Successivo

HowTo

Ransomware, cosa fare dopo l’infezione

Redazione | 17 Maggio 2017

Pubblichiamo una analisi di Kroll Ontrack su cosa fare dopo essere stati infettati da un ransomware che ha criptato il […]

Pubblichiamo una analisi di Kroll Ontrack su cosa fare dopo essere stati infettati da un ransomware che ha criptato il  Pc e magari molti dei Pc in rete.

Un ransomware è un software maligno che prende in ostaggio i dati memorizzati in un computer cifrandoli. Successivamente, gli hacker contattano i proprietari e chiedono loro di pagare un riscatto per la chiave (key) in grado di decifrare i dati rubati.

Il 2016 eÌ€ stato l’anno dei ricatti tramite ransomware. Trend Micro ha registrato una crescita del 748% nelle sviluppo di nuove famiglie di ransomware che hanno portato per le aziende, a livello mondiale, a perdite stimate in circa 1 miliardo di dollari.

Questo tipo di ricatti non sono nuovi. Nel 1989, il trojan horse “AIDS.exe” fu capace di nascondere i file e di renderli inutilizzabili.

Nel 2013, l’arrivo dei Bitcoin come mezzo di pagamento ha semplificato in qualche modo la vita ai ransomware, poicheÌ€ la circolazione di questo denaro eÌ€ difficilmente tracciabile.

I malware si sono diffusi con l’aiuto di banner e di siti di advertising contaminati. Sono stati utilizzati anche gli allegati di email oltre al buon vecchio metodo della chiavetta USB “perduta” che conteneva un programma maligno in grado di attaccare il computer una volta connessa al PC.

Chi il destinatario di questo tipo di attacchi?

Mentre nel passato la tendenza degli hacker era quella di colpire un grosso numero di individui e vi era una bassa richiesta di riscatti – ora sono le aziende e i vertici delle organizzazioni ad essere il target preferenziale. I CEO sono spiati e colpiti direttamente. Le email sono scritte e costruite in modo tale che il destinatario sia indotto a pensare che esse provengano da una persona ben conosciuta e rispettabile, la maggior parte delle volte all’interno della stessa organizzazione.

Non appena l’allegato viene aperto, la vittima eÌ€ indotta a cliccare un link dal quale hanno inizio una serie di azioni che vengono svolte in background. Il malware viene allora caricato e inizia la propria attivitaÌ€. Da questo momento, i tool piuÌ€ avanzati a disposizione degli hacker sono caricari all’interno del computer infetto e ospitati nel sistema per assicurare che le loro operazioni siano svolte anche se il dispositivo viene immediatamente disconnesso dalla rete.

Ad esempio, alcuni malware si posizionano astutamente nella cartella di autostart mentre altri gestiscono il registro. Sotto-programmi cercano di penetrare la rete aziendale, il successo eÌ€ tanto piuÌ€ elevato quanto piuÌ€ le vittime detengono diritti di accesso superiori al “normale” dipendente. Questo significa che se tali programmi riusciranno con successo ad irrompere nella rete aziendale, le conseguenza saranno realmente drammatiche. Non solo l’organizzazione colpita riceveraÌ€ la richiesta di pagare un riscatto di importo molto elevato per riavere i propri dati ma andraÌ€ incontro anche a perdite economiche dovute al blocco dei sistemi. Fra le organizzazioni piuÌ€ esposte vi sono le strutture sanitarie, le istituzioni finanziarie e le agenzie governative.

I software moderni utilizzati per le azioni di ricatto sono specificatamente progettati per attaccare i media di backup, in questo modo il malware si assicura che anche una eventuale copia di backup non potrà essere utilizzata.

Tutto questo accade nella completa oscurità, nel senso che prima del termine del processo di infezione nessuno può sospettare che vi sia un pericolo imminente: quando tutto è pronto, i dati vengono crittografati e una richiesta di riscatto appare sul video del computer infettato.

L’importo del riscatto richiesto eÌ€ normalmente calcolato sulla base delle informazioni contabili dell’azienda (es. il fatturato) ed eÌ€ spesso un costo a 5 o 6 cifre.

Possiamo tornare in possesso dei dati senza pagare un riscatto?

Kroll Ontrack ha identificato oltre 225 varianti di ransomware e sviluppato un set di soluzioni per il restore dei dati al fine di eliminare il pagamento in caso di attacco. Gli ingegneri di Kroll Ontrack hanno definito dei processi per decifrare oltre 80 di queste varianti con l’obiettivo di limitare il danno causato dai ransomware, essi includono:

  • software e tool per decifrare i dati in “ostaggio”
  • competenze ed esperienze di data recovery per identificare copie non crittografate dei dati e poterne effettuare il restore o la ricostruzione. Se non vi eÌ€ un processo per decifrare le informazioni o un software per decrittare la variante di un ransomware, Kroll Ontrack puoÌ€ ricorrere ai propri tool di recupero dati per individuare copie non crittografate delle informazioni.

Quali passi intraprendere per proteggersi?

Gli utenti e le organizzazioni dovrebbero prendere alcune precauzioni per ridurre il rischio e smorzare gli effetti di un attacco. Seguono alcune indicazioni che è possibile intraprendere:

  • Mai pagare il riscatto poiché i cybercriminali potrebbero non sbloccare i dati. Lo abbiamo giaÌ€ ricordato, ci sono numerosi casi di vittime di ransomware che hanno pagato il riscatto richiesto senza riavere indietro i propri dati. Invece di correre questo rischio, le organizzazioni dovrebbero lavorare congiuntamente con degli esperti di recupero dati che potrebbero essere in grado di ottenere nuovamente l’accesso alle informazioni attraverso il reverse engineering del malware.
  • Creare e seguire un piano di backup e recovery. Assicurarsi che il piano includa la conservazione dei backup offline.
  • Testare regolarmente i backup. Le organizzazioni dovrebbero conoscere cosa eÌ€ memorizzato negli archivi di backup e assicurarsi che i dati piuÌ€ critici siano comunque accessibili dovessero i ransomware mirare proprio ai backup.
  • Implementare policy di sicurezza. Utilizzare i piuÌ€ recenti software anti-virus e anti-malware e effettuare dei monitoraggi per prevenire possibili infezioni.
  • Sviluppare policy IT che limitino le infezioni su altre risorse di rete. Le organizzazioni dovrebbero mettere in piedi delle politiche di protezione, cosiÌ€ se un dispositivo viene infettato da un ransomware esso non saraÌ€ in grado di diffondersi attraverso la rete ad altri device.
  • Effettuare dei training agli utenti, in modo che tutti i dipendenti siano in grado di individuare un potenziale attacco. É necessario essere sicuri che i dipendenti siano a conoscenza delle best practice per evitare accidentalemente di scaricare ransomware o di aprire la rete a degli esterni.