10 Novembre 2021 by in Sicurezza Sul Lavoro

IL RANSOMWARE

Una minaccia sempre più presente

**Scarica il PDF illustrativo – clicca QUI**

CHE COS’È IL RANSOMWARE?

Il ransomware è una forma di software dannoso che nasce con l’obiettivo di crittografare i dati dell’utente e del dispositivo che infetta. Ma la particolarità di questo malware è che per ottenere una chiave di decriptazione la vittima è costretta a pagare un riscatto (Ransom) all’aggressore, in genere mediante una criptovaluta come il Bitcoin. L’importo del riscatto richiesto dagli aggressori può variare da 200 a 100.000 dollari per ogni endpoint, a seconda delle dimensioni dell’azienda e del valore dei dati presi in ostaggio.

 

I DANNI SONO SOLO ECONOMICI?

Oltre a richiedere un pagamento per decriptare i file, gli autori dei ransomware possono minacciare la vittima anche di diffondere pubblicamente i dati acquisiti (ciò avviene soprattutto in caso di rifiuto del pagamento del riscatto). Questo apre un nuovo e complesso scenario, in cui le aziende vittime di questa «cyber aggressione» oltre a dover risolvere il problema immediato di ripristinare l’accesso ai file e ai servizi, in molti casi, devono dichiarare la violazione alle autorità e ciò potrebbe portare danni alla reputazione e/o azioni legali da parte dei clienti interessati. Non va sottovalutato poi il rischio di fuga di dati ad elevato impatto per l’interessato o di sottrazione di proprietà intellettuale.

 

METODI DI INFEZIONE

Subito dopo la fase di infezione, il ransomware può diffondersi ad altre macchine e crittografare i file presenti nella rete aziendale. Capire quali sono i mezzi di «infezione» del ransomware ed in che modo si diffonde è la chiave per evitare di cadere vittime di questa minaccia. Quali sono i Vettori di infezione più comuni? Vediamoli insieme:

1. PHISHING

2. SITI WEB COMPROMESSI

3. MALVERTISING

4. EXPLOIT KIT

5. DOWNLOAD

6. APPLICAZIONI DI MESSAGGISTICA

7. ATTACCHI DI FORZA BRUTA TRAMITE RDP

RISPOSTA A UN ATTACCO RANSOMWARE

Subire un attacco Ransomware, perdere file e/o dover interrompere i servizi comporta già di per se un danno notevole per qualsiasi azienda, ma una cattiva gestione delle conseguenze potrebbe causare danni alla reputazione ancora maggiori o, addirittura, criticità tali da portare alla chiusura dell’azienda.
Sulla base delle procedure aziendali per la gestione degli incidenti, proviamo a definire il processo con il quale rispondere ad un attacco Ransomware.

 

PROCESSO DI GESTIONE

Identificazione
Il ransomware viene spesso rilevato troppo tardi o nel momento in cui inizia a crittografare i file, o ancora, nel peggiore dei casi quando si annuncia mediante una richiesta di riscatto. Con il processo di rilevamento inizia una corsa contro il tempo per identificare tutte le parti della rete che sono state infettate o che potrebbero infettarsi. Isolare le parti infette della rete e interrompere ogni processo di crittografia in corso consente di ridurre l’impatto e i potenziali danni per l’organizzazione.
Contenimento
Dopo che una parte della rete è stata identificata come infetta o potenzialmente infetta da ransomware, i dispositivi devono essere immediatamente rimossi dalla rete o isolati per evitare che possano comunicare con il resto della rete. Una soluzione di rilevamento e risposta per gli endpoint (EDR) consente di isolare la macchina infetta e bloccare i canali di comunicazione utilizzati per trasferire i file condivisi o propagare l’attacco.

 

ELIMINAZIONE

Una volta contenuto l’attacco ransomware, il passo successivo consiste nell’eliminazione del malware. È necessario verificare che nel sistema non sia nascosto alcun file residuo che potrebbe infettare di nuovo i dispositivi di rete. 

Se, in base all’identificazione e all’analisi, si ha la certezza che i backup non sono compromessi, è possibile utilizzarli per ripristinare i dati persi, altrimenti l’unica soluzione potrebbe essere la sostituzione materiale delle macchine compromesse. Per quanto riguarda altre posizioni di rete, come caselle di posta o file condivisi, è necessario «pulire» queste posizioni e tenerle isolate fino alla risoluzione del problema. Ad ogni modo, non appena possibile, sarà necessario modificare le password per impedire un eventuale uso di credenziali rubate durante l’attacco.

RIPRISTINO

Una volta stabilita la VARIANTE del ransomware, l’ ENTITÀ DELL’ATTACCO e i SISTEMI INTERESSATI…
si può tentare di ripristinare i dati? ed in che modo?

 

ROLLBACK DEI DISPOSITIVI: Soluzione più semplice e meno invasiva ed eseguibile in pochi minuti

RIPRISTINO DA BACKUP: Se sono disponibili backup precedenti all’attacco ransomware, è possibile ripristinare gli                          endpoint e le condivisioni di file a partire da questa data. I backup dovrebbero essere archiviati e rimossi dalla rete.

DECRIPTARE I FILE CON UN TOOL DI DECRITTOGRAFIA: L’identificazione della variante ransomware può consentire la decrittografia dei dati, nel caso non siano disponibili la funzione di Rollback o copie di backup. 

NON FARE NULLA E RICREARE I SISTEMI INTERESSATI: Per essere assolutamente certi che il ransomware venga rimosso dal sistema, è possibile eliminare i dispositivi infetti e ricostruire il sistema operativo da zero.

NEGOZIARE E PAGARE IL RISCATTO: Se le opzioni precedenti non sono possibili e/o il ransomware ha comportato anche una violazione con esfiltrazione di dati aziendali, si potrebbe essere costretti a pagare il riscatto anche per evitare che i dati sensibili vengano divulgati pubblicamente e ai concorrenti, in tal caso potreste aver bisogno della consulenza di uno specialista in recupero dati o di un negoziatore e dell’accesso a criptovalute.

IL VOSTRO INCIDENTE È RISOLTO!!

Dopo l’incidente è necessario redigere un rapporto in cui:

quantificare «i danni», sia in termini operativi che in relazione all’impatto finanziario subito dall’azienda (ore lavorative, tempi di fermo, sanzioni legali ed eventuali riscatti pagati)
stabilire quali controlli di rilevamento e sicurezza erano attivi, perché non sono riusciti a prevenire l’infezione e promuovere lo sviluppo di nuove tecniche per rispondere, rilevare, analizzare o prevenire incidenti simili in futuro, vediamone alcune insieme…

 

RIDURRE LA SUPERFICIE DI ATTACCO

Quanto conoscete la vostra superficie di attacco? 

INDIVIDUAZIONE E INVENTARIO

I lavoratori da remoto che chiedono di poter lavorare ovunque, accedere ai dati aziendali e utilizzare applicazioni cloud, creano nuove sfide e aumentano la superficie di attacco. Creare un inventario in tempo reale di tutti i dispositivi, anche quelli che si collegano solo saltuariamente vi aiuterà a controllare eventuali endpoint non attendibili.

VULNERABILITÀ e CONFIGURAZIONE

Per ridurre la superficie di attacco è importante gestire centralmente la valutazione e l’applicazione della configurazione dei dispositivi e la loro conformità. I dispositivi non conformi devono essere riconfigurati, potenziandone la protezione. 

VULNERABILITÀ UMANE

Nel caso del ransomware, spesso l’anello più debole siamo noi esseri umani. È quindi importante curare un programma di formazione per il personale in modo da creare una cultura di cyber sicurezza e vigilanza. 

SICUREZZA DEGLI ENDPOINT

per prevenire il ransomware non è sufficiente il rilevamento statico e un antivirus. È sempre più importante disporre di funzionalità avanzate per la protezione degli endpoint, con la possibilità di monitorare gli endpoint e il loro stato da un sistema di gestione centralizzato.

SEMPRE IN ALLERTA

Gli attacchi Ransomware non sono destinati a scomparire. Di fatto, la crescente popolazione informatizzata e il volume totale del denaro generato da questa attività illecita, così come la semplicità nel «procurarsi» dei kit pronti all’uso sul Dark-Web, rappresentano dei punti di forza per i malintenzionati.
L’unica arma efficace è la prevenzione e la consapevolezza.

Comments
Share
Claudio Rivelli

«Il genio non è altro che una grande attitudine alla pazienza.» Nato a Roma l’08/08/1968, ha conseguito il diploma di maturità classica e si è laureato in Chimica con lode all’Università degli Studi “La Sapienza”. Dal 1996 occupata di salute e sicurezza nei luoghi di lavoro e nel 2004 ha fondato la Studio Rivelli Consulting s.r.l., credendo fortemente nell’importanza di realizzare sinergie di professionisti con specifiche competenze al servizio delle Aziende. Gli Imprenditori che si affidano a noi non trovano un semplice fornitore di servizi, ma un Partner affidabile che consente loro di pensare serenamente al proprio business.

logo

 Lun - Ven:
9.00 / 13.00 - 14.00 / 18.00
 +39 06 886 439 98