Ransomware: prevenire e combattere gli attacchi grazie al disaster recovery

La tecnologia e l’innovazione digitale non si fermano. E nei prossimi anni si evolveranno a un ritmo ancora più veloce. La chiave per evitare che questa accelerazione diventi un problema è prendere subito delle misure di sicurezza per non essere colti di sorpresa dagli attacchi ransomware.

Adottare strategie di disaster recovery (DR) permette all’azienda di essere meno soggetta alle minacce informatiche, poiché preparata a prevenirle e combatterle, con un ingente risparmio di tempo e soldi. 

In questo articolo vediamo cosa si intende per ransomware, conosceremo alcuni di questi attacchi e capiremo come prevenire e combattere situazioni di emergenza.

Attacchi ransomware: di cosa si tratta

Con il termine ransomware si intende un insieme di malware in grado di criptare file con una chiave crittografica talmente avanzata, da non poter essere decifrata e attaccata.

Una volta installata, questa tipologia di virus blocca tutti i file a cui può accedere l’utente e, al tentativo di apertura di uno di questi presente nel sistema, compare una schermata o un banner con la richiesta di riscatto per recuperare i dati decriptati. Da qui il termine ransomware, ransom in italiano significa riscatto.

 

Il ransomware è una delle maggiori minacce alla sicurezza informatica che le aziende devono affrontare. Un recente report di Cybersecurity Ventures prevede che entro il 2031 questi attacchi colpiranno un’azienda, un cliente o un dispositivo ogni due secondi, costando circa 265 miliardi di dollari all’anno.

I cyber-attacchi sono sempre più frequenti. Man mano che le aziende continuano a digitalizzare i loro servizi e le interazioni con i clienti, diventano bersaglio di hacker, di data breach e di appropriazione indebita di informazioni sensibili in cambio di riscatto. 

L’implementazione di un piano di disaster recovery è il primo importante passo verso la protezione, è anche necessario capire come prevenire e combattere gli attacchi ransomware, e, soprattutto, come intervenire quando vengono rubati gli accessi aziendali.

Come proteggersi dal ransomware: 4 modi per prevenire gli attacchi

Come proteggere i dati da attacchi ransomware

 

 Fortunatamente, ci sono diverse misure che si possono adottare per proteggere l’azienda dagli attacchi informatici. Quindi, cosa fare a seguito di un attacco ransomware riuscito?

Ecco alcune regole di base da adottare:

  • Affidarsi a professionisti con esperienza specializzati in attacchi informatici, in grado di proteggere efficacemente i sistemi dalle minacce esterne e di integrare servizi evoluti di backup e disaster recovery. Mai pagare il riscatto.
  • A proposito di backup: fare sempre copie recenti di file importanti. Il backup dei dati aziendali deve essere pianificato secondo il principio di ridondanza: 3 copie per ogni dato da conservare, di cui 1 in remoto – magari su cloud virtuale privato – e le altre 2 su archivi differenti, per evitare che l’infezione si propaghi in tutto il sistema aziendale. Il backup non deve essere accessibile dalla rete per avere copie protette per il ripristino.
  • Identificare e circoscrivere il ransomware all’interno dell’area interessata per salvaguardare e proteggere i sistemi aziendali non ancora colpiti. Riferire, poi, immediatamente alle autorità di competenza per contrastare l’attacco.
  • Educare la popolazione aziendale alla prevenzione di attacchi informatici. Le migliori accortezze per evitare ransomware sono: l’inserimento dell’autenticazione a due fattori (2FA) che consiste nell’utilizzo di due metodi di autenticazione differenti, come per esempio l’inserimento di una password e la scansione dell’impronta digitale; i password manager, programmi e app che archiviano in modo sicuro e crittografato le credenziali di accesso in un database virtuale, accessibile tramite una chiave; aggiornamenti costanti di antivirus e sistemi operativi.

Quali sono i principali attacchi ransomware e come combatterli grazie al Disaster Recovery

Come si manifesta un ransomware sul pc? Un ransomware può colpire qualunque dispositivo e chiunque; può apparire sotto forma di allegato, di e-mail da parte di un collega, nell’auto-play di dispositivi USB, nei banner e finestre pop-up e, soprattutto oggi che lo smart working e il lavoro da remoto sono così frequenti, attivarsi attraverso il Remote Desktop Protocol.

Un click che al primo sguardo sembra inoffensivo può nascondere pericolosi attacchi che si insinuano nei sistemi e si installano rapidamente, fino ad accedere ai dati. E se il dispositivo infetto è collegato a strumenti di collaborazione in cloud, può diventare la miccia per la diffusione nell’intera rete aziendale.

Il Disaster Recovery è un’efficace linea di difesa da un attacco ransomware, poiché permette di non perdere informazioni e dati sensibili, di mantenere la continuità operativa e la tutela della privacy. 

Molte aziende si rendono conto dell’importanza di un piano di ripristino di emergenza quando è ormai troppo tardi. E questo non dovrebbe accadere, perché ci sono differenti tipi di ransomware, e ogni attacco ha un suo funzionamento.

Ransomware as a service

 riscatto da ransomware

Il Ransomware as a service – RaaS si presenta come un modello di business per cybercriminali dalle competenze tecniche limitate, poiché permette di condurre attacchi informatici con un codice sviluppato e distribuito da terzi, sotto forma di abbonamento o servizio.

Quindi, chi non ha competenze tecniche necessarie per creare un malware può affiliarsi a queste organizzazioni criminali, acquistando il servizio e distribuendolo senza correre troppi rischi.

Un esempio di Raas è quello messo in atto dal gruppo Hive Ransomware per attaccare Ferrovie dello Stato. La società è stata vittima di un cyber attacco che ha causato il blocco nella vendita di titoli di viaggio sia nelle biglietterie fisiche, sia nei self service.

L’infezione è stata causata da un trojan Cryptolocker, malware diffuso attraverso uno degli account di posta elettronica degli amministratori di FS che ha criptato i dati e dato il via alla richiesta di riscatto. E non è questa la cosa peggiore; in questi casi il rischio maggiore che si corre è la possibilità che i virus accedano ai dati personali degli utenti.

Spoofing: il ransomware che inganna

Lo spoofing è una minaccia per ingannare gli utenti o la rete con l’obiettivo ultimo di estorcere dati sensibili. Si serve di diverse tecniche di attacco, e spesso si inserisce nei processi comunicativi aziendali.

Lo spoofing, infatti, può avvenire 

  • via e-mail attraverso l’invio di allegati con formati sospetti o da indirizzi sconosciuti. La prima cosa da fare in questi casi è verificare la provenienza, non aprire i messaggi e scansionarli con un antivirus, controllare il testo del messaggio, il senso e l’eventuale presenza di errori grammaticali.
  • attraverso pagine web. Controllare se l’indirizzo sul quale si naviga abbia il protocollo https e che sia contrassegnato, nella barra di ricerca, dall’icona di lucchetto grigio o verde.
  • via telefono attraverso la ricezione di messaggi che invitano a effettuare azioni, quali visitare un sito o cliccare su di un link. In questi casi, verificare l’attendibilità del mittente con una ricerca del numero sul motore di ricerca è la prima cosa da fare.

Smishing, il messaggio di testo come porta di accesso

Nonostante gli SMS siano poco utilizzati, per le aziende continuano a essere un mezzo per raggiungere i clienti. Però, allo stesso tempo, l’utilizzo dei messaggi di testo sta portando alla crescita di fenomeni come lo Smishing (termine che deriva proprio da SMS – “SMiShing”), una forma di phishing che utilizza gli smartphone per raccogliere informazioni personali e dati sensibili come il codice fiscale, le credenziali o i numeri delle carte di credito.

Anche in questi casi è bene verificare l’attendibilità del mittente del messaggio e del link contenuto in esso.

Un recap di consigli per prevenire attacchi ransomware

Didascalia: Proteggere il computer e gli accessi aziendali dell’intera popolazione aziendale aiuta a prevenire i ransomware e altre tipologie di attacchi informatici.]

Un attacco ransomware è una delle emergenze informatiche più stressanti e frustranti per qualsiasi azienda. I consigli nei punti di seguito possono servire come check-list per avere un’azienda più protetta.

  1. Avere almeno 3 copie di backup dei dati e delle informazioni aziendali in 3 luoghi diversi, on-site e off-site.
  2. Attivare i sistemi antispam ovunque possibile.
  3. Verificare l’attendibilità del mittente nelle comunicazioni (via telefono, via e-mail e via sms) ogni qual volta risulta qualcosa di strano.
  4. Predisporre l’autenticazione a due o più fattori per l’accesso agli account digitali di tutti i membri in azienda.
  5. Dotare di password manager i dispositivi dei dipendenti.
  6. Pianificare una strategia di disaster recovery, immediatamente (pensa che ancora circa il 73% delle aziende italiane non ha un piano di disaster recovery).

Oltre agli attacchi informatici, qui puoi conoscere quali sono gli altri possibili scenari di Disaster Recovery e capire come prevenire situazioni spiacevoli, rafforzare l’infrastruttura IT e approcciare alla cybersicurezza in maniera responsabile da parte dell’intera azienda.