ransomware?

Se per qualsiasi ragione sei vittima di un attacco ransomware, segui queste istruzioni:

  • Non pagare mai il riscatto! Pagare gli hacker infatti non ti garantisce di poter rientrare in possesso dei tuoi dati. In molti casi – soprattutto in caso di malware “ranscam” o wiper – non avrai più accesso ai dati. In questo modo oltre ad averso perso informazioni fondamentali avrai perso anche i tuoi soldi!
  • Non cercare di decrittografare i dati da solo. Anche sei hai qualche competenza in ambito IT per ripristinare i dati, è un processo rischioso poiché se qualcosa andasse storto, potresti distruggere i tuoi documenti per sempre.

Recupero dati ransomware

Dal punto di vista degli specialisti di data recovery, i casi di ransomware sono diversi uno dall'altro. Non solo c’è una grande differenza nel modo in cui le varianti dei ransomware attualmente disponibili criptano i dati e si diffondono nella rete e nei dispositivi tecnologici, ma anche nei loro obiettivi, ad esempio il computer o l’ambiente di rete.

Alcuni sistemi e strutture dati sono più impegnativi e necessitano di più tempo rispetto ad altri. Poiché ogni caso è diverso dall’altro, è bene contattare subito gli specialisti di recupero dati per verificare se abbiano mai visto e gestito prima quello specifico ransomware. I tecnici saranno in grado di consigliarti se vale la pena inviare il media per tentare di ripristinare i dati e se hanno già avuto successo con casi simili.

Gli attacchi degli ultimi anni mostrano che il ransomware continua a rappresentare una seria minaccia sia per i privati che per le aziende. Pertanto, vale la pena adottare soluzioni e comportamenti volti a garantire la sicurezza dei dati, la formazione degli utenti e l’utilizzo di specifiche procedure di backup.

Dal punto di vista del backup, si consiglia di salvare i backup dei dati business-critical su dispositivi di archiviazione esterni che non si connettono alla rete, come ad esempio i tape e i nastri magnetici. È inoltre necessario testare regolarmente i backup per verificarne l'accuratezza e la funzionalità.

Nel caso il backup non funzionasse o fosse infettato da un virus ransomware, è consigliabile contattare un fornitore professionista di servizi di recupero dati, come Ontrack, che sia in grado di recuperare i backup criptati dal ransomware o non funzionanti.