C’è una nuova minaccia in circolazione, si chiama ransomware. Può crittografare permanentemente i file aziendali, a meno che non si paghi per riaverli. Rodolfo Falcone, Country Manager di Check Point Software Italia spiega perchè il ransomware vive una forte crescita, e come le aziende possono evitare che i propri dati vengano presi in ostaggio.
‘O la borsa o la vita’ è stata la frase preferita dai criminali del 18° secolo. Ma se i banditi mascherati a cavallo che derubavano i passeggeri in diligenza fanno ormai parte del passato, l’idea di sottrarre oggetti di valore per poi chiedere un riscatto è ancora dominante. Oggi, i criminali informatici usano una forma di malware conosciuta come ransomware per chiedere ‘o i soldi o i file’, ricattando le aziende, trattenendo in ostaggio i loro PC o dati e richiedendo un pagamento economico per il rilascio.
Ransomware
Come la maggior parte del malware, anche il ransomware può provenire dall’apertura di un allegato malevolo in un’email, da un clic su un pop-up ingannevole o semplicemente dalla visita di un sito web compromesso. Mette a rischio le aziende in una delle seguenti modalità: bloccando lo schermo di un utente o crittografando i file.
Il ransomware lock-screen, come suggerisce il nome, provoca il ‘congelamento’ del PC visualizzando un messaggio con la richiesta di riscatto del criminale, rendendo il computer inutilizzabile fino a quando il malware viene rimosso. Se questo è un fastidio per gli utenti, è una cosa superabile perché riguarda generalmente un singolo PC, ed è di solito relativamente facile da rimuovere.
Blocco aziendale fino al riscatto
La crittografia ransomware, invece, sta rapidamente emergendo come una vera minaccia per le aziende a causa della sua capacità di bloccare permanentemente gli utenti dai propri file e dati, non solo sui singoli PC ma sull’intera rete aziendale. Utilizzando la crittografia per scombinare i dati fino al pagamento di un riscatto, questo tipo di attacco ransomware ha registrato nel terzo trimestre del 2013 un aumento del 200%, rispetto al primo semestre dell’anno. Inoltre, gli attacchi si sono concentrati su aziende di piccole e medie dimensioni, utilizzando CryptoLocker, uno dei ceppi di ransomware più distruttivi e dannosi mai visto.
Da quando è stato individuato a fine estate del 2013, CryptoLocker ha preso di mira oltre un milione di computer. Una volta attivato sul PC di un utente, CryptoLocker avvia una ricerca su tutte le cartelle e drive a cui è possibile accedere dal computer infetto, compresi dischi di back-up in rete sui server aziendali. Successivamente inizia a scombinare i file utilizzando una crittografia a 2048 bit virtualmente impossibile da decriptare. I file rimarranno crittografati a meno che l’azienda non paghi un riscatto per rilasciare la chiave di decriptazione – supponendo, naturalmente, che i criminali forniscano effettivamente la chiave una volta pagato. Senza esagerare, questa perdita di proprietà intellettuale e dei dati confidenziali può avere implicazioni gravi.
Proteggersi dal ransomware
Cosa possono fare le aziende per proteggersi da questi nuovi tipi particolarmente aggressivi di ransomware? Innanzitutto, è fondamentale che le organizzazioni implementino le stesse best practice di sicurezza di base consigliate per proteggere i computer da qualsiasi altro tipo di malware:
- assicurarsi che il software anti-virus sia aggiornato con le più recenti signature;
- verificare che il sistema operativo e le patch del software applicativo siano aggiornati;
- installare un firewall sia in entrata che in uscita sul PC di ogni utente;
- educare gli utenti sulle tecniche di social engineering, specialmente quando si trovano di fronte ad allegati sconosciuti che arrivano nella posta indesiderata.
Tuttavia, si tratta di misure che non offrono una protezione totale dagli attacchi. È troppo facile per un dipendente cliccare inavvertitamente su un allegato di posta elettronica, provocando un’infezione. È anche relativamente facile per i criminali che stanno dietro una truffa ransomware fare piccoli aggiustamenti al codice malware, permettendogli di bypassare l’antivirus dal rilevamento basato su signature, rendendo in questo modo le aziende vulnerabili.
Una protezione migliore grazie alle sandbox
Per difendersi contro i nuovi exploit che non possono essere rilevati dalle soluzioni antivirus convenzionali, una nuova tecnica di sicurezza permette di isolare i file dannosi prima che entrino nella rete in modo che l’infezione accidentale non si verifichi.
Senza incidere sul flusso aziendale, questa tecnologia apre i file sospetti che arrivano via email e controlla il loro contenuto in un ambiente virtualizzato noto come ‘sandbox‘. Nella sandbox, il file viene monitorato in tempo reale per registrare qualsiasi comportamento insolito, come ad esempio tentativi di apportare modifiche di registro, azioni o connessioni di rete anomale. Se il comportamento del file risulta essere sospetto o potenzialmente dannoso, questo viene bloccato e messo in quarantena, per prevenire ogni possibile infezione prima che raggiunga la rete – o le caselle di posta degli utenti – azzerando così il rischio che possa causare danni. Nuovi servizi cloud di scansione ed emulazione forniscono questa funzionalità di protezione ad organizzazioni praticamente di ogni tipo e dimensione.
Le aziende dovrebbero prendere in considerazione queste ulteriori precauzioni per assicurarsi di non cader vittime di criminali informatici che necessitano solamente di una minuscola falla di sicurezza per entrare nella rete e prendere in ostaggio gli asset dell’azienda. Potendo potenzialmente catturare tutti i file e i dati di una società in un istante, il ransomware rappresenta una grave minaccia che le organizzazioni dovrebbero seriamente considerare.
