Che cos'è il ransomware e come proteggersi

ll settore del ricatto digitale va alla grande in tutto il mondo.  L’aumento del telelavoro dovuto alla pandemia del 2020 ha visto aumentare questo genere di attacco fino al 148% . Vengono presi di mira istituti privati, imprese piccole e grandi, settori dell’istruzione e pubbliche amminitrazioni.

Il ransomware, un tipo di virus che entra come un cavallo di troia e che poi che cifra i file, rende inutilizzabili i documenti presenti nei computer. Come proteggere l'impresa e minimizzare la perdita di dati, senza dover pagare il riscatto (spesso altissimo) richiesto dai cyber criminali?

I criminali hanno visto nelle persone che lavorano da casa una grandissima opportunità da sfruttare e nuove falle, difficilmente tappate, di accessi ai computer da attaccare.

Come proteggere l'impresa e minimizzare la perdita di dati, senza dover pagare il riscatto (spesso altissimo) richiesto dai cyber criminali?

La diffusione dei ransomware (in italiano tradotto come “software con pagamento di riscatto”), noti anche come trojan crittografici, avanza senza sosta. Questo tipo di malware cifra i file presenti nel computer, rendendoli così inutilizzabili. Ransomware attaccano tutti i dispositivi di archiviazione dati (dischi di backup) collegati al computer e accessibilierver o memorie online (dischi “cloud” resi accessibili sul sistema da password salvate).

Dopo il pagamento di un “riscatto” sotto forma di Bitcoin (una criptomoneta che permette scambi finanziari anonimi), gli utenti colpiti ricevono, ma non sempre, un codice con cui decriptare i file. La soluzione migliore consiste nell’impiegare una protezione preventiva, in grado di impedire o ridurre al minimo la perdita di dati in caso di un eventuale attacco. Anche perché non si ha mai la sicurezza di ricevere la chiave di sblocco, ricordiamoci che si tratta di criminali. E il denaro pagato finirà nel giro della criminalità, rendendoci, oltre che vittime del raggiro, parte del problema.

Il rischio di essere colpiti da trojan crittografici è in aumento. La minaccia è reale. I ransomware si diffondono con lo spam (email create a regola d’arte, per sembrare legittime) o attraverso siti web infetti (ad esempio siti con sistemi wordpress o joomla, e mai aggiornati, e quindi ponte di lancio inconsapevoli per infezioni)

Consigli per proteggere la propria PMI dalla perdita di dati e/o finanziaria causata da un ransomware

In generale non esiste una protezione completa contro i malware. Il punto debole è infatti spesso l’utente, e non il sistema informatico. Vengono applicate tattiche di ingegneria sociale molto avazate e furbe per raggirare l’operatore. Ma alcune tattiche e buone pratiche, messe in atto PRIMA dell’attacco, consentono di ridurre i rischi e la conseguente perdita di dati.

Aggiornare regolarmente il sistema e le applicazioni: utilizzare gli aggiornamenti automatici o manuali per chiudere eventuali falle note nella sicurezza di Windows o Mac OSX e delle applicazioni. Particolarmente esposti in quanto punti di attacco preferiti sono i browser, Java, Adobe Reader, ma anche i sistemi CMS per aggiornare i propri siti web.

Utilizzare un firewall hardware dove possibile (chiedete al vostro sistemista aziendale): vari produttori mettono a disposizione dell'impresa soluzioni utilizzabili anche senza particolari conoscenze specifiche. Il firewall collega la rete locale (Ethernet e WLAN) a internet e, accanto ad altre misure protettive, può bloccare l’accesso a indirizzi internet noti come piattaforme di diffusione dei virus.

Utilizzare un software antivirus: in questo modo è possibile proteggersi almeno dalle minacce conosciute. Anche in questo caso è importante aggiornare regolarmente sia l’antivirus sia le definizioni dei virus.

Creare un backup: questo è il consiglio più importante in assoluto. Facendo una copia dell’intero sistema, in caso di attacco e dati cifrati, si potrà almeno tornare allo stato precedente l’azione del virus. Questo rende possibile il ripristino del sistema informatico aziendale o privato, ma protegge solo in maniera limitata dalla perdita dei dati, a causa della lunghezza dell’intervallo tra un salvataggio e il successivo (normalmente quotidiano). Tutto ciò che non era stato “ancora salvato” fra i due backup, è quindi da considerare perso.

Utilizzare una memoria online (sistemi “cloud” come Dropbox, OneDrive, Google Drive, ecc) sicura: con una soluzione che conserva diverse versioni di un documento (versioning o snapshot a intervalli di tempo) è possibile reagire rapidamente a un attacco: disconnettere il computer dalla rete, non appena ci si accorge del virus. Utilizzando un computer non infetto, o eventualmente il browser, accedere all’ultimo salvataggio in cloud e ritornare all’ultima versione dei file, salvata prima dell’attacco. Idealmente, in questo modo occorrerà sacrificare solo alcuni minuti.

In caso di attacco da ransomware, appena ci si rende conto della cosa, è necessario disconnettere immediatamente il computer da internet e da tutti i dispositivi di salvataggio collegati, per evitare che anche i backup locali o di rete vengano irrimediabilmente cifrati.

Statistiche

Ecco le principali statistiche sui ransomware di cui devi essere consapevole oggi:

• Il ransomware rimane la minaccia malware più importante. (Datto, 2019)
• Le email dannose sono aumentate del 600% a causa di COVID-19. (ABC News, 2021)
• Il 37% delle organizzazioni degli intervistati è stato colpito da attacchi ransomware nell'ultimo anno. (Sophos, 2021)
• Nel 2021, il più grande pagamento di ransomware è stato fatto da una compagnia di assicurazioni con 40 milioni di dollari, stabilendo un record mondiale. (Business Insider, 2021)
• Il compenso medio per il riscatto richiesto è aumentato da 5.000 dollari nel 2018 a circa 200.000 dollari nel 2020. (National Security Institute, 2021)
• Gli esperti stimano che nel 2021 si verificherà un attacco ransomware ogni 11 secondi. (Cybercrime Magazine, 2019)
• Su 1.086 organizzazioni i cui dati erano stati criptati, il 96% ha recuperato i propri dati. (Sophos, 2021)
• Circa 1 email su 6.000 contiene URL sospetti, compresi i ransomware. (Fortinet, 2020)
• Il tempo medio di inattività di un'azienda dopo un attacco ransomware è di 21 giorni. (Coveware, 2021)
• Il 71% delle persone colpite da ransomware sono state infettate. La metà degli attacchi ransomware che hanno successo infettano almeno 20 computer dell'organizzazione. (Acronis, 2020)
• Le tattiche più comuni che gli hacker utilizzano per effettuare attacchi ransomware sono campagne di phishing via e-mail, vulnerabilità RDP e vulnerabilità del software. (Cybersecurity & Infrastructure Security Agency, 2021)
• Il 65% dei datori di lavoro permette ai propri dipendenti di accedere alle applicazioni aziendali da dispositivi personali non gestiti. (Bitglass, 2020)
• Da un sondaggio condotto con 1.263 aziende, l'80% delle vittime che hanno presentato un pagamento di riscatto hanno subito un altro attacco subito dopo, e il 46% ha ottenuto l'accesso ai propri dati ma la maggior parte di essi è stata corrotta. (Cybereason, 2021)
• Inoltre, il 60% degli intervistati ha subito una perdita di entrate e il 53% ha dichiarato che i loro marchi sono stati danneggiati come risultato. (Cybereason, 2021)
• Il 29% degli intervistati ha dichiarato che le loro aziende sono state costrette a rimuovere posti di lavoro a seguito di un attacco ransomware. (Cybereason, 2021)
• Il 42% delle aziende con polizze di assicurazione informatica in atto ha indicato che l'assicurazione ha coperto solo una piccola parte dei danni derivanti da un attacco ransomware. (Cybereason, 2021
   

Scritto da Elisa il 01.09.2021