La criminalità informatica in aumento 2018. Come proteggersi dai ransomware: i virus che prendono in ostaggio i tuoi dati.
A pochi mesi dalla conclusione del 2017, dobbiamo ammettere che è stato uno degli anni peggiori in relazione ai ransomware, con attacchi gravi in tutto il mondo.
Non c’è mai stato un anno in cui gli attacchi abbiano causato così tanti problemi in tutto il mondo a un numero così elevato di individui, aziende e organizzazioni governative.
Malwarebytes Labs, un’azienda di data security, afferma nel suo ultimo report che tra il 2015 e il 2017 gli attacchi ransomware sono aumentati del 2000% e gli attacchi dello scorso anno sono stati i peggiori di sempre.
Le due peggiori varianti ransomware che hanno attaccato aziende e organizzazioni nel 2017 nel mondo sono state NotPetya e WannaCry:
l’attacco di WannaCry ha causato seri danni in tutto il mondo a maggio 2017, quando ha infestato presumibilmente 300.000 computer in 150 paesi. Mirava ai sistemi operativi Windows privi di patch o troppo vecchi per esserne provvisti. Il ransomware criptava i dati e richiedeva un riscatto in bitcoin. Un’ulteriore diffusione sarebbe stata fermata solo da una nuova patch Microsoft e dal rilevamento di una funzione kill switch implementata a scopo preventivo. Non è ancora chiaro cosa sia accaduto con la funzione kill switch. WannaCry si basava molto su un exploit rilasciato da Shadow Brokers (che in precedenza aveva attaccato il NSA e reso pubblici i loro exploit 0-day).
Una delle vittime è stata la ferrovia tedesca, che ha riscontrato problemi con i terminali di informazione, che non mostravano più arrivi o partenze, ma solo la schermata WannaCry di richiesta del pagamento in bitcoin.
NotPetya ha iniziato a propagarsi attraverso l’aggiornamento di un software per il business in Ucraina appena un mese dopo, a giugno, e ha infettato centinaia di migliaia di computer in più di 100 paesi in tutto il mondo in una manciata di giorni.
L’impatto finanziario è stato enorme, per esempio l’azienda farmaceutica mondiale Merck ha riscontrato perdite per oltre 300 milioni di dollari solo nel terzo trimestre dell’anno, a causa di questo attacco.
Come fanno i ransomware ad avere un tale “successo”?
Carbon Black, un fornitore di soluzioni software anti-malware, ha pubblicato uno studio lo scorso ottobre in cui segnalava un aumento del 2.500% nelle vendite di software ransomware nei principali dark net market tra il 2016 e il 2017.
Secondo questa ricerca più di 6300 siti stanno attualmente offrendo soluzioni ransomware per perpetrare degli attacchi.
Con così tanti strumenti disponibili nella dark net, non stupisce il fatto che Sophos Labs, un fornitore di software di data security con sede nel Regno Unito, preannunci nelle sue previsioni annuali sulla sicurezza per il 2018 un aumento degli attacchi ransomware.
Essi affermano che “è probabile che Android e Windows continueranno a essere pesantemente attaccati con ransomware e altri malware, considerato il successo che gli hacker hanno riscosso finora”.
Inoltre, secondo l’analista di sicurezza dei dati e provider di software Kaspersky Lab, un numero sempre maggiore di attacchi ransomware avrà come target le aziende. Degli attacchi che sono stati in grado di neutralizzare, il 26,2% era rivolto ad aziende. Si tratta di un aumento del 3,6% rispetto al 2016.
Gli esperti di Kaspersky hanno affermato anche che il 65% delle aziende colpite ha riscontrato una grave perdita di dati o non è stato più in grado di accedere ai propri file.
Anche se Kaspersky non prevede esplicitamente ulteriori attacchi ransomware per quest’anno, i suoi esperti mettono in guardia da attacchi più avanzati ai danni dei dispositivi mobili e segnalano un aumento dei cosiddetti attacchi distruttivi.
Cosa sono gli attacchi distruttivi?
L’anno scorso è comparso un nuovo tipo di ransomware: non si tratta effettivamente di un vero ransomware, ma è più uno strumento di distruzione. Il ransomware ExPetr/NonPetya è comparso alla fine dell’anno scorso come un ransomware, ma in effetti mirava a cancellare completamente i dati della vittima. Kaspersky ritiene che quest’anno si verificheranno altri attacchi di questo genere. E dato che ovviamente gli hacker non scelgono specificatamente delle vittime, chiunque è in pericolo e può essere colpito da un ransomware così radicale. (Potete approfondire questo argomento in un altro articolo che sarà presto pubblicato.)
Come proteggersi con efficacia da ransomware, malware e altri virus?
Ci sono molti aspetti da considerare nella lotta contro i ransomware. Dato che, come già evidenziato in precedenza, sono in circolazione molte tipologie diverse di questi virus, tenete a mente questi tre importanti suggerimenti e agite di conseguenza:
La sicurezza e-mail è fondamentale! Secondo Sophos e altri esperti “l’e-mail resterà il vettore di attacco primario per le minacce alla sicurezza informatica aziendale, in particolare nel caso di attacchi mirati”.
Pertanto, mettere in sicurezza questo principale fattore di vulnerabilità è essenziale per chiunque gestisca una rete o sia collegato a Internet.
Importante: La maggior parte degli attacchi ransomware viene perpetrata tramite un normale messaggio di posta elettronica con un allegato infetto, come un documento, una foto, un’animazione, un video o qualsiasi altro file.
Non sono necessarie conoscenze approfondite per inserire un pezzo di malware in un file. In molti casi sono disponibili numerosi articoli esplicativi o video su youtube che mostrano come nascondere il codice, quindi oggigiorno potrebbe farlo anche un bambino.
Tenendo presente questa considerazione, NON BISOGNA ASSOLUTAMENTE aprire un allegato e-mail proveniente da un mittente sconosciuto! Se siete sicuri che questa e-mail non è indirizzata a voi, cancellatela immediatamente!!! Inoltre, informate immediatamente il responsabile della sicurezza dei dati della vostra azienda.
Se non siete sicuri, non apritelo fino a che non avrete telefonato o contattato in altra maniera il mittente, per verificare la sua identità. Ricordate che, anche nel caso vi stiate sbagliando, la protezione e l’integrità del vostro IT aziendale rappresentano sempre la scelta giusta.
Rendete sicuri la rete e l’ambiente IT! Che un singolo computer venga criptato da un ransomware è sicuramente un brutto inconveniente, ma quando un ransomware si diffonde su tutta la rete può diventare non solo un incubo per il reparto IT, ma anche un pericolo per l’intero business!
Le società che non lo hanno ancora fatto, dovrebbero prendere in considerazione l’implementazione di una soluzione software per la sicurezza dei dati che sia specificatamente ideata per verificare tutte le e-mail in entrata, prima che siano consegnate dal server exchange al destinatario. Con una soluzione del genere, si riduce drasticamente il rischio che un virus si diffonda all’interno di una rete aziendale.
Inoltre, gli amministratori IT e i manager dovrebbero prendere in considerazione l’implementazione di un altro software per la sicurezza della rete, che controlli automaticamente la rete e i suoi file. Tale soluzione invierebbe un allarme nel caso un ransomware dovesse cercare di criptare grandi quantità di file sulla rete.
Queste soluzioni verificano anche in maniera frequente il traffico in uscita, pertanto se il ransomware cerca di collegarsi al loro server esterno per avviare il processo di crittografia, la procedura potrebbe essere interrotta in uno stadio piuttosto precoce.
E infine: aggiornate sempre il vostro software e i sistemi operativi con le ultime patch non appena sono disponibili. Come abbiamo spesso sottolineato, gli hacker hanno successo quando la vittima presenta delle falle nella propria sicurezza!
Rendete smart i vostri dipendenti! Abbiamo già parlato in precedenza nel nostro blog di ransomware e malware, ma ci siamo accorti che nel caso di un attacco con crittografia anche l’utente di computer più esperto va in panico. Pertanto OGNI dipendente in un’azienda dovrebbe sapere esattamente cosa fare, in caso di attacco.
Un attacco ransomware dovrebbe non solo essere contemplato da un piano di continuità aziendale per i livelli di gestione più elevati o per gli esperti IT, ma i suggerimenti precisi su cosa fare, se colpiti, dovrebbero essere scritti su un foglio di carta appeso sul muro di ogni ufficio. Suggerimenti semplici, come per esempio…
- scollegarsi da Internet e dalla rete interna
- cercare di spegnere in maniera appropriata il dispositivo
- chiamare immediatamente la sicurezza IT/l’amministratore IT
… saranno a disposizione in pochi secondi semplicemente guardando il muro. E possono essere letti ogni singolo giorno.
In particolare lo staff della sicurezza IT e l’amministrazione dovrebbero essere sempre informati al meglio in merito agli sviluppi più recenti nel campo della sicurezza informatica e degli attacchi hacker.
Leggere le ultime notizie del blog e restare aggiornati in merito ai nuovi sviluppi in questo settore, alle soluzioni per la rete o ai software, dovrebbe quindi essere una necessità per questi dipendenti. (tenere al sicuro l’azienda è ciò per cui sono pagati, sapete, quindi niente scuse per favore…)
E se, nonostante tutto questo, i dati vengono comunque colpiti da un ransomware?
Se per una regione o per l’altra, un ransomware riesce a penetrare nelle vostre linee di difesa e i dati vengono criptati, dovete fare quanto segue:
Mai pagare il riscatto! Non lo diciamo perché ci viene detto dagli organi di polizia, ma per il semplice fatto che non avrete una garanzia certa di ottenere da questi criminali una chiave per decriptare i vostri dati.
In molti casi, e di sicuro se siete stati colpiti da un ranscam o da un wiper, non riavrete indietro i vostri dati, ma perderete anche una certa somma di denaro.
Non cercate di decriptare da soli i vostri dati se non siete esperti. Per alcune versioni più vecchie ci sono strumenti per la decrittografia già disponibili in Internet. Alcuni specialisti di computer possono recuperare i propri dati, ma occorre avere una certa esperienza. Inoltre, è rischioso, se qualcosa va storto potreste distruggere i vostri dati per sempre.
È preferibile contattare un professionista del recupero dati come RecuperaDati, perché ha a disposizione tutti gli strumenti necessari per salvare i vostri dati quando è possibile. Inoltre, quando si tratta di un caso semplice, non ci vuole molto tempo ed è quindi più conveniente, piuttosto che perdere i dati una seconda volta.
Come possono essere d’aiuto gli esperti di recupero dati in un caso di ransomware?
Dal punto di vista degli specialisti di data recovery, i casi di ransomware sono diversi uno dall’altro. Non solo c’è una grande differenza nel modo in cui le varianti dei ransomware attualmente disponibili criptano i dati e si diffondono nella rete e nei dispositivi tecnologici, ma anche nei loro obiettivi, ad esempio il computer o l’ambiente di rete.
Se agisce con successo e se la vittima paga il riscatto, per l’hacker è irrilevante il tipo di sistema criptato dal ransomware. Per il professionista di recupero dati invece non lo è. Alcuni sistemi e strutture dati sono più impegnativi e necessitano di più tempo rispetto ad altri. E il tempo significa denaro, in particolare nel data recovery. Pertanto fate attenzione agli attacchi ransomware nel 2018, altrimenti ne pagherete il prezzo in ogni caso.
Considerati tutti gli attacchi verificatisi nel 2017, i ransomware saranno molto probabilmente una minaccia seria sia per i privati che per le aziende anche nel 2018! Indipendentemente dal fatto che l’hacker voglia ottenere denaro da questo “business” o intenda distruggere infrastrutture o organizzazioni, questi criminali troveranno delle falle nella vostra rete, nel sistema operativo o nei processi di protezione dei dati.
Pertanto, la migliore difesa è quella di avere implementato un’adeguata procedura di backup per poter rendere di nuovo operativa la propria infrastruttura nel più breve tempo possibile.
Quindi è assolutamente necessario archiviare i backup dei dati di business critici su dispositivi di archiviazione esterni che non sono collegati alla rete e possono essere utilizzati in qualsiasi momento.
Nel caso il vostro backup non funzionasse o fosse infettato da un virus ransomware, è consigliabile contattare un fornitore professionista di servizi di recupero dati, come RecuperaDati, che sia in grado di recuperare i backup criptati dal ransomware o non funzionanti.
Da oltre 20 anni RecuperaDati si occupa di recupero dati da tutte le principali soluzioni di backup oltre che da soluzioni storage infettate da ransomware.
Negli ultimi anni gli specialisti hanno raccolto il know-how e sviluppato nuovi strumenti in grado di decriptare attualmente 225 diversi tipi di ransomware e recuperare i dati. Inoltre, sviluppiamo costantemente nuovi tool e metodologie per i tipi di ransomware più avanzati e di recente creazione.
Pertanto, se siete colpiti da un attacco ransomware, la cosa migliore da fare è quella di spegnere il sistema e contattare immediatamente RecuperaDati. Gli esperti vi daranno il consiglio migliore su come recuperare i vostri preziosi dati per il vostro caso specifico.
RICHIEDI UN PREVENTIVO GRATUITO