Ransomware: come difendersi da attacchi mirati ed evitare riscatti onerosi

Sempre più aziende, anche di piccole dimensioni, fanno ricorso ai servizi cloud per meglio amministrare molti aspetti dell’attività imprenditoriale. Lo sfruttamento di server remoti, risorse di archiviazione, database e software condivisi offre la possibilità di maggior flessibilità e riduce notevolmente i costi di gestione. Il rovescio della medaglia è l’esposizione a cyber attacchi che prendono di mira proprio i servizi cloud. I ransomware sono uno dei metodi maggiormente sfruttati per mettere in ginocchio i sistemi informatici e ricattare le vittime: una minaccia che ogni anno causa gravi danni economici e impone un’attenta strategia di cyber security.

Indice:

Cos’è e come funziona un ransomware

Cyber criminali con obiettivi sempre più specifici

Perché vengono presi di mira i servizi di cloud?

Come mettersi al riparo dai ransomware

Come comportarsi in caso di attacco?

Cos’è e come funziona un ransomware

Il ransomware altro non è che una particolare tipologia di malware con la finalità di infettare un dispositivo e renderlo inutilizzabile. Per ripristinare le funzionalità il cyber criminale richiede il pagamento di un riscatto (ransom in inglese) e una volta ricevuto il denaro dovrebbe provvedere a sbloccare il sistema. Il metodo di diffusione è del tutto simile a quello di un comune trojan, penetrando attraverso una vulnerabilità della rete e sfruttando un comportamento poco attento della vittima come, per esempio, l’apertura di una mail o di un file infetto.

Sebbene questa minaccia sia salita agli onori della cronaca nel 2013 grazie alla complessiva estorsione di circa 3 milioni di dollari causati dal worm CryptoLocker, si tratta di un meccanismo nato nel lontano 1989. Il merito, se così possiamo definirlo, va al biologo Joseph Popp che sviluppò il noto trojan AIDS. Tuttavia all’inizio le richieste di riscatto riguardavano solo singoli cittadini e somme piuttosto contenute (l’esborso ammontava a 189 dollari per sbloccare il sistema), tanto che molte vittime si rifiutavano di pagare. Col passare del tempo gli hacker hanno alzato il tiro prendendo di mira sistemi informatici aziendali, impiegando schemi di criptazione molto sofisticati e sfruttando la nascita e sviluppo della piattaforma di valuta virtuale Bitcoin per incassare il riscatto mantenendo il totale anonimato.

Cyber criminali con obiettivi sempre più specifici

I primi attacchi tramite ransomware erano lanciati senza avere particolari obiettivi: colpivano in modo indiscriminato sia l’ignaro anziano che il manager o dirigente d’azienda. Oggi la storia è completamente cambiata e non si tratta più di singoli hacker ma di vere e proprie organizzazioni criminali dedite all’estorsione di ingenti somme di denaro. Se un cittadino scopre di avere il PC di casa o lo smartphone bloccato, dopo l’iniziale arrabbiatura probabilmente deciderà di non cedere al ricatto. Il discorso è ben più complesso per aziende che all’improvviso si ritrovano col sistema informatico compromesso e tutte le immaginabili conseguenze.

Lo sfruttamento di servizi remoti come l’archiviazione dati, offre ulteriori opportunità di attacco. Della grande vulnerabilità di sistemi che condividono risorse in rete ne sono ben cosci i cyber criminali ed è un’occasione che di certo non si lasciano sfuggire, anzi consente loro di massimizzare gli introiti illeciti. Gli attacchi sono progettati per colpire obbiettivi sempre più specifici, focalizzandosi su realtà imprenditoriali e settori di mercato che permettono la richiesta di grossi riscatti e alta probabilità di successo.

Perché vengono presi di mira i servizi di cloud?

Secondo gli esperti di cyber security la via è ormai tracciata e vede gli hacker creare ransomware utilizzando tecniche sempre più raffinate per prendere di mira un preciso obiettivo: le risorse cloud. Se ti stai chiedendo il perché di tale scelta, le motivazioni sono piuttosto semplici da intuire. I servizi di cloud hanno avuto un grande sviluppo solo negli ultimi anni, coinvolgendo sempre con maggior frequenza anche realtà di piccole e medie dimensioni.

Fino a poco tempo fa molte aziende operavano tranquillamente senza impiegare alcun servizio di cloud. In campo informatico sai bene come i cambiamenti siano repentini, tanto che oggi le parole d’ordine sono condivisione delle risorse e virtualizzazione degli ambienti informatici per facilitare e migliorare l’esecuzione di molte operazioni quotidiane. Soluzioni che facilitano il lavoro degli amministratori di sistema e permette una sensibile riduzione dei costi, evitando l’acquisto di nuovo hardware e limitando la manutenzione della rete informatica.

Se da una parte tutto questo rende un’azienda più efficiente e competitiva, dall’altra la violazione di una risorsa remota può limitare la funzionalità del sistema informatico e delle attività collegate. Ciò rappresenta un grande vantaggio per i cyber criminali: avranno la possibilità di attaccare un singolo server fisico per interrompere il flusso dati di moltissime aziende che condividono e sfruttano proprio tale dispositivo.

Come mettersi al riparo dai ransomware

Arrivato a questo punto e compresi i danni che può provocare un cyber attacco tramite ransomware, ti starai chiedendo quali contromisure adottare per evitare gravi ripercussioni. Quando si parla di cyber security il concetto di fondamentale importanza è la prevenzione. Secondo i dati forniti da McAfee, nel primo trimestre del 2019 gli attacchi provocati da ransomware sono cresciuti del 118%, sfruttando le molte vulnerabilità presenti nelle infrastrutture IT delle aziende.

Un errore che non devi assolutamente commettere è pensare di essere al sicuro, soprattutto quando utilizzi servizi di cloud offerti da provider. Tali soggetti dovrebbero garantirti adeguate protezioni ma, il più delle volte, risultano insufficienti e facilmente violabili. Il primo consiglio è affidarti a società con grande esperienza nel settore come Data Storage Security, in modo da avere la garanzia di adeguata sicurezza della memorizzazione e distribuzione dei dati aziendali.

Per ridurre al minimo l’esposizione al rischio di attacco e opporre efficaci difese, due strumenti fondamentali sono la Business Continuity e il Disaster Recovery. Rappresentano soluzioni spesso confuse tra loro, ma in realtà si integrano per offrire a professionisti e imprenditori la continuità aziendale in caso di attacco informatico o altri gravi eventi. In particolare la Business Continuity è la strategia generale studiata per mantenere attive le funzioni di base qualora si manifestasse una minaccia, mentre il Disaster Recovery sono un insieme di misure tecnologiche e organizzative atte a consentire l’erogazione di specifiche attività, sempre in presenza di un attacco, assicurando così la continuità operativa.

Ricorda che il vettore principale per un cyber attacco rimane l’e-mail, pertanto è il primo aspetto da verificare e mettere in totale sicurezza. In tal senso non dimenticare di istruire i tuoi collaboratori in modo che possano riconoscere la posta elettronica sospetta, evitando così di aprire documenti, file o anche una semplice foto contenente il malware. Pur sembrando una banalità, è opportuno non aprire mai una mail proveniente da mittente sconosciuto: ancora oggi rappresenta l’errore commesso con maggior frequenza.

Come comportarsi in caso di attacco?

Se nonostante tutte le raccomandazioni e attenzioni sei comunque vittima di un ransomware, ti consiglio di seguire questi semplici comportamenti:

disconnetti immediatamente il sistema dalla rete in modo da limitare il più possibile la propagazione della contaminazione. Lascia accessi e non riavviare i PC, altrimenti potresti perdere utili informazioni per scoprire il tipo di ransomware;

evita l’immediato pagamento del riscatto: purtroppo versare la cifra richiesta non ti assicura il ripristino del sistema o di tornare in possesso dei dati. Se decidi di pagare, oltre al danno economico, subirai con buona probabilità la beffa di perdere ogni informazione;

chiedi aiuto ad esperti: pur avendo competenze in materia, evita di tentare da solo il ripristino dati. Anche se disponi di back-up automatici si tratta di operazioni delicate ed è opportuno lasciare che siano professionisti di comprovata esperienza a decrittografare i documenti bloccati.