Vai al contenuto

Ransomware: che cos’è, come colpisce e come difendersi

  • 8 min read

Sicuramente avrete sentito parlare di attacchi ransomware e di aziende bloccate per giorni o addirittura fallite. Solitamente i casi più clamorosi che fanno notizia e che hanno risalto sulla stampa nazionale sono solo quelle di grandi corporate presenti sul mercato internazionale.

Forse non ancora tutti hanno invece coscienza del fatto che tali accadimenti possono accadere anche a piccole e medie imprese. E se dovesse accadere a te, saresti pronto? Hai un piano?

Che cos’è un ransomeware

I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.

Più nel dettaglio si tratta di un malware (software dannoso) che usa la crittografia per trattenere le informazioni sensibili (file, applicazioni, database) della vittima fino al pagamento di un riscatto (ransom) da parte della vittima (azienda o utente).

Le minacce attraverso cui l’hacker chiede il riscatto promettendo, non sempre in modo veritiero, di ripristinare l’accesso ai dati non appena ricevuto il pagamento di quanto richiesto, sono solitamente due:

  • Il blocco dei dati attraverso la cifratura
  • La minaccia di rendere i dati pubblici divulgando informazioni sensibili quali, ad esempio, segreti industriali o ancor di più dati personali e sensibili di singoli clienti

Secondo l’ultimo report ETL dell’ENISA (European Union Agency for Cybersecurity), il costo medio sostenuto dalle aziende per risollevarsi da un attacco ransomware è stato, nel 2022, di 4,5 milioni di dollari, in costante aumento rispetto agli anni precedenti ed è raddoppiato rispetto all’anno precedente.

È facile intuire come cifre del genere possano cambiare le sorti di aziende, specie se di piccole dimensioni.

Proteggere la propria azienda dalle minacce informatiche è diventata una parte fondamentale di ogni strategia aziendale come qualsiasi altro piano di protezione da eventi avversi (incendio, furto, etc.)

Tipi di ransomeware

Phishing

Il metodo più utilizzato da parte degli attaccanti per la diffusione dei ransowmare è sicuramente il phishing. Anche in questo caso la parola ha origine dall’inglese in quanto una variante del termine fishing (pescare). L’attaccante utilizza la mail per far “abboccare” la vittima inviando via mail un documento o URL infetti mascherando la mail stessa come posta legittima.

Spesso il phishing non è usato direttamente per l’installazione del ransomware stesso, ma è il metodo con cui l’attaccante installa nel sistema informatico target una sorta di “cavallo di Troia”, utilizzato per entrare poi nello stesso sistema informatico attraverso il pc di un semplice utente. In tal modo si arriverà al vero obiettivo dell’attacco (i server dove sono memorizzati i dati) attraverso una serie di altre attività collaterali dette in gergo “lateral movement”.

È importante considerare che, se una volta le mail di phishing erano quasi ridicole, con un linguaggio ed un lessico pessimo, frutto di traduzioni letterali o grafiche maldestre, ora il livello delle mail di phishing rasenta quasi la perfezione simulando in maniera ottimale una mail veritiera.

Addirittura si sta diffondendo sempre più lo “spear phishing”, dove la mail non è indirizzata ad un target generalista nella speranza che qualcuno creda all’inganno ma l’attacco è specifico verso una determinata persona cercando di impersonificare qualcuno di specifico (esempio: la mail da parte del direttore risorse umane che chiede al dipendente di prendere visione al file della programmazione ferie in allegato).

Per proteggersi dal phishing è necessario agire in questo senso:

  • Abilitare protocolli che ci proteggono dalla spoofing.
  • Configurare software di anti spam per la posta in ingresso.
  • Fare campagne di formazione e phishing simulato per fare in modo di rendere dotti e consapevoli i proprio collaboratori aziendali.

Siti compromessi

L’attaccante prende di mira in questo caso un sito web per fare in modo che il visitatore, convinto di scaricare un software sicuro oppure semplicemente nella navigazione cliccando un link scarichi ed installi senza rendersene conto

Un altro esempio di come è possibile prendere un ransomware è descritto nella prima puntata della rubrica “Chi vuole essere hackerato”.

Quali danni produce un ransomeware

I danni che un ransomware può arrecare sono diversi. In primis il fermo dell’operatività aziendale e di conseguenza un danno economico per i mancati profitti oltre ai costi per risolvere il problema.

Oltre a questi, si vanno ad aggiungere i potenziali danni per la diffusione di informazioni riservate e segreti aziendali, i risvolti legali nel caso vi sia stata una fuga di dati sensibili (ad esempio di clienti e fornitori) fino ai danni di immagine alla reputazione aziendale che potrebbe impattare il fatturato futuro e il rapporto di fiducia da parte di terze parti.

Che cos’è la protezione da ransomware?

La protezione da ransomware può essere descritta come tutta una serie di misure di prevenzione che vanno ad evitare e prevenire i potenziali danni causati da un attacco ransomware.

È un approccio che richiede di lavorare su più livelli: dalla formazione dei dipendenti, al monitoraggio degli eventi alla messa in sicurezza dei sistemi di backup o posta elettronica

Antivirus, antimalware e sistemi di nuova generazione EDR.

Ogni dispositivo aziendale dovrebbe essere protetto dalla difesa di un antivirus aggiornato e gestito centralmente da personale qualificato. I sistemi di nuova generazione lavorano su nuove modalità più intelligenti che consentono il riconoscimento dell’attività malevole del virus non solamente facendo riferimento al virus in quanto conosciuto e presente nel proprio db ma anche riconoscendo un comportamento anomalo.

Backup e ripristino

L’implementazione di una soluzione completa di backup e ripristino è fondamentale: ricordiamo la classica regola del 3-2-1.

Dove 3 sono le copie di backup su almeno 2 supporti diversi e 1 offline.

Patch Management

Le vulnerabilità di un software sono le “porte” che l’attaccante usa per forzare un sistema informatico

Il patch management è fondamentale quando si tratta di proteggere i sistemi. Lo scopo principale delle patch è correggere bug funzionali e difetti di sicurezza nel software. La gestione di patch che vanno a sanare bug di sistema sono all’ordine del giorno; per questo motivo è un’attività che deve essere correttamente automatizzata e non gestita manualmente.

Software anti-phishing e sicurezza delle email

L’email è il mezzo più usato per gli attacchi informatici. Per questo motivo è fondamentale che a monte del server di posta sia configurato un sistema di filtro che blocchi eventuali danni.

Formazione sulla security awareness

Purtroppo molto spesso, sebbene i sistemi di protezione informatica siano idonei e correttamente configurati, l’anello debole della catena è l’essere umano.

Una formazione regolare sulla consapevolezza della sicurezza può aiutare a trasformare i tuoi dipendenti nella tua più grande risorsa difensiva.

Gestione degli accessi privilegiati

Una corretta implementazione degli accessi, configurando i privilegi solo dove servono, limitando i diritti amministrativi sui client e dando limiti di accesso agli utenti per cosa è solo strettamente necessario, è fondamentale per l’aumento della sicurezza.

Segmentazione della rete

La segmentazione della rete è il processo di divisione della rete in più sottoreti o segmenti più piccoli per migliorarne la sicurezza. Semplificando il concetto, significa “spezzare” una grossa infrastruttura in segmenti più piccoli permettendo la comunicazione tra i sotto segmenti solo per i protocolli necessari. Un esempio semplice di segmentazione è quella di riservare agli ospiti della propria azienda una porzione di rete isolata (solitamente definita Guest) per evitare che un dispositivo su cui non si ha nessun controllo sia nella stessa rete aziendale di produzione.

Cosa fare in caso di attacco Ransomeware

È se il peggio fosse accaduto? È fondamentale non farsi prendere dal panico ed avere un piano di “disaster recovery” e di “incident response” per avere delle linee guida da seguire nei momenti in cui la lucidità può venire meno.

  1. La cosa più importante è una corretta gestione del recovery del backup. È fondamentale che questi siano stati configurato con la regola del 3-2-1 con programmazione di restore per testarne la bontà

Cosa non fare in caso di attacco Ransomware

  1. Mai pagare il riscatto: il pagamento del riscatto non è mai garanzia di avere i dati indietro. Spesso pagare il riscatto è significato una doppia beffa in quanto oltre al mancato recupero dei dati c’è stato un inutile esborso.
  2. Sovrascrivere il file system di eventuali supporti di backup cancellati. Solitamente gli hacker, una volta infiltratosi sulla rete della vittima, oltre al criptaggio del dati principali, riescono anche ad avere accesso ai  sistemi di backup cancellandone il contenuto. Il recupero del dato cancellato da questi supporti rivolgendosi ad aziende specializzate nel recupero dati può essere una chance disperata. È però fondamentale non fare nulla sul supporto di backup (nessuna scrittura di file) per rendere fattibile il recupero.

Ransomware: che cos’è, come colpisce e come difendersi

Ennea Technology può aiutarti nella prevenzione di attacchi informatici aiutandoti alla configurazione delle tattiche di difesa sopra esposte.

Clicca qui per richiedere un vulnerability assetsment gratuito oppure prenota una video call per richiedere ulteriori informazioni.

Copyright immagine Freepik.com

Contattaci gratis e senza impegno
Contattaci ora
Non vediamo l'ora di aiutarti 😊
Vuoi sapere come possiamo esserti utili?