Che cos'è il ransomware?

È necessario eliminare i semplici protocolli di condivisione di rete durante il backup dei dati e implementare funzioni di sicurezza valide per proteggere i dati di backup e le console di amministrazione dagli attacchi. In questo modo si potrà garantire la disponibilità di copie di dati non corrotti da utilizzare all'occorrenza.

Quando viene identificato un nuovo malware, i fornitori di software di sicurezza e altri fornitori aggiornano i loro prodotti e sistemi per contrastare questi attacchi. Purtroppo, a volte le organizzazioni non adottano le ultime patch di sicurezza, diventando pertanto vulnerabili alle minacce conosciute. Occorre dunque controllare regolarmente la presenza di nuovi aggiornamenti e installarli non appena sono disponibili.

Bisogna creare e distribuire in tutta l'organizzazione politiche Internet che descrivano nel dettaglio le best practice e le misure di sicurezza che i dipendenti devono seguire quando sono online. Ad esempio, non permettere mai ai dipendenti di svolgere attività aziendali o di accedere a sistemi sensibili mentre si trovano in una rete Wi-Fi pubblica. Provvedi a formare tutto il personale interessato su queste politiche e a definire piani di risposta da seguire in caso di esposizione a malware.

È opportuno proteggere gli account amministrativi da accessi e controlli non autorizzati utilizzando l'autenticazione a due (o più) fattori e configurando gli account in modo che forniscano solo i privilegi di sistema minimi necessari per impostazione predefinita.

In primo luogo, inserire il recupero da ransomware nella strategia generale di ripristino in caso di disastro. Creare, quindi, un ambiente di ripristino isolato (IRE): un centro dati separato e chiuso in cui le copie dei dati possono essere tenute al sicuro dall'accesso esterno. Infine includere l'IRE in tutti i test di ripristino in caso di disastro.

La conoscenza e la consapevolezza sono alcune delle armi più efficaci dell'arsenale anti-ransomware: è necessario tenerle sempre aggiornate seguendo i professionisti e gli esperti di sicurezza sui social media, controllando regolarmente le sezioni di consulenza sui rischi e i siti di consulenza e aggiornandosi sulle notizie rilevanti.

Se si è vittima di un attacco ransomware, non bisogna cedere alle richieste dei criminali. In caso contrario, l'utente e la sua organizzazione verranno identificati come vittime consenzienti, che incoraggiano i criminali a continuare a prenderli di mira. Nella maggior parte dei casi, le aziende che pagano per riavere i propri dati o file non ricevono mai una chiave di crittografia funzionante. Al contrario, gli aggressori continuano ad aumentare le loro richieste finché l'azienda colpita non smette di pagare. Inoltre, pagando i ricattatori, si finanzia la loro attività criminale e si espongono altre organizzazioni o individui allo stesso rischio.

Se ti accorgi di essere vittima di un ransomware, agisci rapidamente seguendo questi passaggi:

Il ransomware entra in una rete infettando un singolo dispositivo o sistema, ma questo non significa necessariamente che rimanga in quel punto. Il ransomware può, infatti, diffondersi facilmente attraverso la rete. Pertanto, la prima cosa da fare quando si scopre un ransomware è scollegare il sistema infetto e isolarlo dal resto della rete. Se si riesce a farlo abbastanza rapidamente, è possibile che si riesca a contenere il malware in un'unica posizione, semplificando il resto del lavoro.

Proprio come i vigili del fuoco rimuovono le sterpaglie e gli alberi dal percorso di un incendio incontrollato, è necessario prendere dei provvedimenti per fermare un'eventuale diffusione del ransomware scollegando e isolando qualsiasi altro sistema che potrebbe essere stato esposto al rischio di infezione, tra cui tutti i dispositivi che sembrano comportarsi in modo anomalo, compresi quelli che non vengono utilizzati localmente. Per ostacolare ulteriormente la diffusione, disattiva tutte le opzioni di connettività wireless.

Dopo aver isolato i file sospetti dalla rete, è necessario valutare l'entità del danno. Determina quali sistemi sono stati effettivamente colpiti, cercando i file crittografati di recente (spesso con nomi di estensioni strane). Osserva attentamente le condivisioni crittografate in ogni dispositivo: se un dispositivo ha più condivisioni degli altri, potrebbe essere il punto di ingresso originale del ransomware nella rete. Spegni questi sistemi e dispositivi e crea un elenco completo di tutti gli elementi che potrebbero essere stati colpiti (compresi dischi rigidi esterni, dispositivi di archiviazione di rete, sistemi basati su cloud, desktop, laptop, dispositivi mobili e altri apparecchi in grado di eseguire o trasmettere il ransomware).

Come menzionato nel punto precedente, controllare se i dispositivi colpiti presentano un numero elevato di azioni di crittografia può aiutare a individuare il "paziente zero". Altri metodi per individuare la fonte del ransomware includono la verifica di eventuali notifiche antivirus che precedono direttamente l'infezione e l'analisi di azioni sospette dell'utente (come fare clic su un link sconosciuto o aprire un'e-mail di spam). Una volta individuata la fonte, la bonifica diventa molto più semplice.

Contrastare efficacemente un attacco ransomware dipende spesso dalla capacità di identificare esattamente la varietà di ransomware in questione. Esistono diversi modi per identificare il ransomware. La nota inclusa nell'attacco (quella con cui si chiede di inviare denaro per sbloccare i file) può effettivamente identificare direttamente il ransomware. Si può anche cercare l'indirizzo e-mail associato alla nota per scoprire il tipo di ransomware utilizzato da questo particolare attore dell'attacco e i passi che altre organizzazioni hanno intrapreso dopo essere state infettate. Infine, in rete sono disponibili siti e strumenti che aiutano a identificare i tipi di ransomware, ma prima di sceglierne uno è necessario fare una ricerca approfondita; in caso contrario si rischia di scaricare uno strumento inaffidabile e di conseguenza introdurre altro malware nel sistema già compromesso.

Una volta bloccato il ransomware, l'utente deve contattare le forze dell'ordine. In molti casi, questo approccio è molto più che un semplice protocollo: secondo i termini di alcune leggi sulla privacy dei dati, l'utente può essere obbligato a presentare un rapporto entro un periodo di tempo prestabilito per qualsiasi violazione dei dati subita dalla sua azienda e il mancato rispetto di questo obbligo potrebbe comportare multe o altre sanzioni. Ma anche se non ha l'obbligo legale di contattare le forze dell'ordine, farlo dovrebbe essere una priorità assoluta. Innanzitutto, le agenzie che si occupano di criminalità informatica hanno probabilmente accesso a un'autorità, a risorse e a un'esperienza più adeguate a risolvere questo tipo di problemi e possono aiutare l'azienda a ritornare più rapidamente alla normalità.

Una volta "spento l'incendio", è il momento di iniziare a riparare i sistemi. Idealmente, se si dispone di dati di backup non corrotti, si dovrebbe essere in grado di ripristinarli facilmente. Verifica attentamente che tutti i dispositivi siano privi di ransomware e altre forme di malware, quindi ripristina i dati. Tieni presente che i moderni attacchi ransomware spesso prendono di mira i backup dei dati, pertanto è necessario accertarsi che i dati siano integri prima di ripristinarli.

Se non si dispone di un backup dei dati o se i dati stessi sono stati danneggiati, l'opzione migliore è quella di cercare una soluzione di decrittazione. Come accennato in precedenza, facendo qualche ricerca è possibile trovare online una chiave di decrittazione che consenta di ripristinare l'accesso e il controllo.

Sia che si ripristinino i dispositivi, che si trovi una soluzione di decrittazione o che si accetti semplicemente che i dati sensibili siano andati perduti per sempre, il passo finale sarà sempre lo stesso: ricostruire e ripartire. Ma tornare ai livelli di produttività precedenti all'attacco può essere un processo costoso e lungo anche nel migliore dei casi. Tuttavia, è importante assicurarsi di aver acquisito una migliore comprensione delle minacce che incombono sulla propria organizzazione e un'idea più chiara di come difendersi da esse.