Strategie per prevenire e combattere i ransomware

Come difendersi dai ransomware

E’ diventato in breve tempo la minaccia numero uno nel panorama della cyber security.

Si riceve una mail e si apre l’allegato con troppa leggerezza, forse perché distratti o sopra pensiero, o si clicca su un link o un pop-up che porta ad un sito non sicuro e subito dopo ci si ritrova con il pc completamente bloccato e la richiesta di pagamento da effettuare ai cyber criminali. Questo è quello che succede quando si cade vittima di un ransomware.

Che fare allora? Qual è la migliore forma di prevenzione o la risposta più efficace all’attacco?
Ecco alcuni suggerimenti:

Riconoscere i segnali di un ransomware

Scritte con caratteri senza senso sul desktop o file che non riconosci, pop-up fastidiose e che non avevi mai visto prima, sono un chiaro segno: il messaggio che verrà visualizzato a breve lo confermerà. Il pc è stato infettato da un ransomware.

I messaggi possono variare tra un oscuro:

“Hai sfogliato materiale illegale e ora devi pagare un prezzo”

Al banale:

“Questo sistema operativo è stato bloccato per ragioni di sicurezza”

Alla dichiarazione tipo:

“Abbiamo una buona e una cattiva notizia per te. La cattiva è che abbiamo preparato una lettera con tutti i dettagli e dati personali compresi transazioni con carta di credito e login , che sta per essere inviata al seguente indirizzo. La buona notizia è che puoi facilmente fermare questa lettera prima che venga spedita inviando 2 bitcoin al seguente indirizzo”

Esempi di messaggi:

Your-personal-files-are-encrypted-Virus

Possono variare la quantità di bitcoin e le parole del messaggio, ma il risultato è lo stesso.

virus-ransomware-italiano-email

Molti ransomware sono distribuiti via email in modo sempre più sofisticato: non solo le comunicazioni avvengono nella lingua locale, ma la forma e il contenuto sembrano essere assolutamente legittime.

Altri invece arrivano con l’invio massivo di email: l’intento è quello di infettare più gente possibile per avere più probabilità di ottenere i risultati sperati.

Esistono poi ransomware veicolati attraverso il download su siti compromessi.
Nonostante il problema sia ben conosciuto a volte non si riesce ad evitare l’infezione Ecco perché è importante sapere cosa fare quando si è infettati.

Fare il back up e stare all’erta

Avere una buona policy di back up è sicuramente il consiglio migliore da seguire per recuperare i dati dopo un attacco ransomware. Un back up regolare è il metodo più affidabile per ripristinare un sistema infetto. Per essere davvero efficace deve essere “seriale” con versioni di file più vecchie disponibili in caso quelle più recenti siano state corrotte o criptate. E comunque, più è recente il back up e meno lavoro ci sarà per tornare operativi.

Un back up sicuro dovrebbe poi essere in un ambiente offline, perché se connesso alla rete possono essere comunque soggetti al ransomware.  Visto che molti ransomware hanno la possibilità di criptare file mappati sui dischi di rete, disconnettere la mappatura. Una volta fatti i back up e salvati in un posto sicuro, non dimentichiamo di controllare che funzionino e che sia possibile recuperare i dati in caso di necessità.

Mantieni un approccio a livelli

Livelli di SicurezzaUno dei modi migliori per proteggersi da un virus è avere le difese giuste per non essere attaccati. Avere un approccio a livelli serve proprio a questo, utilizzando tecnologie come anti virus, filtri web e firewall.

Diverse aziende usano questi strumenti e molti software per la sicurezza contengono già firewall e web filtering oltre ai tradizionali anti malware.

I ransomware vanno in esecuzione da App Data o cartelle Local App Data quindi è meglio restringere

Fai gli aggiornamenti

Proprio come l’adozione di un approccio a livelli, installare patch e rimanere aggiornati è una delle forme di sicurezza migliori.

Molti ransomware vengono opportunisticamente veicolati verso uno specifico target, e il successo dell’attacco spesso è dovuto ad una vulnerabilità conosciuta piuttosto che ad un zero-day.

Controlla i privilegi di rete

David Gibson, vice-president of strategy and market development di Varonis, afferma che molte aziende non hanno sotto controllo l’attività dei dipendenti: se la persona che è stata infettata ha privilegi amministrativi, il virus ha accesso alle stesse risorse. Nel caso di un ransomware, questo significa che il malware avrà la possibilità di criptare dati sui dischi di rete, media condivisi e removibili.

Il pericolo ransomware è quotidiano e tutti siamo obiettivi, privati o aziende: esistono software realizzati apposta da aziende impegnate nella sicurezza come Sophos, Cisco o Kaspersky che aiutano a bloccare questi attacchi.

A proposito dei cyber criminali

Una fra le ansie più pesanti quando si deve fare il pagamento di un riscatto è avere a che fare con i criminali e non ci sono comunque garanzie che la vittima abbia indietro i dati o che l’hacker non lasci altre forme di malware nel sistema.

È facile che i criminali ritornino dalle vittime che pagano: il pagamento per il recupero dei file conferma semplicemente che la vittima è un buon target per futuri attacchi.

Se sei una vittima, devi sapere quanto siano sensibili i tuoi dati, il tuo profilo e la sofisticatezza dell’hacker prima di pagare, perché a volte se un attacco non è sofisticato nella comunicazione potrebbe significare una bassa qualità di criptaggio.

Nonostante ci siano numerosi metodi per non essere più vittime, questo rimane uno dei problemi più sentiti perché combina tattiche sofisticate ed elementari in cui gli utenti continuano a rimanere impigliati.

Non aspettare di essere colpito: informati su quali sono gli strumenti migliori per difendere la tua azienda.