Attacco informatico ransomware: cos’è e cosa fare

L’attacco informatico di tipo ransomware è diffusissimo in Italia. Una ricerca ha evidenziato che il nostro Paese è il primo in Europa per attacchi di questo tipo, spesso rivolti contro le aziende. 

Tali attacchi sono sempre più mirati e sono attuati da veri e propri gruppi criminali come mostra il DRM Dashboard Ransomware Monitor, aggiornato in tempo reale.

Dal momento che si tratta di una minaccia reale per aziende e organizzazioni Italiane, pubbliche e private, abbiamo deciso di dedicare un approfondimento specifico proprio a questa particolare tipologia di attacco.

Ransomware: significato e spiegazione

Partiamo dall’inizio: il ransomware cos’è?

Un ransomware è un attacco informatico che blocca l’accesso ai file o ai dati sul computer. I cyber criminali chiedono di solito poi un riscatto (spesso in criptovaluta) per restituire i dati resi inaccessibili.

Non è raro che alla richiesta di riscatto si sommi una seconda minaccia, ossia quella di pubblicare tutti i dati sui siti di pertinenza dei cyber criminali, nel deep web.

Come avviene l’infezione da ransomware

I sistemi informatici vengono infettati attraverso una serie di tecniche adottate dai criminali:

  1. Phishing;
  2. Siti web compromessi;
  3. Chiavette USB infette;
  4. Download di software gratuiti e non sicuri;
  5. RDP: Remote Desktop Protocol;
  6. Vulnerabilità dei sistemi informatici, dei programmi utilizzati, delle connessioni internet, bluetooth e IoT.

Casi famosi

Sebbene il primo ransomware della storia risalga al 1989, probabilmente il più famoso è stato quello noto come Wanna Cry. Il virus ebbe una diffusione estremamente rapida perché si basava su una vulnerabilità (poi sanata) di Windows.

Altri ransomware molto diffusi sono stati CryptoLocker, TeslaCrypt, Locki, Petya, EternalPetya, Pop Corn.

Implicazioni per le aziende vittime di attacco informatico

Un attacco ransomware è estremamente problematico per le aziende e le organizzazioni, a maggior ragione se trattano dati sensibili (salute, finanza, orientamento sessuale, religioso ecc).

Purtroppo, molte realtà aziendali in Italia continuano a sottovalutare l’importanza della sicurezza informatica e della protezione dei dati. La mancanza di una forte cultura della sicurezza rende il Paese particolarmente esposto alla minaccia dei ransomware e di altri attacchi informatici.

I danni per aziende e organizzazioni possono essere significativi, dalla reputazione alla perdita di denaro. A ciò possono sommarsi anche le sanzioni comminate in caso di mancata compliance al GPDR, emersa a seguito dell’attacco.

Cosa fare in caso di attacco ransomware

In caso di attacco informatico con ransomware, la cosa più saggia da fare è ripristinare i file salvati in backup. Questo tuttavia significa che a priori l’azienda vittima debba avere impostato delle strategie di prevenzione tra le quali quella – fondamentale – del backup. Un buon backup deve garantire una copia dei dati sicura, affidabile e aggiornata.

Prima di ripristinare i dati resi inaccessibili, tuttavia, è bene ripulire i sistemi infettati dal ransomware.

In mancanza di copie di backup si può tentare di ripristinare i dati dai server in cloud. Quasi tutti i servizi in cloud infatti eseguono automaticamente una copia periodica dai dati.

In mancanza di dati di backup si può tentare un’altra strada che tuttavia è efficace solo per ransomware obsoleti e poco efficienti, ossia quella di cercare in rete un decryptor. Tuttavia, anche in questo caso, bisogna fare attenzione al decryptor fasulli, che sono ulteriori esche per altri attacchi informatici ai danni dell’azienda.

Se tutto ciò non è possibile, ma l’azienda reputa di poter perdere i dati, allora può lasciare stare le minacce e perdere tutte le informazioni. Un’opzione per nulla positiva.

Non è raro quindi che le aziende che non hanno altri modi per ripristinare i file cedano ai ricatti dei criminali e seguano le istruzioni per il riscatto, versando i soldi sulla darknet agli indirizzi forniti dagli attaccanti.

In ogni caso è importante avvisare la Polizia Postale e sporgere denuncia. Ricordiamo inoltre che il GPDR prevede l’obbligo di avvisare il garante della privacy e i proprietari dei dati personali rubati, in caso di data breach.

Come prevenire un attacco informatico

Prevenire gli attacchi informatici, e in questo caso quelli con ransomware è possibile, a patto di mettere la sicurezza informatica al centro dei processi aziendali e delle competenze richieste al personale.

La mancanza di consapevolezza dei rischi informatici da parte di titolari, manager e di chiunque abbia accesso ad internet, in azienda, è spesso la causa di comportamenti pericolosi. Basta aprire una mail fraudolenta o scaricare un allegato infetto per esporre l’azienda a rischi troppo rilevanti.

Buone pratiche per tutti i dipendenti

Ecco una lista di buone pratiche da seguire e da condividere con tutto il personale con accesso a internet:

  1. Fare attenzione a tutte le e-mail ricevute, anche quelle che provengono da indirizzi che apparentemente sono regolari, o che sembrano appartenere a colleghi, fornitori e clienti;
  2. Non aprire e non scaricare allegati se l’e-mail ha qualcosa di sospetto;
  3. Guardare sempre l’estensione dei file Windows prima di eseguire il download. Estensioni come .exe, .zip, js, jar ecc sono un campanello d’allarme e disattivare l’esecuzione di macro dai file Windows;
  4. Disattivare le porte di controllo remoto del desktop quando non sono in uso e, comunque, utilizzarle solo quando sono strettamente necessarie;
  5. Evitare i siti non sicuri e non cliccare su banner e pop up su siti non sicuri.

Tecniche di prevenzione

Ci sono poi delle buone norme tecniche da implementare in azienda. Tra queste:

  1. Eseguire backup frequenti e completi per avere sempre a disposizione una copia dei dati sicura e aggiornata;
  2. Usare sistemi antispam efficaci per filtrare parte delle email di phishing;
  3. Adottare strumenti di analisi comportamentale per analizzare il comportamento di ciascun utente sulle reti informatiche aziendali e rilevare immediatamente azioni sospette. Per una protezione completa si possono preferire piattaforme che consentono di gestire tutti gli aspetti della sicurezza informatica dell’azienda da un solo pannello di controllo, per esempio Alienvault USM™;
  4. Adottare sistemi di sandbox per isolare i file sospetti;
  5. Aggiornare i plugin in Java.

Una politica aziendale saggia è quella che prevede corsi di formazione per tutto il personale aziendale, ad esempio il Proofpoint Awareness Training. Si tratta di una soluzione su piattaforma Proofpoint, online, che si basa sulle lacune reali rilevate nel personale e propone iter di formazione mirati e modulari.

Oppure è possibile iscrivere gli impiegati dell’azienda a training con docenti esperti, per imparare le migliori pratiche di prevenzione e gestione dell’emergenza. In questo caso, ti consigliamo di dare un’occhiata alla nostra proposta formativa Cyber Security Fundamentals su Academy Ecoh Media.

Riepilogo: quello che devi sapere sull’attacco informatico ransomware

Come abbiamo appreso nel corso di questo articolo, il ransomware è un attacco informatico molto diffuso, operato da gruppi criminali.

Dopo un’infezione, che avviene spesso attraverso il phishing o altre tecniche di accesso ai sistemi informatici dell’azienda vittima, i criminali rendono inaccessibili i dati.

Segue una richiesta di riscatto e, frequentemente, la minaccia di rendere pubbliche tutte le informazioni riservate.

Le aziende così sono esposte a rischi economici e reputazionali che possono avere un impatto estremamente significativo.

La cosa migliore da fare in caso di attacco è ripristinare i file attraverso le copie dei dati in backup. Per farlo è necessario lavorare in prevenzione, eseguendo backup completi frequenti.

La prevenzione passa attraverso la formazione del personale, per diffondere la cultura della sicurezza informatica e le buone pratiche per mitigare il rischio di attacchi.

Ci sono poi una serie di soluzioni tecniche che possono essere messe in atto, tra le quali l’analisi comportamentale di tutti gli utenti in rete.

Anche nel caso degli attacchi informatici ransomware, l’approccio più corretto prevede tre step: analisi del rischio, mitigazione e monitoraggio. 

ISEC di Ecoh Media affianca aziende e enti in tutte le fasi del ciclo della sicurezza informatica, per costruire un approccio personalizzato e su misura, adeguato al rischio reale per ciascuna realtà.

 

Inizia subito a proteggere la tua impresa con Ecoh Media.

Contatta i nostri specialisti di sicurezza informatica.

Contattaci

Se hai bisogno di valutare come proteggere la tua azienda, entra in contatto con il nostro team. Valuteremo insieme i rischi che possono minacciare il tuo business.

Ho letto l‘informativa sulla privacy e fornisco il consenso esplicito al trattamento dei dati inseriti *