ACCEDI
User
Password
 
 LOGIN

OSSERVATORIO Security Journal

Ransomware: come possono difendersi le aziende?

Valentina Bucci
Il ransomware si sta diffondendo causando notevoli danni alle aziende, soprattutto quelle dove risulta critica la continuità operativa, più propense a pagare i riscatti per ripristinare rapidamente i servizi erogati. Ecco i consigli del Clusit per difendersi e reagire alla minaccia.

Le opinioni degli esperti e i dati raccolti nel Rapporto Clusit di quest'anno indicano la diffusione degli attacchi ransomware [malware che induce limitazioni nell’uso del dispositivo che infetta, richiedendo il pagamento di un riscatto per rimuovere la limitazione-ndr] come uno dei fenomeni più significativi del 2016: a livello globale il malware è aumentato, rispetto al 2015, del 116% e gli esperti indicano proprio i ransomware tra le tipologie più in crescita, da tenere sotto osservazione; l’analisi Fastweb dedicata all’Italia, contenuta nello stesso Rapporto Clusit [che raccoglie al suo interno sezioni di approfondimento curate da vendor ed esperti del settore - ndr], li definisce, come nel 2016, anche per l’anno in corso, uno dei principali problemi che tutte le aziende - oltre che i singoli individui - si troveranno ad affrontare; in ambito Finance, secondo l’opinione, anch’essa contenuta nel report Clusit, del Cyber Security Command Center di Reply, quasi il 7% degli attacchi ransomware world wide sono stati diretti verso il nostro paese (il fenomeno, dal punto di vista numerico, è aumentato nel 2016 del 120% sul 2015).

Abbiamo intervistato Luca Bechelli, Comitato direttivo e Comitato tecnico–scientifico del Clusit, per capire come si spiega una simile diffusione e cosa possono fare le aziende per difendersi.

Perché tanto successo?

Luca Bechelli, Comitato direttivo e Comitato tecnico–scientifico del Clusit

Sebbene la prima apparizione di un ransomware sia datata 1989, fino a pochi anni fa la diffusione di questo tipo di attacco, oggi dilagante e disponibile nel Deep Web (parte di Web “sommersa”, ovvero  che raccoglie risorse informative non segnalate dai normali motori di ricerca, nella quale si possono trovare anche contenuti di tipo illegale) anche “As a Service”, è rimasta limitata: a disposizione dei cybercriminali c’erano strumenti di codifica forte per criptare i dati ed efficaci sistemi di phishing per indurre gli utenti a cliccare sui documenti infettati dal malware, ma nell’incassare il riscatto si rischiava di perdere l’anonimato.

“Grazie all’avvento del Bitcoin, che ha reso non tracciabile il meccanismo di pagamento, il problema è stato risolto e il mondo della criminalità ha capito che poteva finalmente sfruttare ‘liberamente’ questa risorsa”, spiega Bechelli, che quindi racconta come il ransomware si sia evoluto (figura 1) e diffuso non solo per compiere attacchi poco sofisticati, dediti a generare “margini” su grandissimi numeri, ma anche contro bersagli importanti e con impatti significativi; gli alti guadagni ottenibili hanno quindi rappresentato un ulteriore elemento attrattivo per i cybercriminali. Le più bersagliate sono risultate essere le infrastrutture per cui è critica la continuità operativa: “Il sistema di trasporto pubblico di San Francisco, a seguito di un attacco avvenuto nel 2016, ha pagato un riscatto di 73 mila dollari per sbloccare server, client e macchine deputate alla funzione di biglietteria, infettate dal malware”, dice Bechelli. Come fa notare il report rispetto a questo incidente, il danno principale non è stato il ricatto in sé, ma la necessità di aprire i tornelli e far circolare gli utenti gratuitamente: le perdite per il mancato servizio in casi come questo sono così alte che spingono le vittime a pagare rapidamente anche cifre considerevoli. La situazione diventa persino più pressante nel mondo sanitario, settore, come conferma Bechelli, particolarmente bersagliato dal ransomware, dove in gioco ci sono non solo guadagni, ma vite umane: “Le cifre richieste sono generalmente elevate ma sostenibili per una struttura ospedaliera, che dunque può pensare ragionevolmente di pagare per uscire dalla crisi”: così è effettivamente più volte avvenuto lo scorso anno; l'Hollywood Presbyterian Medical Center, per citare uno dei tanti esempi, sia in Usa che altrove, di fronte al blocco del sistema informativo e dunque delle attività cliniche, ha pagato agli attaccanti 17mila dollari di riscatto.

Figura 1 - Nascita delle diverse famiglie di ransomware oggi diffuse - Fonte: Talos

 

Cosa fare?

Questo lo scenario: cosa possono fare le aziende? Rispondiamo con alcuni dei suggerimenti dati dal Clusit.

Prima dell’attacco è utile:

  1. Fare formazione - Il veicolo principe per le infezioni è ancora quello dell’e-mail; la formazione dei dipendenti risulta quindi fondamentale, “anche quando ‘il click’ è già fatto - specifica Bechelli, che prosegue - Se l’utente ha la sensibilità di capire che potrebbe aver sbagliato e avverte subito il personale IT, possono essere prese le contromisure opportune arginando l’infezione”
     

  2. Identificare i dipendenti sensibili - Vanno intensificate le difese attorno alle postazioni delle figure più esposte al rischio di attacco creando policy più stringenti e segmentando la rete in maniera opportuna
     

  3. Non trascurare gli aggiornamenti - Una procedura automatica per il patching delle applicazioni aiuta a chiudere quelle vulnerabilità che possono altrimenti diventare una via di accesso preferenziale per il malware
     

  4. Curare il back-up - Policy di back-up correttamente impostate potrebbero consentire all’azienda, in caso di attacco, di “ripartire” senza dover pagare alcun riscatto.

Ad attacco avvenuto è invece importante:

  1. Isolare e monitorare - La macchina dalla rete infetta va isolata e, così come tutti i sistemi che fanno parte dello stesso segmento, tenuta sotto osservazione
     

  2. Preoccuparsi delle vulnerabilità - “La riuscita di un attacco come cryptolocker [forma molto diffusa di Ransomware - ndr] significa che le nostre macchine, in generale, sono vulnerabili agli exploit - dice Bechelli - Se la prima preoccupazione sarà dunque quella di recuperare i dati criptati, la seconda, immediatamente dopo, deve essere entrare nella logica che la mia sicurezza è stata ‘testata’ dai cybercriminali ed è risultata vulnerabile”: le vulnerabilità sfruttate oggi per un ransomware magari relativamente dannoso, potrebbero esserlo domani per attacchi più impattanti
     

  3. Ragionare, prima di pagare - Come fa notare Bechelli, pagare non offre alcuna garanzia: spesso i cybercriminali non rispettano i patti e, anche a seguito del pagamento, non sbloccano i dati; in certi casi si è persino ingannati sulla natura dell’attacco: quello che i cybercriminali spacciano per un cryptolocker è in realtà un altro genere di malware che non ha criptato i dati [dati che dunque con la chiave di decriptazione potrebbero essere recuperati-ndr] ma ha “semplicemente” sovrascritto i file della vittima con sequenze numeriche casuali: i dati originali sono già andati persi e la vittima in questo caso rischia di pagare senza rendersi conto che non ha alcuna possibilità di rimediare al danno subito

Per approfondire queste tematiche vai all’Osservatorio Security journal di ZeroUno

Iscriviti alle newsletter di Zerouno
Iscrivimi solo alla newsletter ZeroUno