La protezione multipla e il backup vanno considerati come strumenti essenziali per le aziende per contrastare in modo sistematico i ransomware. Dal momento che questa tipologia di malware è sempre più diffusa e, in alcuni casi, riesce oggettivamente a procurare gravi danni, è fondamentale conoscere le principali strategie di tutela delle proprie macchine.
Il funzionamento di questi malware è riassumibile come segue: un software malevolo aggredisce un dispositivo e riesce a crittografarne il contenuto oppure a bloccarlo, per poi richiedere il pagamento di un riscatto.
Ransomware, la diffusione in numeri
L’ascesa dei ransomware è stata ormai ripetutamente confermata anche dai principali vendor di cyber-security.
- Secondo diversi studi, il 28% di tutte le aziende a livello mondiale sono state attaccate da ransomware nel 2018!
- Symentac afferma che la diffusione aumenta del 12% ogni anno
- I ransomware costano più di $ 75 miliardi ogni anno (fonte: Datto)
- Ogni 14 secondi un'azienda viene attaccata da ransomware
Uno dei più famigerati ransomware è stato WannaCry, infine sconfitto grazie alla scoperta di un kill switch che riusciva a interromperne l’operatività. Tuttavia, WannaCry ha comunque fatto in tempo a infettare oltre 200,000 tra server e computer in tutto il mondo.
È dunque il momento di conoscere le basi dell’autodifesa da questo genere di aggressioni, come anche confermato da Duncan Brown, Research Director, European Security Practice di Idc: l’obiettivo? Bloccare all’origine l’azione dei ransomware e minimizzare il rischio di perdita dei dati.
Secondo Brown, il ransomware è una delle forme di attacco “più prevalenti e temute in assoluto ed estremamente difficile da individuare in anticipo e fermare nella diffusione”. Questa tipologia di malware, in definitiva, è “potenzialmente disastrosa in termini di compromissione dei dati”. Questo comporta anche “il fatto di dover pagare il riscatto ai criminali”.
Brown spiega che i ransomware vengono generalmente introdotti all’interno dei dispositivi di un’azienda attraverso un’email di phishing, ma anche exploit, unità USB o altri supporti che contengono e trasportano il malware. Il danno è rapidissimo e a questo proposito l’esperto cita un caso in cui, in soli 4 minuti, ben 30,000 file di un’azienda sono stati danneggiati.
L’infezione dei ransomware si propaga da macchina a macchina attraverso la rete aziendale, influenzando sia i computer che i server, nonché i supporti di archiviazione della rete. Una volta avvenuto il blocco o la crittografia dei dati, il danno è compiuto.
Come evitare attacchi ransomware?
Per Brown, la best practice ritiene “necessaria una buona strategia di backup da cui sia possibile ripristinare i dati. Ma questi ultimi sono raramente archiviati in tempo reale, quindi un certo grado di perdita di dati è solitamente inevitabile”.
È dunque essenziale andare alla radice del problema, minimizzando la possibilità di successo di una campagna di phishing.
Come è possibile ottenere questo risultato?
Prima di tutto, educando i dipendenti e insegnando loro come riconoscere e valutare la provenienza di un sito web o di un messaggio email. Tutto lo staff di lavoro dovrà quindi conoscere appieno la potenziale pericolosità degli allegati di un’email o di un falso sito web. É inoltre necessario che i dipendenti imparino a riportare ai propri superiori o meglio ancora agli amministratori IT qualunque evento sospetto.
“Sebbene sia difficile eliminare del tutto le azioni di persone che cliccano su un Url malevolo, educare gli utenti a comportamenti corretti è un buon punto di partenza”, spiega Brown.
A livello tecnico, risulta poi efficace implementare la tecnologia su getaway web ed email che effettuino la scansione per Url sospetti oppure sconosciuti. In questo modo è possibile classificare a monte i contenuti potenzialmente pericolosi. Nel caso in cui un processo venga “bollato” come rischioso anche quando non lo è, sarà sufficiente includerlo in una whitelist. Altri approcci funzionali includono il controllo di autorizzazione al tentativo di esecuzione di un’applicazione, ma anche l’utilizzo di soluzioni di network security.
Queste ultime hanno ovviamente la capacità di rilevare il ransomware prima che possa cominciare ad operare e di metterlo in quarantena.
Infine, spiega Brown, “l’attività dei file sospetta sul server dovrebbe essere rilevata utilizzando tecnologie simili a quelle installate sugli endpoint. In aggiunta, va detto che i dati dei server sono tipicamente archiviati con frequenza giornaliera o superiore, in base alle procedure di data governance. Finché comporta un’archiviazione inaccessibile al ransomware, il piano di backup rappresenta un contributo essenziale nella protezione dal ransomware”.
Conclusioni
L’esperto sottolinea che nessuno di questi approcci è realmente innovativo. Tuttavia è ancora oggi molto inconsueto vederli tutti all’opera all’interno di un’unica organizzazione. Inoltre la sinergia tra gli strumenti potrebbe rilevarsi un’ottima metodologia per ridurre in modo considerevole la possibilità di essere aggrediti da un ransomware.
Scopri ulteriori informazioni sulle possibilità di ripristino dei dati a seguito di un attacco ransomware.