I ransomware sempre più protagonisti, addirittura raddoppiati nel 2017 con una nuova tendenza a colpire le “risorse critiche” delle aziende. A semplificare la diffusione di questi malware (software pericoloso) usati dai criminali per bloccare i file su smartphone, computer o altri dispositivi a scopo di estorsione, è sempre il fattore umano che rimane l’anello debole nella catena della sicurezza informatica di tutte le aziende, come confermano i recenti attacchi finanziari. Questo è solo parte di quanto emerso dal rapporto di Verizon Data Breach Investigations 2018, che ha analizzato e confrontato oltre 53mila attacchi relativi allo scorso anno in 65 Paesi.
“Gli attacchi ransomware rimangono tra le più temibili minacce informatiche per le organizzazioni a livello mondiale. Sono di gran lunga il tipo di virus malevolo più diffuso, responsabile del 39% delle violazioni, il doppio rispetto a quanto segnalato lo scorso anno”, come evidenziato dalla stessa azienda di ricerca. Secondo i dati raccolti l’errore umano rimane tra le vulnerabilità più pericolose e difficili da superare e infatti il phishing viene utilizzato nel 98% degli attacchi a scopo estorsivo completati con successo e nel 93% di tutti i casi di violazione analizzati nel rapporto dell’azienda. Il punto debole quindi restano le email su cui la formazione nelle aziende dovrà fare un enorme passo in avanti nei prossimi anni per tentare di arginare queste dilaganti minacce.
I risultati di queste analisi non fanno che confermare quanto i ransomware siano diventati forse il metodo più diffuso con cui gli autori di malware tentano di estorcere denaro agli utenti sfruttando diverse tecniche, come il phishing o le vulnerabilità dei software.
Si consideri anche che i file criptati sono di fatto irrecuperabili rendendo queste minacce particolarmente rischiose in ambito aziendale. ESET Italia invita tutti gli utenti, ma in particolar modo ai responsabili della sicurezza IT di seguire quanto riportato per ridurre al minimo l’impatto che i ransomware possono avere sul sistema e sui dati ivi contenuti. Se il sistema è stato adeguatamente preparato e messo in sicurezza, il rischio di perdere i dati si riduce in modo significativo.
1. Back up dei dati
La strategia di base ed essenziale per difendersi dai malware è avere un backup costantemente aggiornato. Occorre ricordare che un ransomware codificherà anche i file sui dischi di rete a cui si è assegnata una lettera e a volte anche quelli a cui non è stata assegnata. Ciò include qualsiasi drive come quelli USB, come anche ogni archivio di rete o nel Cloud. Quindi è fondamentale un regime di backup periodico che sia basato su dispositivi che non siano costantemente connessi alla rete.
2. Mostrare le estensioni nascoste
dei file
Spesso un ransomware arriva in un file con estensione “.PDF.EXE”. Ciò sfrutta il comportamento predefinito di Windows in cui le estensioni note dei file sono nascoste. Ripristinando la capacità di vedere le estensioni dei file sarà più facile notare i file sospetti.
3. Filtrare i file EXE nelle email
Se il vostro scanner mail sul gateway ha la capacità di filtrare i file per estensione, potreste bloccare le email che abbiano come allegato file “.EXE”, o quelle che presentano allegati con doppia estensione di cui l’ultima eseguibile (file “*.*.EXE”, definiti nel filtro). Se gli utenti aziendali dovessero avere bisogno di scambiare legittimamente file eseguibili, potranno farlo con archivi .ZIP protetti da password o per mezzo dei servizi in Cloud.
4. Non aprire allegati o fare clic su link presenti in email o messaggi inattesi
Un classico metodo di infezione è quando un utente apre l’allegato di una mail non attesa o quando fa clic su un link contenuto in una mail che sembra provenire da una banca o da un servizio di recapiti. Gli utenti dovrebbero essere istruiti a non aprire allegati, link o file contenuti in email sospette o provenienti da contatti sconosciuti.
5. Disabilitare l’esecuzione dei file contenuti nelle cartelle AppData/LocalAppData
Un particolare comportamento di alcuni ransomware è avviare i file eseguibili dalle cartelle AppData o Local AppData. Potrete creare delle regole in Windows o nel software anti intrusione da voi utilizzato per bloccare tali comportamenti. Se per alcune ragioni dei software legittimi vengono eseguiti dalla cartella AppData piuttosto che dalla solita area Program Files, vi basterà escluderli da questa regola.
6. Disabilitare RDP
I malware Cryptolocker/Filecoder spesso accedono alle macchine delle vittime usando il protocollo di Desktop Remoto (RDP), uno strumento Windows che consente ad altri di accedere da remoto ai desktop. I cybercriminali sanno bene come autenticarsi attraverso una sessione RDP e quindi disabilitare il software di sicurezza. I software di sicurezza ESET includono strumenti di autoprotezione per difendersi, ma la prassi migliore è disabilitare l’RDP a meno che non se ne abbia necessità. Per le istruzioni su come disabilitare questa funzione potrete leggere i relativi articoli della Knowledge Base di Microsoft.
7. Aggiornare tutti i software
Gli autori di malware sfruttano spesso le vulnerabilità note di alcuni software, solitamente da utenti che purtroppo non li tengono aggiornati. Potrete ridurre in maniera significativa il rischio legato ai ransomware aggiornando spesso i vostri software. Alcuni produttori rilasciano regolarmente aggiornamenti di sicurezza (Microsoft e Adobe li rilasciano ogni secondo martedì del mese), ma talvolta vi sono aggiornamenti “eccezionali” o non pianificati, se possibile rendeteli automatici o andate direttamente sui siti dei produttori.
8. Utilizzare una suite di sicurezza affidabile
Gli autori di malware diffondono frequentemente nuove varianti per evitare la rilevazione, questo è il motivo per cui è molto importante avere molteplici livelli di protezione. Persino dopo aver infettato il sistema molti malware attendono istruzioni da remoto per avviare le loro attività malevole. Se si è stati colpiti da una variante di ransomware così nuova da aver superato le difese dell’antimalware, potrebbe essere possibile intercettarlo quando tenta di ricevere informazioni dal suo server di comando e controllo (C&C) per la codifica dei file. L’ultima suite dei software ESET fornisce un modulo di protezione botnet che blocca il traffico pericoloso intercettando le comunicazioni ai server C&C.
9. Utilizzare il ripristino di sistema per tornare all’ultimo stato pulito conosciuto
Se su Windows avete abilitato il ripristino di sistema, potrebbe essere possibile tornare a uno stato precedente non infetto e ripristinare i file codificati dalle loro copie “Shadow”. Ma bisogna muoversi velocemente, perché i nuovi ransomware hanno la capacità di eliminare i file “Shadow” dal ripristino di sistema. Questi malware inizieranno a eliminare i file “Shadow” al primo avvio, e l’utente potrebbe addirittura non rendersi conto di quanto accade visto che gli eseguibili possono essere avviati senza l’intervento dell’operatore, come un qualsiasi processo di sistema.
10. Utilizzare un account standard invece di uno amministratore
Utilizzare un account con privilegi di amministratore di sistema è sempre un rischio per la sicurezza, perché così il malware può avviarsi usando i medesimi privilegi e infettare il sistema più facilmente. Assicurarsi che gli utenti usino sempre un account con privilegi limitati per le attività quotidiane e utilizzare l’account amministratore solo quando è assolutamente necessario. Non disabilitare il controllo account utente.
11. Porre attenzione alla formazione dei dipendenti sulla sicurezza
Uno dei più comuni vettori di infezione è l’ingegneria sociale – metodi basati sull’inganno per tentare di convincere gli utenti ad avviare file eseguibili. La corretta formazione dei dipendenti rappresenta un pilastro della sicurezza aziendale.
Lascia un commento