Ransomware: Le regole per proteggersi

Assertività: 7 regole per svilupparla

8 Dicembre 2021

Data Center modulari prefabbricati: fattori di forma

21 Dicembre 2021

Published by David Licursi at 14 Dicembre 2021

Tags

I ransomware sono una tipologia di malware¹ che rende inutilizzabili i dati delle macchine infettate e chiede il pagamento di un riscatto² per ripristinare l’accesso a tali dati. Si tratta più precisamente di Trojan Horse³ che, crittografando i file sul computer colpito, richiedono poi un riscatto per dissequestrare i file colpiti.

Dietro ai ransomware non troviamo semplici hacker, ma organizzazioni criminali complesse in grado di gestire, dopo aver colpito il nostro computer, il pagamento del riscatto attraverso la rete TOR⁴ con un pagamento in Bitcoin o altra criptovaluta.

Alcuni ransomware prevedono perfino un servizio clienti (vittime in questo caso) a mezzo chat e, come abbiamo visto in Ransomware: Ransomware as a Service (RaaS), nel dark web⁵, tramite la rete TOR, è possibile acquistare un servizio ransomware da diffondere per infettare le proprie vittime, criptare i loro documenti e, ovviamente, chiedere un riscatto.

Il riscatto richiesto è generalmente di poche centinaia di euro. I criminali sanno che un utente al quale viene chiesto un riscatto di qualche centinaio di euro pagherà facilmente, magari anche nel caso abbia a disposizione un backup dei dati perché il loro ripristino può rivelarsi più costoso. Inoltre, la richiesta di un basso riscatto comporta che solo una minima frazione degli incidenti da ransomware viene denunciato alla polizia postale.

Vediamo nel seguito alcune semplici regole per difendersi dai ransomware:

Non aprire mai gli allegati di e-mail di dubbia provenienza.
Porre attenzione anche alle email provenienti da utenti noti in quanto questi potrebbero essere stati a loro volta hackerati.
Poiché il cyber attacco ransomware sfrutta quasi sempre l’errore umano, la migliore difesa è sempre costituita dall’investimento in formazione degli utenti.
Disabilitare l’esecuzione automatica del software contenuto su supporti hardware esterni quali chiavette USB per evitare di essere attaccati con la tecnica del Baiting. Tale tecnica consiste nell’utilizzare un’esca (in inglese bait) per ingannare un soggetto abilitato ad accedere a un determinato sistema informatico. In pratica viene lasciato incustodito in un luogo frequentato dell’organizzazione (ingresso, mensa, bagno) un supporto di memorizzazione come una chiavetta USB contenente malware che si attiveranno appena l’oggetto sarà collegato ad un computer dal primo avventore curioso.
Definire ex ante un piano di ripristino di emergenza.
Abilitare l’evidenza delle estensioni dei nomi dei file nelle impostazioni del computer per individuare i file più pericolosi come quelli con estensione .exe, .zip, js, jar…
Disabilitare l’esecuzione delle macro da parte dei programmi Office.
Mantenere aggiornati i sistemi operativi e i browser con le ultime patch.
Utilizzare, quando non strettamente necessario, account privi di diritti di amministratore. Gli attaccanti acquisiscono i privilegi posseduti dall’utente attraverso il quale entrano nell’organizzazione.
Adottare software antispam. Ciò non ci metterà completamente al riparo dai rischi, ma ci proteggerà almeno dalla quasi totalità delle email di phishing.
Adottare soluzioni User Behavior Analytics (UBA) sulla rete aziendale. Si tratta di prodotti in grado di individuare i comportamenti tipici di un malware come il traffico dati superiore alla media, l’accesso a indirizzi internet classificati come malevoli per il download dei file di criptazione, o l’accesso in scrittura a cartelle di sistema cui non si dovrebbe accedere. Gli User Behavior Analytics rappresentano oggi una delle soluzioni più avanzate di protezione offerte da tutti i maggiori vendor di sicurezza.
Definire una whitelist di applicazioni affidabili da adottare in azienda.
Implementare soluzioni di Sandboxing. Si tratta di meccanismi orientati all’esecuzione delle applicazioni in uno spazio limitato. Solitamente forniscono un ristretto e controllato set di risorse al software che deve essere testato, come un’area ristretta di memoria o un insieme di chiamate di sistema limitate. Normalmente procedono disabilitando o comunque restringendo l’accesso alla rete, la possibilità di ispezionare il sistema ospite o leggere dai dispositivi di input. Data la capacità di fornire un ambiente estremamente controllato, le sandbox possono essere viste come uno esempio specifico di virtualizzazione, solitamente utilizzata per eseguire programmi non testati o non attendibili, non verificati o provenienti da terze parti non riconosciute, senza rischiare di infettare il dispositivo dove viene eseguita l’applicazione.
Quando possibile, limitare l’uso di plugin dei browser web. Se non è possibile, utilizzare plug-in sempre aggiornati. I plug-in (quali Java, Silverlight , Adobe Flash Player…) non aggiornati, contenenti vulnerabilità non corrette, costituiscono una via di attacco privilegiata per la maggior parte degli attacchi informatici.
Porre attenzione nel cliccare su banner o pop up in siti non noti. L’installazione di ransomware attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in viene chiamata drive by download⁶.
Operare regolarmente il backup dei dati in un luogo distinto e sicuro. Si tratta dell’estrema ratio se venissimo colpiti da ransomware nonostante l’applicazione delle linee guida esposte in precedenza. Se non avremo un backup dei dati per assicurarci il disaster recovery, potremo solo pagare il riscatto nella speranza di recuperare i nostri dati.

¹Abbreviazione di malicious software, ossia software dannoso. Nel mondo della sicurezza informatica, indica un qualsiasi programma utilizzato per disturbare le operazioni svolte da un utente di un computer. Il termine venne coniato nel 1990 da Yisrael Radai.

² In inglese ransom.

³ Un Trojan o Trojan Horse (in italiano cavallo di Troia) indica un tipo di malware che nasconde il suo funzionamento all’interno di un altro programma apparentemente innocuo. L’utente, eseguendo o installando quest’ultimo programma, attiva inconsapevolmente anche il codice del trojan nascosto.

⁴ Acronimo di The Onion Router. Si tratta di un software libero basato sulla licenza BSD che permette una comunicazione anonima su Internet basata sul protocollo di rete di onion routing. Tramite TOR è molto più difficile tracciare l’attività Internet di un utente essendo l’onion routing finalizzato a proteggere la privacy degli utenti, la loro libertà e la possibilità di condurre delle comunicazioni confidenziali senza che vengano monitorate o intercettate.

⁵ Il dark web è la terminologia che si usa per definire i contenuti del World Wide Web nelle darknet che si raggiungono via Internet attraverso specifici software, configurazioni e accessi autorizzativi. Il dark web è una piccola parte del deep web, la parte di web che non è indicizzata da motori di ricerca, sebbene talvolta il termine deep web venga usato erroneamente per riferirsi al solo dark web.

⁶ Si intende per drive by download l’installazione di software malevolo eseguita attraverso pagine Web appositamente realizzate per sfruttare le vulnerabilità dei browser o dei loro plug-in.