Una delle minacce più diffuse per gli utenti di internet e quindi anche per la produttività aziendale è il ransomware, un tipo di malware che blocca l’accesso a diversi tipi di file e dati e richiede successivamente un riscatto da pagare per rimuovere questa limitazione. Il primo caso di ransomware risale al 2013 con Cryptolocker e nel giro di pochi anni si è evoluto in un enorme numero di varianti che si diffondono tramite messaggi di spam e kit di exploit e cifrano i file con lo scopo di estorcere denaro alle vittime, che siano utenti privati o dipendenti di un’azienda.

Alla fine del 2017 Sophos ha condotto un’indagine tramite un sondaggio a 2.700 responsabili IT per descrivere in maniera accurata la situazione per quanto riguarda ransomware, exploit e machine learning: il 54% degli intervistati è stato colpito da ransomware due volte nel corso della sua attività e il 77% delle aziende colpite utilizzava soluzioni antivirus che sono state aggiornate nel momento dell’attacco. A livello economico è stata calcolata una media di 110 mila € per azienda vittima di attacco.

Nel corso del 2020 gli attacchi ransomware sono triplicati intensificando i problemi di una situazione già difficoltosa, con l’obiettivo di attaccare sanità e istruzione.

PERCHÉ GLI ATTACCHI HANNO UN TASSO DI SUCCESSO ELEVATO?

Tecniche di attacco sofisticate e continua innovazione

• l’avvio e il completamento di un attacco tramite programmi “Exploit as a service” (EaaS) è semplice e non richiede particolari conoscenze tecniche
• trucchi di ingegneria sociale portano la vittima ad installare il ransomware scaricando l’allegato di una mail che si riferisce a quotidiani processi aziendali (invio di preventivi, ordini, ecc)
• l’autore dell’attacco propone poi l’invio di uno strumento di decifratura previa ricezione del pagamento del riscatto, anche se non è sempre detto che la promessa venga mantenuta

Falle nei sistemi di sicurezza delle aziende coinvolte

• l’assenza di una strategia di backup
• la mancata esecuzione di aggiornamenti e patch di sistemi operativi e applicazioni
• utenti impreparati o che non hanno ricevuto una corretta formazione sulla sicurezza oppure utenti con troppe autorizzazioni sulle risorse di rete
• sistemi di sicurezza obsoleti o non configurati correttamente
• amministratori che non hanno le adeguate conoscenze tecniche sulla sicurezza
• conflitti di priorità che portano ad agire comunque per proseguire con un lavoro anche se il metodo utilizzato non è sicuro

Mancanza di tecnologie di prevenzione avanzate

• forme di protezione generiche che vengono superate facilmente dai ransomware che sono invece in costante aggiornamento e una volta cifrati i file si elimina automaticamente per impedire una sua analisi
• assenza di soluzioni mirate a bloccare le tecniche adottate dal ransomware

COME AVVIENE UN ATTACCO RANSOMWARE?

Solitamente l’attacco ransomware ha origine da un allegato malevolo di un’email o dalla navigazione su un sito web compromesso.

Email malevola

Vengono create e inviate mail difficili da distinguere da quelle autentiche, grammaticalmente corrette e con contenuti che sembrano pertinenti all’azienda ricevente e che portano quindi all’apertura dell’allegato in diversi formati (zip, un documento Word o Excel con macro, un file di collegamento) che una volta eseguito permette il download e l’installazione del ransomware sul dispositivo in utilizzo.

Sito web malevolo

Visitando un sito web legittimo che è stato infettato da un kit di exploit – uno degli strumenti utilizzati dai cybercriminali per sfruttare le vulnerabilità note o sconosciute – è possibile essere vittime di un attacco: si visita il sito; si clicca su quello che sembra un normale link oppure ci si passa solamente sopra con il mouse, altre volte basta solo visitare la pagina. Queste poche azioni sono sufficienti ad eseguire il ransomware.

E dopo?

Il ransomware procede poi con l’esecuzione delle sue azioni:

1. Contatta il server di comando e controllo, invia informazioni in merito al dispositivo infettato e scarica una chiave pubblica individuale per il suddetto dispositivo
2. Vengono cifrati su computer locale, dispositivi mobili e tutte le unità di rete accessibili alcuni tipi di file specifici come documenti Office, PDF, documenti CAD, HTML, XML
3. Vengono eliminati i backup automatici del sistema operativo Windows per impedire il recupero dei dati
4. Sul desktop compare quindi un messaggio che richiede un riscatto e spiega come ed entro quando effettuare il pagamento, solitamente in bitcoin
5. Infine, il ransomware si elimina automaticamente per impedire l’analisi e lascia i file cifrati e la richiesta di riscatto.

AFFIDATE A EASYTECH LA VOSTRA CYBERSECURITY!

Per bloccare gli attacchi prima che possano interferire con le vostre attività, occorre implementare misure di sicurezza adeguate. Tra le misure minime di sicurezza ricordiamo: antivirus, firewall e email security.

Antivirus: è la base della protezione per client, server e dispositivi mobili. Necessario non solo durante la navigazione ma anche per proteggere i client da periferiche hardware infette:

PROTEZIONE DEGLI ENDPOINT con Sophos Intercept X, per impedire al ransomware di infiltrarsi nei dispositivi endpoint: la tecnologia cryptoguard blocca il ransomware sul nascere e completa i sistemi di sicurezza già in uso impedendo i tentativi di cifratura non autorizzata, ripristina inoltre i file infettati allo stato pre-modifica senza eliminare nessun dato. Le tecnologie antiexploit impediscono la consegna del ransomware e il deep learning blocca il ransomware prima che abbia la possibilità di eseguirsi. Esaminando le componenti e la struttura dei file, riesce a rilevare la presenza di codici che cercano di modificare il registro di sistema e impedisce l’accesso a pagine web contenenti exploit individuando il codice malevolo.

PROTEZIONE DEI SERVER che contenendo i dati più sensibili delle organizzazioni devono avere la giusta protezione con Intercept X Advanced for Server che include la tecnologia cryptoguard e che con le funzionalità “whitelisting” e “lockdown” permette di autorizzare solo determinate applicazioni e identificano gli elementi che queste possono modificare. Rileva il traffico malevolo e impedisce quindi al ransomware di contattare i server di comando.

Firewall UTM: protegge la rete a livello perimetrale, dividendo la rete interna da quella esterna, filtrando pacchetti dati in ingresso e in uscita e valutandole il contenuto applicativo. Watchguard, di cui siamo partner certificati, offre il portfolio di servizi di sicurezza più completo sul mercato includendo nei suoi firewall UTM i servizi più tradizionali (come IPS, GAV ecc) fino a servizi più evoluti per la protezione dal malware avanzato, dai ransomware e dalla perdita di dati sensibili. Inoltre garantisce visibilità completa sulla rete, consentendo di ottenere un quadro generale della situazione aziendale, restituendo reports aggiornati in tempo reale.

Email security: un antispam evoluto agisce a livello perimetrale e filtra la posta elettronica prima che raggiunga il server di posta, blocca lo spam, integra un servizio di sandbox, esamina link, allegati, contenuti e tutti i parametri che definiscono un messaggio malevolo e veicolo di malware. Per questo motivo scegliamo EASYESVA, un servizio di email completo security che lavora su 14 livelli di sicurezza e che intercetta le email dannose prima che queste raggiungano il server mail; la sua percentuale riconosciuta e confermata di blocco spam è pari al 99,99%. Vanta inoltre una percentuale prossima allo zero di falsi positivi, dà la possibilità di creare black e white list e regole personalizzare per il blocco delle email in arrivo, include un cluster geografico che impedisce che il servizio cada.

Contattateci a commerciale@webeasytech.com per valutare il livello di sicurezza della vostra infrastruttura it.

Credits: SOPHOS