Il ransomware è senza dubbio una delle più grandi minacce informatiche che colpiscono le organizzazioni di tutto il mondo oggi.
Gli hacker hanno cambiato le loro tattiche e, anziché prendere di mira i consumatori di tutti i giorni, vanno a caccia di denaro e concentrano la loro attenzione sulle aziende, dove il ritorno sugli investimenti è molto più elevato.
Gli attacchi ransomware contro le aziende sono aumentati del363% nell'ultimo anno e, secondo il rapporto Security Round Up di Trend Micro, nel 2019 sono stati rilevati oltre 61 milioni di attacchi ransomware.
I settori più frequentemente presi di mira sono le amministrazioni locali, le istituzioni accademiche, il settore tecnologico, la sanità, l'industria manifatturiera, i servizi finanziari e le aziende del settore dei media. Tuttavia, ogni settore e azienda è un potenziale bersaglio e dovrebbe adottare tutte le misure necessarie per prevenire un attacco.
Purtroppo, molte organizzazioni non prendono abbastanza sul serio questa minaccia e solo quando si trovano a subire un attacco ransomware paralizzante investono tempo e risorse per migliorare le proprie difese di sicurezza informatica. A questo punto, spesso è troppo tardi perché il danno è già fatto.
Cos'è il Ransomware?
Il ransomware è un tipo di malware che impedisce agli utenti di accedere al proprio sistema crittografando i file e richiedendo il pagamento di un riscatto per sbloccare il sistema. Il pagamento del riscatto viene solitamente richiesto in Bitcoin o in altre criptovalute difficili da rintracciare. I criminali informatici di solito assegnano una scadenza per il pagamento del riscatto e, se la scadenza passa, il pagamento del riscatto viene raddoppiato o i file bloccati in modo permanente.
Alcune varianti di ransomware sono progettate per diffondersi rapidamente ad altre macchine su una rete. Questo è esattamente quello che è successo nell'attacco WannaCry del 2017, quando il ransomware ha criptato centinaia di migliaia di computer in più di 150 paesi. Nel giro di poche ore, il ransomware ha seminato il caos in tutto il mondo, portando un terzo dei trust del NHS del Regno Unito a un arresto virtuale.
Come si prende un Ransomware?
Esistono diversi modi in cui il ransomware può infettare il computer. Il modo più comune è attraverso le e-mail di phishing che contengono link o allegati dannosi. Le e-mail sembrano provenire da una fonte affidabile e, una volta cliccato il link o aperto l'allegato, il malware si installa nel sistema e inizia a crittografare i file.
Il ransomware può anche essere consegnato attraverso la compromissione di Remote Desktop Connection, siti web dannosi, dispositivi multimediali rimovibili infetti e persino app di messaggistica dei social media.
Cosa fare in caso di un attacco Ransomware
1. Isolare le macchine infette
Quando il ransomware colpisce, la velocità è essenziale. Se sospetti che il tuo computer sia stato infettato, dovresti immediatamente disconnetterlo dalla rete scollegando il cavo ethernet e disabilitando il Wi-Fi, il Bluetooth e qualsiasi altra funzionalità di rete. Il ransomware si diffonde attraverso la connessione di rete, quindi se è possibile isolare la macchina infetta, si eviterà che si diffonda e infetti altri dispositivi in rete. Se sospettate che più di una macchina sia stata compromessa, applicate le stesse misure.
2. Informa il tuo team di sicurezza IT
Il tuo team IT dovrebbe essere immediatamente avvisato in modo da poter contenere la diffusione del ransomware e mettere in atto le procedure corrette per affrontare l'attacco. È qui che entra in gioco un piano di risposta agli incidenti. Il piano aiuterà a garantire che l'incidente sia gestito correttamente, che tutte le prove siano raccolte, registrate e conservate, e che la situazione sia gestita nel modo più rapido ed efficiente possibile. Fornire una cronologia dettagliata della violazione aiuterà a identificare qualsiasi debolezza nelle procedure e a migliorare le difese di sicurezza in futuro.
3. Identificare il tipo di ransomware
Se siete in grado di identificare il tipo di ransomware che viene utilizzato nell'attacco, vi aiuterà a capire come si diffonde, quali tipi di file cripta e come può essere rimosso. Ci sono molti ceppi diversi di ransomware, ma i due più comuni sono il ransomware che blocca lo schermo e il ransomware che cripta. Il primo è il più facile da risolvere e, nonostante il blocco dell'intero sistema, i file saranno al sicuro fino al pagamento di un riscatto. Il secondo è molto più difficile da recuperare. Invece di negare l'accesso all'utente, trova tutti i dati sensibili, li cripta, poi richiede un pagamento per decifrare e ripristinare i dati.
4. Informare i dipendenti
Dovreste immediatamente informare i vostri dipendenti che c'è stata una violazione, spiegare cosa significa per l'azienda e delineare i passi che prenderete per mitigare l'incidente. Sia che i loro computer siano stati direttamente infettati o meno, è probabile che ci sia qualche centro operativo mentre le indagini sull'incidente hanno luogo. I dipendenti saranno naturalmente preoccupati per l'impatto che l'attacco avrà sul loro lavoro, quindi è importante essere trasparenti e tenerli pienamente informati sull'evoluzione della situazione.
5. Cambiare le credenziali di accesso
Il ransomware può diffondersi rapidamente raccogliendo indirizzi IP e credenziali. Se gli hacker riescono a compromettere le credenziali amministrative, possono muoversi lateralmente nelle reti, criptare i file e cancellare i backup nel processo. Per garantire che il vostro sistema sia protetto e per evitare che gli hacker vanifichino i vostri sforzi di recupero, dovreste cambiare immediatamente tutte le credenziali di amministratore e utente.
6. Scattare una foto della nota di riscatto
Se possibile, dovresti scattare una foto della richiesta di riscatto con il tuo cellulare. Questo può essere usato come prova quando si segnala l'incidente alla polizia. Questa prova è necessaria se si sta presentando una richiesta di assicurazione informatica e la foto può anche fornire ulteriori informazioni sul metodo di attacco.
7. Avvisare le autorità
È importante informare la polizia se siete stati attaccati, in modo che possano indagare completamente sull'incidente e aiutare a prevenire che altre aziende subiscano la stessa sorte. Se la vostra organizzazione gestisce dati che appartengono a cittadini all'interno dell'UE, siete legalmente obbligati dal GDPR a informare l'ICO entro 72 ore dal verificarsi di una violazione. In caso contrario, si potrebbe incorrere in multe fino al 4% del fatturato globale annuo o 20 milioni di euro (a seconda del valore maggiore).
8. Mai pagare il riscatto
La National Crime Agency consiglia vivamente alle organizzazioni di non effettuare il pagamento di un riscatto in quanto ciò incoraggia i criminali informatici a lanciare ulteriori attacchi e il circolo vizioso continua. Se scegliete di pagare un riscatto, non c'è alcuna garanzia che riavrete mai i vostri file, e se non altro, aumenta le possibilità di essere presi di mira di nuovo in futuro.
9. Aggiornare i sistemi di sicurezza
Dopo che l'incidente è finito, è necessario eseguire un controllo di sicurezza e aggiornare tutti i sistemi. Gli aggiornamenti devono essere installati non appena diventano disponibili per evitare che gli hacker sfruttino le vulnerabilità delle vecchie versioni del software. Un patching regolare assicurerà che le macchine siano aggiornate, stabili e al sicuro dal malware.
10. Recuperare dai backup
La chiave per un rapido recupero da un attacco ransomware è assicurarsi di avere backup aggiornati dei file importanti. La regola del 3-2-1 è un approccio di best practice per il backup e il ripristino. Seguendo questa regola, dovresti avere 3 copie dei tuoi dati in due diversi formati di archiviazione - con almeno una copia situata fuori sede. Questo vi permetterà di recuperare rapidamente i vostri dati senza essere ricattati per il pagamento di un riscatto.
Come prevenire gli attacchi ransomware
- I dipendenti dovrebbero ricevere regolarmente una formazione sulla consapevolezza della sicurezza informatica per educarli sulle minacce informatiche in evoluzione e su come individuare le prime fasi di un attacco.
- Backup dei dati su base regolare.
- Limitare i permessi degli utenti per installare ed eseguire applicazioni software. Questo può limitare la capacità del malware di diffondersi in una rete.
- Aggiornare regolarmente il software e assicurarsi che le patch siano installate non appena diventano disponibili.
- Installare un software anti-virus su tutti i dispositivi.
- Scansiona tutte le e-mail in entrata e in uscita per rilevare le minacce.
- Segui le buone pratiche di sicurezza per minimizzare il rischio di infezione - Evita di cliccare su link o scaricare allegati da fonti sconosciute.
- Configurare i firewall per bloccare l'accesso agli indirizzi IP dannosi.
- Crea password forti e abilita l'autenticazione a più fattori per una maggiore sicurezza degli account.
Il phishing è la causa numero uno di tutti gli attacchi informatici e continua a dimostrarsi uno dei modi più semplici per rubare dati preziosi e fornire ransomware. MetaPhish è stato creato per fornire una potente difesa contro queste minacce e permette alle organizzazioni di scoprire quanto la loro azienda sia suscettibile al phishing. Contattaci per ulteriori informazioni su come MetaPhish può essere utilizzato per proteggere la tua azienda.
