0
Ransomware: cos’è, come si prende e come rimuoverlo

Ransomware: cos’è, come si prende e come rimuoverlo

By 15 Novembre 2021Febbraio 2nd, 2022Cyber Security

Cos’è un ransomware

I ransomware sono virus informatici che rendono inaccessibili i file dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli. Vediamo tutto ciò che bisogna sapere per prevenire e difendersi.

Con la parola ransomware viene indicata una classe di malware che rende inaccessibili i dati dei computer infettati e chiede il pagamento di un riscatto, in inglese ransom, per ripristinarli. Tecnicamente sono trojan horse crittografici e hanno come unico scopo l’estorsione di denaro (in genere il riscatto viene richiesto in criptovaluta – Bitcoin- ma non solo), attraverso un “sequestro di file”, attraverso la cifratura che, in pratica, li rende inutilizzabili.

Come fare a pagare il riscatto? Dietro all’industria del ransomware non ci sono semplici hacker, ma vere e proprie organizzazioni criminali che hanno raggiunto un alto livello di efficienza ed organizzazione: quindi, dopo averci criptato tutti i file, faranno comparire nel computer attaccato una schermata dove vengono date dettagliate istruzioni.

Come si prende un ransomware

  1. I vettori d’infezione utilizzati dai ransomware sono sostanzialmente i medesimi usati per gli altri tipi di attacchi malware:
  2. Il più diffuso, perché purtroppo continua a funzionare molto bene, sono le email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 75% dei ransomware.
  3. Attraverso la navigazione su siti compromessi: il cosiddetto “drive-by download” (letteralmente: scaricamento all’insaputa) da siti nei quali sono stati introdotti, da parte di attaccanti che sono riusciti a violare il sito o che hanno realizzato appositamente siti fake simili ad altri più noti, exploit kit che sfruttano vulnerabilità dei browser, di Adobe Flash Player, Java o altri.
  4. Usando un supporto rimovibile, per esempio una chiavetta USB contenente il software malevolo. Questa tecnica si chiama “baiting” (esca) e – così come le email di phishing – fa leva sul fattore umano e sulla curiosità delle persone.
  5. All’interno (in bundle) di altri software che vengono scaricati: per esempio programmi gratuiti che ci promettono di “crackare” software costosi (spesso anche videogiochi) per utilizzarli senza pagare.
  6. Attacchi attraverso il desktop remoto (RDP: Remote Desktop Protocol)
  7. Attraverso lo sfruttamento di vulnerabilità dei Sistemi Operativi.

Come proteggersi dai ransomware: tre punti chiave

  • La miglior protezione è la prevenzione. Il primo passo da fare è aggiornare sempre sia il nostro antivirus che il sistema operativo. Ancora meglio implementare sistemi di protezione e rilevamento avanzati (IDS, IPS, EDR).
  • Vitale è anche il backup dei dati, cioè copie funzionanti e recenti (non è così scontato, purtroppo) dei propri file. Il backup dei dati aziendali deve essere un’attività pianificata secondo la “security by design” e non può essere affidata alla “buona volontà” di un operatore. Dovrà prevedere sempre la “ridondanza”: non una sola copia di backup, ma almeno tre copie secondo la basilare regola 3-2-1. In pratica: tre copie di ogni dato che si vuole conservare, di cui due copie “onsite” ma su storage differenti (HD, NAS, Cloud ecc.)  e una copia “off-site” (in sito remoto) su Cloud, nastri e via dicendo. In questo modo, se il ransomware dovesse infettare il sistema, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza.Altrettanto importante è la protezione del backup, che deve essere isolato e non accessibile da un qualsiasi utente collegato in rete. Abbiamo casi di backup non protetto sul quale il Ransomware è riuscito ad accedere ed a criptare i dati. A quel punto la vittima si trova alla mercé dell’attaccante.
  • Se si viene attaccati, le buone pratiche dicono che non bisogna mai pagare il riscatto. Ma rivolgersi a un’azienda che si occupa di sicurezza informatica. Ecco un approfondimento però sulle valutazioni da fare se pagare o no in caso di attacco ransowmare.

Cosa fare se siamo stati colpiti da un ransomware

In questa malaugurata ipotesi (ma potrebbe sempre accadere), le opzioni sono sostanzialmente quattro:

  1. Ripristinare i file da un backup (la soluzione migliore, l’unica che dovrebbe prendere in considerazione un’azienda ben organizzata).
  2. Cercare un “decryptor” in rete per decriptare i file (funziona solo in alcuni casi).
  3. Non fare nulla e perdere i propri dati.
  4. Pagare il Riscatto (“Ransom”).

Per ulteriori dettagli non esitate a chiamare la  divisione CyberSecurity di AZINFORMATICA … contattateci per farvi 4 chiacchiere in sicurezza per la vostra sicurezza!