Ransomware, cryptominer e altri virus: come proteggersi

Per la prima volta, dopo due anni di crescita costante, nel 2018 il numero delle infezioni da ransomware è diminuito: secondo Kasperksy Labs gli attacchi dei ransomware sono diminuiti quasi del 30%.

Le infezioni da ransomware sono scese al sesto posto, dopo (cyber)miner, banking trojan, adware, backdoor e spyware, secondo un recente rapporto di malwarebytes.

Questa, però, è solo una parte della storia: tra i criminali, i vincitori, in termini di popolarità, sono i cosiddetti cryptominer, chiamati così per il metodo utilizzato, il cryptojacking.

Cos'è il cryptojacking?

Questi speciali codici cryptominer infettano un computer e utilizzano la sua potenza di elaborazione per sottrarre criptovalute, come per esempio i bitcoin.

Le infezioni da cryptominer sono aumentate del 44,5% nel corso del 2018.

Le precedenti versioni dei cryptominer erano costituite da file software (eseguibili), che venivano posizionati e avviati su un computer vittima. Ora, invece, le nuove versioni si basano sui browser Internet e vengono eseguite con un semplice JavaScript in background, mentre l'utente viene infettato navigando su una pagina web predisposta.

I ransomware non sono ancora spariti, ma al contrario questi virus sono sempre più avanzati…

Anche se l'anno scorso i ransomware non erano al primo posto tra i virus per computer, ciò non significa che questa minaccia sia stata debellata: le modalità di attacco possono differenziarsi tra loro, ma tutti i ransomware cercano di penetrare in un computer o in una rete, criptare i file che riescono a raggiungere e chiedere un riscatto per la loro "liberazione".

I programmatori di ransomware stanno diventando sempre più creativi nello sviluppo dei propri software. Negli ultimi mesi del 2018 si è diffuso GandCrab, un ransomware diretto a chiunque, fatta eccezione per coloro che disponevano di una tastiera di lingua russa ed era disponibile come Ransomware-as-a-service per chiunque.

Così, invece di sviluppare semplici ransomware, questi criminali utilizzano varianti ransomware tecnologicamente più avanzate, che si basano sugli attacchi precedenti che hanno riscosso più successo.

Questo è il motivo per cui il numero di famiglie di ransomware (un ransomware basato sul codice originale di Locky, Cerber e TorrentLocker, per esempio) è diminuito dal massimo di 98 nel 2016 a 28 nel 2017. Tuttavia, queste vecchie e nuove famiglie creano più varianti di quanto mai accaduto in precedenza (350 solo nel 2017) e gli esperti ritengono che i numeri saranno altrettanto elevati nel 2018 o addirittura superiori.

Ciò significa che gli sviluppatori di codice e i criminali, per i propri attacchi futuri, fanno affidamento sui ransomware che hanno avuto successo in passato, il che è utile sia per le società di sicurezza dei dati e di antivirus, sia per gli esperti di data recovery, perché essi possono utilizzare le proprie conoscenze derivanti dalle varianti di ransomware precedenti.

Come proteggersi da ransomware e altri virus per computer?

Il modo migliore per proteggersi dai ransomware consiste nel:

1. Prestare enorme attenzione e usare il buon senso quando si aprono gli allegati di e-mail inattese o sospette

La distribuzione dei ransomware è ancora effettuata principalmente mediante gli allegati e-mail come file eseguibili (.exe) e altri file. Chiediti sempre se è il caso di aprire ogni allegato e-mail che ricevi. Ad esempio, è decisamente sconsigliato aprire una fattura ricevuta da un'azienda che non hai mai sentito nominare o da cui non hai acquistato prodotti e servizi. Se devi aprire le fatture perché lavori nel reparto finanziario utilizza il buon senso e fai in modo che il reparto IT verifichi che il tuo antivirus sia il migliore, sempre aggiornato e in grado di gestire gli allegati e-mail.

2. Non visitare siti web pericolosi

Dato che la distribuzione dei ransomware e di altri malware può essere effettuata semplicemente tramite la navigazione in pagine web infette, dovresti prendere in considerazione di non visitare indirizzi sconosciuti senza aver installato un plugin adblocker nel tuo browser web. Il codice malware è inserito in molte finestre popup, quindi potresti essere infettato senza nemmeno accorgertene. Inoltre, dovresti disattivare il plug-in Adobe Flash e JavaScript. Entrambe queste tecnologie rappresentano un rischio tale da non compensare il vantaggio consultare determinati siti web. Se devi navigare di frequente in siti web che richiedono tali tecnologie (per esempio perché sei uno scrittore, un giornalista o un editor) prendi in considerazione l'utilizzo di un computer dedicato alla navigazione, senza che vi siano salvati dei dati sensibili.

3. Non utilizzare chiavette USB di cui non conosci la provenienza

In molti casi i ransomware sono distribuiti tramite chiavette USB trovate in azienda da parte di un dipendente, che ne verifica il contenuto utilizzando il proprio computer aziendale. Il risultato è che il ransomware può essere distribuito in un attimo sull'intera rete aziendale. Non utilizzare mai una chiavetta USB di cui non conosci la provenienza nel computer aziendale né in quello privato.

4. Esegui spesso il backup dei tuoi dati

Anche se segui tutti questi suggerimenti, potresti comunque subire un attacco ransomware. Hacker e criminali sono impazienti di scovare i nuovi punti deboli e la tecnologia più avanzata per trovare un passaggio all'interno della tua rete, verso i tuoi dati. Ecco perché è necessario disporre di un backup sempre aggiornato per permettere al tuo sistema di ricominciare a lavorare anche quando vieni colpito da un attacco ransomware.

Backup a regola d'arte

Una  soluzione semplice ed efficae di proteggerti dai ransomware consiste nel creare backup frequenti. Sebbene, la semplice creazione di un backup non è sufficiente.

Molti utenti, infatti, tengono il proprio supporto di backup (un disco NAS, una chiavetta USB o un singolo disco) collegato in maniera permanente ai computer o ai server contaminati da virus o da ransomware, rendendo, di fatto, il backup inutilizzabile, dato che nuove versioni dei ransomware si diffonderanno sui altri dispositivi e directory.

Pertanto, quando si creano i backup, bisognerebbe sempre mantenerli separati dal computer o server originale, su un supporto di storage esterno.

Questo è anche il motivo per cui i nastri sono ancora supporti perfetti per i backup dal punto di vista della sicurezza dei dati, perché il backup è archiviato su un nastro esterno.

Un altro supporto di backup che è per definizione "esterno" è il cloud storage. L'utilizzo di un servizio cloud come supporto di storage può avere il vantaggio che i dati sono protetti da attacchi ransomware.

Tuttavia, poiché i dati sono archiviati esternamente, si pone una minaccia di sicurezza o divulgazione di dati, qualora si caricassero in maniera non criptata. Se cripti i tuoi dati con il tuo strumento di crittografia, le possibilità che i tuoi dati vengano sottratti e divulgati sono minime.

Cosa fare in caso di infezione da ransomware?

Se ti accorgi che i tuoi file sul computer o sul server vengono criptati, dovresti cercare di spegnere il dispositivo il più velocemente possibile.

Cerca di spegnerlo in maniera normale. L'utilizzo dello spegnimento forzato, scollegando l'alimentazione in maniera istantanea, può causare ancora più problemi. Se spegni il dispositivo in modo forzato, probabilmente, avrai un numero minore di file criptati, ma per contro rischi di bloccare o danneggiare il sistema operativo.

Conclusioni

Non importa quale nuova variante del ransomware causerà i maggiori danni quest'anno alle aziende o ai privati, la maggior parte degli esperti ritiene che questi virus specializzati continueranno a essere un'enorme minaccia alla sicurezza per aziende e consumatori.

Quindi, nel caso siate colpiti da un attacco ransomware, dovreste consultare immediatamente gli esperti di recupero dati di Ontrack Data Recovery. Essi dispongono di tutti gli strumenti e dell'esperienza necessari per recuperare i dati in caso di attacco dei più comuni virus ransomware.