Sul fronte della sicurezza informatica, del ciclone Wannacry e della battaglia ai ransomware, conoscere il più possibile le strategie del nemico e mettere in campo le giuste azioni di difesa permette di non farsi trovare impreparati al momento opportuno. Può capitare, però, che un attacco vada comunque a buon fine: per questo, oltre ad analizzare le strategie utili a individuare le minacce prima che entrino in azione, è sempre bene avere un piano per saper gestire un attacco in corso e per contenerlo in modo che non si diffonda nel sistema.
Secondo gli esperti, aziende e privati non sono ancora adeguatamente consapevoli delle contromisure tecnologiche che possono essere messe in atto per prevenire l’infezione e il blocco dei file. Non analizzare la situazione e non aggiornarsi significa permettere ai criminali informatici di farla franca anche quando potrebbero essere tranquillamente fermati.
Crypto-ransomware e ransomware-as-a-service
Un trend evidenziato da Symantec nel report Ransomware and Businesses 2016 è quello del passaggio sempre più massiccio verso i crypto-ransomware, considerata la tipologia di minaccia più efficace. Quando si ha a che fare con un crypto-ransomware, infatti, rimuovere il malware non significa risolvere il problema. I file rimarranno inaccessibili fino al pagamento del riscatto. Dello stesso avviso sono anche gli analisti di Kaspersky Lab, secondo i quali i malware che criptano i dati sensibili e richiedono un riscatto per il loro rilascio rappresentano attualmente una delle peggiori minacce per la sicurezza IT delle aziende. All’inizio dello scorso anno, soprattutto, la società ha registrato un picco significativo nella diffusione di questa minaccia: nel database aziendale sono presenti ben 15mila modifiche di ransomware e il numero è in costante crescita.
Gli esperti segnalano inoltre come trend particolarmente minaccioso quello del ransomware-as-a-service, con cui i cybercriminali pagano una tassa per la propagazione di malware o promettono una percentuale del riscatto pagato dall’utente infetto, rendendo più facile che mai perpetrare questo tipo di attacco. Ma non è tutto! Gli analisti sottolineano anche la presenza di servizi che funzionano viceversa: offrono un tool completo di strumenti al crittografo, il quale si assume la responsabilità di distribuire il Trojan e prende il 10% del riscatto come commissione.
Dove (e chi) colpiscono i ransomware?
Secondo i dati raccolti da Symantec, gli Stati Uniti continuano ad essere la regione più colpita da ransomware, con oltre un quarto di tutte le infezioni registrate tra gennaio 2015 e aprile 2016. Seguono Canada (16%), Australia (11%) e India (9%). Anche le nazioni dell’Europa occidentale – come l’Italia (4%), il Regno Unito (3%), la Germania e i Paesi Bassi (entrambi al 2%) – risultano abbastanza alte nella classifica dei Paesi più colpiti. Tra i primi dieci anche il Giappone (4%) e la Malesia (2%). Le statistiche indicano che, ovviamente, gli hacker preferiscono concentrarsi in gran parte su nazioni sviluppate e ricche.
Sembra che i consumatori siano le vittime più colpite dai ransomware: nel periodo preso in esame, infatti, su questa categoria si è abbattuto il 57% di tutte le infezioni. Gli esperti spiegano questo dato considerando il livello meno robusto di sicurezza che contraddistingue le attività in rete dei privati, rispetto a quello tipico delle aziende. Se infatti non vi è alcuna prova che suggerisce che gli aggressori preferiscano concentrarsi maggiormente sui consumatori, è invece evidente che le aziende siano più consapevoli del pericolo rappresentato dai ransomware.
Nonostante ciò, le imprese non sono di certo immuni da attacchi. Gli analisti hanno rilevato che, tra i vari settori, quello dei servizi sembra essere il più colpito dai ransomware, con il 38% dei computer infetti. A seguire il comparto manifatturiero (con il 17% delle infezioni), Finanza e assicurazioni, Pubblica Amministrazione (entrambi al 10%), commercio all’ingrosso (9%), Trasporti, Comunicazioni e Utility (tutte con il 7%), GDO e Costruzioni (entrambi con il 4%), comparto minerario e il settore della pesca e dell’agricoltura (ognuno con l’1% di infezioni). Non è ancora del tutto chiaro perché alcuni settori siano più colpiti di altri. Secondo gli esperti, una spiegazione plausibile è data dal fatto che le imprese caratterizzate da un livello più elevato di integrazione con diversi servizi internet tendono ad avere una maggiore esposizione ai rischi. Aspetto che spiegherebbe l’alta percentuale di attacchi al settore dei servizi.
Come colpiscono i ransomware?
Il rapporto Enterprise Phishing Susceptibility and Resiliency Report ha messo in luce che, durante tutto il 2016, il 91% dei cyber-attacchi e delle relative sottrazioni di dati ha avuto origine da una e-mail di phishing. Le campagne di phishing, secondo l’analisi, sono aumentate del 55%, gli attacchi ransomware del 400% e le perdite dovute alla compromissione di indirizzi e-mail aziendali sono aumentate del 1300%. Alcuni tipi di ransomware, inoltre, sono risultati più prevalenti e distruttivi: i peggiori sembrano essere quelli il cui contenuto è di tipo Locky (ovvero diffuso attraverso le macro di Word) , seguiti da quelli che si presentano sotto forma di conferme d’ordine, ricezioni di domande di lavoro, e-mail vuote, spedizione di nuove carte di credito, fotografie, avvisi relativi a ipotetici comportamenti fraudolenti, cambi prenotazione, report sulla sicurezza e avvisi da parte del tribunale.
Cinque passi per aumentare il livello di sicurezza
Gli attacchi ransomware non solo diventano più comuni, stanno anche diventando sempre più creativi. Tipologie come SamSam, per esempio, non si diffondono attraverso attacchi di phishing o download su singole unità, ma sono progettati per attaccare i server e diffondersi così velocemente lungo tutta la rete aziendale interna, crittografando i file archiviati sui computer ad essa collegati. E questo è solo un esempio tra i tanti pericoli altamente complessi che mirano quotidianamente a colpire le attività e le risorse aziendali. Considerando tutti questi motivi, risulta evidente l’importanza di una corretta strategia di protezione. Cosa fare dunque, concretamente, per difendere l’azienda dai ransomware? Un gruppo di esperti, nella guida Root Out Ransomware, ha evidenziato cinque step essenziali da compiere per aumentare il livello di sicurezza IT. Vediamo quali sono:
#1 Sapere… di non sapere: un serio professionista non dovrebbe temere di ammettere che molte delle cose che accadono in rete possano essergli sconosciute. Tenere tutto sotto controllo è praticamente impossibile: sistemi, applicazioni, utenti e informazioni varie costituiscono un gruppo di risorse spesso sconosciuti, non garantiti e, pertanto, a rischio di ransomware. Quello che invece deve esserci necessariamente, secondo gli esperti, è un piano ben definito per migliorare la sicurezza e ottimizzare le operazioni.
#2 Chiedere (e ottenere) il supporto da parte di management e utenti: prima che i responsabili della sicurezza possano prendere qualsiasi decisione, devono avere la certezza di poter contare sul supporto concreto e continuo da parte del personale, sia da un punto di vista operativo che finanziario.
#3 Implementare le tecnologie più adatte o modificare la configurazione esistente: il cuore di una forte difesa contro qualsiasi tipo di malware è rappresentato da uno schieramento tecnologico ben progettato e correttamente implementato. Per poter resistere a un’infezione ransomware, una rete deve necessariamente avere alcune caratteristiche ben precise. Innanzi tutto, occorre avere il massimo controllo sulle attività di patching. Questo aspetto rappresenta una questione spinosa per molte realtà, soprattutto con le patch di terze parti per i prodotti Java e Adobe. Gli hacker lo sanno. E ne approfittano. Se gli aggiornamenti software non vengono distribuiti tempestivamente, qualsiasi azienda rimane sempre un bersaglio facile. In seconda battuta, gli esperti raccomandano di puntare su un’efficace protezione malware che esuli dalle soluzioni più tradizionali: meglio considerare anche antivirus non-signature o cloud-based, servizi di whitelisting e tecnologie di monitoraggio e blocco di rete. È assodato: fare il backup dei dati è una prassi fondamentale. Forse ripeterlo può sembrare superfluo, ma gli esperti raccomandano di strutturare bene questa attività per ridurre al minimo l’impatto che il ransomware potrebbe avere se riuscisse a crittografare le risorse critiche. Anche la segmentazione di rete gioca un ruolo importante nella protezione IT, ma spesso non è implementata correttamente: basterebbe che un utente interno indovinasse lo schema di indirizzamento IP, fanno notare gli esperti, e le LAN virtuali – la tecnica di segmentazione più comune – non risulterebbero più sicure. Infine, anche le pratiche di Security Assessment possono aiutare a proteggere le reti aziendali: se i responsabili della sicurezza esaminassero la propria rete interna da internet tenendo bene in mente la questione malware, troverebbero sicuramente una serie di debolezze che porgono il fianco alle minacce di infezione da ransomware. Gli esperti consigliano di documentare questi risultati e presentarli alla direzione per ricevere il supporto necessario.
#4 Monitorare e rispondere: la maggior parte delle imprese ha un programma di monitoring e incident response e i team di sicurezza devono fare ciò che deve essere fatto. Ovvero monitorare server, workstation e reti in cerca di eventuali anomalie. E, nel caso di pericolo, agire rapidamente per rispondere con efficacia ed evitare il danno.
#5 Migliorare con un approccio olistico: gli esperti fanno notare come spesso in azienda vada per la maggiore il pensiero secondo cui le varie attività che orbitano intorno alla security siano questioni da affrontare una tantum. Basta investite tot, distribuite qui, implementare lì, valutare questo, controllare quello e tutto il resto verrà da sé. Ma non è affatto così. I team di IT e sicurezza sono costantemente sotto pressione, in lotta contro il tempo e contro una serie di progetti che rischiano di accavallarsi prima di essere portati a termine. È quindi importante trovare un modo per oliare questo meccanismo. Che si tratti di rivedere la gestione del tempo, di cambiare determinati processi o assumere più dipendenti è fondamentale ottimizzare le attività e migliorare la situazione operativa. Le soluzioni di sicurezza anti ransomware, ricordano gli esperti, non possono essere né solo endpoint-centriche, né network-centriche: devono invece seguire un approccio olistico. Sono tanti gli elementi – diversi e sparsi per tutta l’organizzazione – che concorrono a costruire efficaci barriere di sicurezza. E ogni singolo utente in azienda deve fare la propria parte per mantenere salda questa barricata anti ransomware.