Alzi la mano chi non ha sentito parlare di ransomware almeno una volta negli ultimi mesi. Un po’ tutti i vendor di sicurezza stanno rimarcando la rapida ascesa di questa tipologia di attacco informatico, in cui un software malevolo infetta un dispositivo per bloccarlo o crittografarne i contenuti (in quest’ultimo caso si parla anche di cryptomalware) per poi chiedere il pagamento di un riscatto (ransom, di solito corrispondente a qualche centinaia di dollari o euro, da corrispondere in bitcoin). E c’è stato poi, a maggio, il caso eclatante di Wannacry: nuova “edizione” di un vecchio worm che ha infettato in tutto il mondo oltre duecentomila computer e server, minacciando le vittime di cancellare ogni dato in caso di mancato pagamento entro sette giorni. A distanza di settimane si continua a parlare di questa operazione cybercriminale, che un’indagine della Nas ricollega quasi certamente a un gruppo hacker nordcoreano. Da Duncan Brown, research director, European Security Practice di Idc, giungono alcuni chiarimenti e consigli su come bloccare all’origine questo genere di infezione e su come, in caso di attacco, minimizzare i rischi di data loss.
Duncan Brown, research director, European Security Practice di Idc
Il ransomware è una delle forme di attacco in assoluto più prevalenti e temute. Le organizzazioni ne sono spaventate perché è estremamente difficile da individuare in anticipo, difficile da fermare nella diffusione una volta che ha colpito e potenzialmente disastroso in termini di compromissione dei dati. Se a questo si aggiunge l’ignominia di dover pagare il riscatto ai criminali e una penale da parte delle autorità per la regolamentazione della protezione dei dati, ecco che il ransomware diventa una minaccia critica per le aziende di tutti i tipi e dimensioni.
Questa infezione viene spesso introdotta in un’organizzazione tramite email di phishing ma può anche essere veicolata tramite exploit, unità Usb e altri supporti contenenti malware. Funziona rapidamente. Per esempio, siamo a conoscenza di un’organizzazione in cui 30mila file sono stati danneggiati in quattro minuti. Si estende da macchina a macchina attraverso la rete aziendale, influenza sia dispositivi endpoint (Pc desktop e laptop) sia i server, e può anche diffondersi anche sui supporti di archiviazione della rete. Una volta che i file sono criptati diventa impossibile sbloccarli, quale che sia lo scopo dell’operazione. La best practice suggerisce che, affinché un’organizzazione possa prepararsi per questa tipologia di attacco, è necessaria una buona strategia di backup da cui sia possibile ripristinare i dati. Ma questi ultimi sono raramente archiviati in tempo reale, quindi un certo grado di perdita di dati è solitamente inevitabile.
Le potenziali conseguenze del ransomware aumenteranno con l’introduzione del GDPR nel 2018. Una violazione di informazioni personali che includa la “distruzione illegale” dei dati potrebbe portare a multe fino al 2% del fatturato annuo globale dell’azienda. Questo rappresenta chiaramente un aumento significativo del rischio per le imprese, in termini di prospettiva finanziaria ma anche di reputazione del marchio.
Che cosa possono fare le aziende per proteggersi dal ransomware? FireEye ritiene che ci siano cinque aree in cui le organizzazioni dovrebbero cercare di minimizzare il rischio della minaccia.
Un primo approccio possibile è quello di minimizzare la probabilità che una campagna di phishing possa avere successo, educando gli utenti sull’importanza di conoscere la provenienza di un’email o di un sito Web. Diffondere la consapevolezza sulla pericolosità potenziale degli allegati di una email o di un sito Web falso è utile, così come lo è riportare comportamenti sospetti o sconosciuti a un amministratore di security o a un altro individuo esperto. Sebbene sia difficile eliminare del tutto le azioni di persone che cliccano su un Url malevolo, educare gli utenti a comportamenti corretti è un buon punto di partenza.
Il secondo livello di protezione è implementare la tecnologia su gateway Web e email che effettuino la scansione per Url conosciuti e sospetti. Tali soluzioni sono utili per classificare contenuti legittimi da malware o siti sconosciuti ma sospetti. Il terzo livello di difesa è avere la tecnologia installata sull’endpoint. Questo monitora il comportamento dei processi, rilevando attività sospette che indichino la presenza di ransomware. Per esempio, un processo che sta cifrando in modo sequenziale i file è probabilmente un ransomware. Tuttavia è possibile che questo sia anche un processo legittimo utilizzato per la protezione dei dati: in questi casi, il processo può essere incluso in una whitelist. Altri approcci contemplano il controllo di autorizzazione a eseguire un’applicazione, in modo che non sia concesso l’avvio di applicazioni non presenti nella lista o comprese in una blacklist.
Il quarto livello è l’utilizzo di soluzioni di network security che possano rilevare il ransomware prima che venga eseguito e mettere in quarantena il processo sospetto o detonarlo in una sandbox. Infine, l’attività dei file sospetta sul server dovrebbe essere rilevata utilizzando tecnologie simili a quelle installate sugli endpoint. In aggiunta, va detto che i dati dei server sono tipicamente archiviati con frequenza giornaliera o superiore, in base alle procedure di data governance. Finché comporta un’archiviazione inaccessibile al ransomware, il piano di backup rappresenta un contributo essenziale nella protezione dal ransomware.
Nessuno di questi approcci è particolarmente innovativo, ma è raro vederli tutti attivi in un’unica organizzazione. Le aziende più mature hanno maggiori probabilità di aver implementato questo approccio a più livelli per una serie di attacchi, e quindi saranno meglio protette contro il ransomware.