Come prevenire gli attacchi ransomware

La prevenzione del ransomware dovrebbe essere una priorità per tutti, sia per le persone che per le aziende. Senza una solida difesa contro questa minaccia, gli utenti e le organizzazioni corrono il rischio di perdere informazioni importanti e riservate.

Secondo i recenti rapporti, nel 2021 c’è stato un attacco ransomware ogni 11 secondi, causando danni per quasi 20 miliardi di euro. Queste estorsioni sono numericamente in crescita e mirano spesso a individui o aziende che hanno una maggiore probabilità di pagare la somma richiesta per recuperare i propri dati.

Per molte aziende, i dati rappresentano il loro bene più prezioso. La perdita di questi dati potrebbe comportare conseguenze irreparabili e, potenzialmente, interrompere il funzionamento dell’intera organizzazione. Ecco perché è così importante essere proattivi nell’adottare le migliori pratiche di protezione contro il ransomware, prima che eventuali minacce possano causare danni.

Cos’è il ransomware?

Il ransomware è un tipo avanzato di malware che può colpire un computer e bloccare l’accesso ai dati sensibili o alle informazioni personali, finché non viene pagato un riscatto. I criminali informatici spesso usano una chiave di crittografia, per impedire l’accesso ai dati e così estorcere denaro alle vittime.

Gli attacchi ransomware possono essere particolarmente dannosi per aziende, ospedali, scuole o altre organizzazioni che dipendono dai dati per operare quotidianamente. In molti casi, il rifiuto di pagare il riscatto può comportare la perdita permanente dei dati o la loro esposizione.

I modi più comuni in cui le persone sono esposte al ransomware sono:

• Phishing tramite e-mail
• Visita a siti web compromessi (drive-by downloading)
• Scaricamento di file o allegati infetti o dannosi
• Vulnerabilità del sistema e della rete
• Attacchi tramite il protocollo Remote Desktop (RDP)

Quanti tipi di ransomware esistono?

Gli attacchi ransomware non risparmiano nessuno, dalle persone comuni ai grandi business. Questo tipo di malware può bloccare sia singoli file, come documenti o immagini, che interi database, causando gravi violazioni dei dati o rendendo pubbliche informazioni sensibili. Esistono quattro categorie principali di ransomware: encryption, che rende i dati inaccessibili senza una chiave di decrittazione; lockers, che impediscono l’utilizzo del computer fino al pagamento del riscatto; scareware, che induce gli utenti all’acquisto di software inutile e doxware/leakware, che minaccia di rendere pubbliche informazioni personali o aziendali a meno che il riscatto non sia pagato.

Recentemente si sta diffondendo il modello wiper, che cancella del tutto le informazioni.

I metodi per prevenire e difendersi

La prevenzione è la chiave per proteggersi dal ransomware. Adottando pratiche di sicurezza informatica rigorose e rimanendo informati sulle ultime minacce e tecnologie di protezione, si può minimizzare il rischio di subire un attacco ransomware. È importante essere proattivi e adottare misure preventive per garantire la sicurezza dei dati e delle informazioni personali. Vediamone alcune:

Effettuare copie di sicurezza dei dati

Un modo semplice per ridurre i rischi è fare un backup dei dati su un disco rigido esterno o su un server cloud. In caso di un attacco ransomware, si può ripulire il computer e ripristinare i file tramite la copia di backup. E’ raccomandata l’esecuzione del backup dei dati più importanti almeno una volta al giorno.

La regola del 3-2-1 è un metodo di conservazione diffuso. Consiste nel mantenere 3 copie separate dei dati su 2 tipi diversi di archiviazione e una copia offline. E’ migliorativo avere anche una copia ulteriore su un server di archiviazione in cloud, immutabile ed indelebile.

Mantenere i sistemi e i software sempre aggiornati

Per garantire la sicurezza contro malware, virus e ransomware, è fondamentale tenere il sistema operativo, il browser web, l’antivirus e qualunque altro software che si utilizzi, all’ultima versione disponibile. Questo perché le minacce informatiche stanno costantemente evolvendosi con nuove varianti capaci di aggirare le vecchie funzioni di sicurezza. E’ opportuno verificare regolarmente che tutti i sistemi siano aggiornati.

Le aziende che non mantengono i propri sistemi e il software costantemente aggiornati sono particolarmente vulnerabili a questo tipo di attacchi. Un esempio famoso di questo è stato l’attacco ransomware WannaCry del 2017, che ha colpito aziende di tutto il mondo, inclusi ospedali, società di telecomunicazioni e fornitori di chip, interrompendo le loro operazioni per diversi giorni. In totale, più di 230.000 computer in tutto il mondo sono stati interessati.

Proteggere il sistema con software antivirus e firewall

La protezione del sistema informatico con software antivirus e firewall è fondamentale per prevenire gli attacchi. Il software antivirus rileva e blocca minacce interne, mentre il firewall filtra e impedisce l’ingresso di pacchetti di dati sospetti da fonti esterne. E’ importante mantenere il software sempre aggiornato per evitare nuove varianti di malware.

Occorre prestare attenzione anche a eventuali falsi avvisi di rilevamento di virus, spesso trasmessi tramite e-mail o pop-up di siti web, e possono ingannare l’utente, inducendolo a cliccare su un link pericoloso. E’ bene verificare sempre direttamente tramite il software antivirus prima di cliccare su eventuali collegamenti.

La segmentazione della rete è una pratica importante per prevenire la diffusione del ransomware. Essa consiste nel dividere la rete in sottoreti più piccole, al fine di limitare i danni in caso di attacco. Ciascuna sottorete dovrebbe avere i propri sistemi di sicurezza, firewall e accesso limitato, per impedire al ransomware di raggiungere i dati sensibili. La segmentazione della rete non solo evita la diffusione al resto della rete, ma fornisce anche più tempo al team di sicurezza per identificare e rimuovere la minaccia.

Per proteggerci dalle minacce via e-mail, è importante seguire alcune pratiche di sicurezza. Gli allegati e-mail sospetti o i link che portano a siti web infetti sono spesso la principale via di infezione del ransomware. Per migliorare le difese è opportuno:

• Verificare l’identità del mittente: prima di aprire un allegato o un link, verificare che il mittente sia affidabile.
• Mantenere il software aggiornato: mantenere il software antivirus e anti-malware sempre aggiornato può aiutare a rilevare eventuali minacce.
• Formare gli utenti: sensibilizzando in merito alle minacce informatiche, incluso il phishing.
• Implementare filtri antispam: può aiutare a bloccare eventuali e-mail sospette prima che raggiungano le caselle di posta.

Inoltre, è importante essere sempre vigili e non farsi ingannare da truffe di phishing o da richieste di informazioni sensibili. La prevenzione e la formazione degli utenti sono due dei pilastri essenziali tra i metodi di contrasto più efficaci.

Per proteggere la posta elettronica da eventuali minacce, oltre all’utilizzo di un software antivirus, è possibile adottare altre precauzioni:

• Non aprire e-mail da mittenti sconosciuti: evitare di cliccare su allegati, file o link da indirizzi sconosciuti o fonti non autorizzate.
• Mantenere le app di posta elettronica sempre aggiornate: non lasciare che i criminali informatici sfruttino le vulnerabilità di sicurezza causate da tecnologie obsolete.
• Utilizzare Sender Policy Framework (SPF): una tecnica di autenticazione della posta elettronica che designa specifici server di posta elettronica da cui è possibile inviare messaggi.
• Implementare DomainKeys Identified Mail (DKIM), fornisce una chiave di crittografia e una firma digitale per verificare che un’e-mail non sia stata falsificata, alterata o modificata.
• Validare i messaggi con Domain Message Authentication Reporting & Conformance (DMARC): ulteriore autenticazione delle e-mail con combinazione dei protocolli SPF e DKIM.

Il concetto di Whitelisting consiste nella definizione di quali applicazioni sono autorizzate ad essere scaricate e utilizzate all’interno di una rete. Qualsiasi programma o sito web non incluso in questa lista verrà bloccato o limitato per prevenire il download accidentale di software potenzialmente infetto o la navigazione su siti web dannosi. Utilizzando strumenti di Whitelisting come Windows AppLocker, è anche possibile definire una blacklist di programmi e siti web specifici da bloccare.

La sicurezza degli endpoint è fondamentale per le imprese in crescita. Con l’aumento del numero di utenti finali, c’è un aumento del numero di endpoint, come laptop, smartphone e server, che devono essere protetti. Questi endpoint remoti rappresentano una minaccia potenziale per la sicurezza delle informazioni e della rete principale. Sia che si lavori da casa o in una grande azienda, è importante installare tecnologie di protezione degli endpoint o Endpoint Detection and Response (EDR) per tutti gli utenti della rete. Questi sistemi consentono agli amministratori di monitorare e gestire la sicurezza di ogni dispositivo remoto. L’EDR è una soluzione più avanzata rispetto alla protezione da virus, poiché si concentra sulla risposta immediata alle minacce e sulla prevenzione dei loro effetti dannosi.

Gli strumenti di sicurezza presenti negli EDR comprendono:

• Antivirus e protezione contro i malware
• Crittografia dei dati sensibili
• Prevenzione delle perdite di informazioni
• Rilevamento delle intrusioni non autorizzate
• Sicurezza per il browser web
• Sicurezza per dispositivi desktop e mobili
• Valutazioni della rete per i team di sicurezza
• Avvisi e notifiche in tempo reale per la privacy.

Restrizione dei privilegi di accesso degli utenti

Per rafforzare le difese, è importante limitare l’accesso e le autorizzazioni degli utenti solo alle informazioni essenziali per le loro attività. La teoria del privilegio minimo limita chi ha accesso ai dati importanti, prevenendo la diffusione del ransomware all’interno dell’azienda. Gli utenti possono avere funzioni o risorse limitate, definite da una politica di controllo degli accessi basata sui ruoli (RBAC).

Il concetto di privilegio minimo richiede solitamente un approccio di zero-trust, che parte dal presupposto che non ci si possa fidare di utenti interni ed esterni e che richiede la verifica dell’identità per ogni livello di accesso. Questa verifica comporta, in genere, l’utilizzo dell’autenticazione a due fattori (2FA) o multi-fattore (MFA) per impedire l’accesso non autorizzato ai dati sensibili in caso di violazione.

Sottoporre regolarmente il sistema a test di sicurezza

Il miglioramento della sicurezza non è mai un processo concluso. Con l’evoluzione delle minacce informatiche, le aziende devono condurre regolari test e valutazioni della sicurezza informatica per mantenere la loro protezione sempre al passo con i tempi. È importante che le aziende effettuino periodicamente le seguenti attività:

• revisione dei privilegi degli utenti e dei punti di accesso
• individuazione di eventuali nuove vulnerabilità del sistema
• creazione di nuove procedure di sicurezza

Un test sandbox è una tecnica utilizzata comunemente per verificare il codice maligno rispetto al software attuale in un ambiente separato, per determinare se i protocolli di sicurezza sono adeguati.

Formazione sulla sicurezza informatica

Poiché le persone rappresentano la porta d’ingresso più comune per gli attacchi informatici, uno dei più importanti programmi di formazione che un’azienda può fornire, riguarda la consapevolezza della sicurezza. Le tecniche di phishing e di social engineering possono sfruttare facilmente gli utenti inesperti e mal preparati. Averne una conoscenza di base può notevolmente influenzare e persino prevenire gli attacchi alla radice.

Tra le procedure di base di formazione sulla sicurezza da fornire vi sono:

• Navigazione sicura in rete
• Creazione di password forti e sicure
• Utilizzo di reti private virtuali sicure, evitando Wi-Fi pubblici
• Riconoscimento di e-mail o allegati sospetti
• Aggiornamento continuo dei sistemi e del software
• Formazione sulla privacy
• Disponibilità di un canale di segnalazione per attività sospette.

Come reagire ad un attacco ransomware

Prepararsi per un attacco ransomware è fondamentale, nonostante le misure di sicurezza implementate. Il piano di sicurezza deve prevedere le azioni appropriate da intraprendere in caso di un attacco o infezione. Le organizzazioni devono stabilire, in anticipo, una chiara linea di comunicazione e risposta alle emergenze per far sì che tutti gli utenti sappiano come agire in caso di attacco. Suggeriamo alcune azioni da intraprendere immediatamente in caso di attacco ransomware:

• Evitare di pagare il riscatto: gli esperti in sicurezza e le autorità consigliano di non pagare il riscatto poiché questo alimenta solo l’attività criminale degli aggressori. Non c’è garanzia che gli attaccanti forniranno una chiave di decrittazione funzionante e, anche in questo caso, i dati possono essere danneggiati in modo permanente. È importante disporre sempre di un backup dei dati.
• Isolare i sistemi infetti: per impedire ulteriori violazioni, è necessario disconnettere immediatamente il dispositivo dalla rete e da tutta la connettività wireless (Wi-Fi, Bluetooth). L’isolamento può limitare la diffusione dell’infezione nella rete.
• Individuare la fonte: Identificare l’origine del malware può aiutare a scoprire il punto di entrata del ransomware. Queste informazioni possono essere utili per migliorare le pratiche di sicurezza e la formazione del Personale.
• Segnalare l’attacco alle autorità: l’attacco con ransomware è un reato che deve essere segnalato alle autorità per ulteriori investigazioni. Inoltre, le forze dell’ordine possono avere accesso a strumenti di recupero più avanzati e software non disponibili per la maggior parte delle organizzazioni, che possono aiutare a recuperare dati rubati o compromessi e a catturare i responsabili.

Per proteggere la rete da attacchi, è fondamentale prepararsi in anticipo e agire senza attendere che il ransomware colpisca. E’ bene adottare adeguati strumenti di difesa, tra quelli citati. Essere preparati a fronteggiare l’eventualità, costituisce sempre un vantaggio.