RANSOMWARE: Come difendersi dai Ransomware: la prevenzione e le best practices da adottare

Nel nostro precedente articolo abbiamo illustrato quali sono le tecniche d’attacco più recenti e sofisticate utilizzate dai Ransomware, che oggi rappresentano la minaccia più forte e frequente per le aziende di tutto il mondo.
Come abbiamo spiegato, i ransomware sono diventati nel 2020 il 67% di tutti i malware e nel 2021 si stima che ci sarà un attacco ransomware alle aziende nel mondo ogni 11 secondi.

Le misure di “cyber hygiene”

Questo tipo di attacco sta avendo un grande successo, perché risulta estremamente redditizio per chi lo realizza. Ed essendo condotto da remoto, i rischi di essere scoperti e puniti sono estremamente bassi per i cybercriminali.

Tuttavia i ransomware non presentano modalità peculiari per colpire: come abbiamo spiegato nell’articolo citato, le modalità con le quali un attacco ransomware riesce a penetrare nei nostri computer sono sostanzialmente le stesse di molti altri tipi di attacchi.

Quindi le misure di protezione e prevenzione che dovremmo adottare per non subire un ransomware sono le stesse per difenderci da qualsiasi tipo di attacco informatico.

Per molte di esse, possiamo parlare di norme di “cyber hygiene”, azioni che dovrebbero entrare nei nostri comportamenti abituali. Anche perché queste attenzioni ci proteggono non solo dai ransomware, ma da qualsiasi tipo di cyber attacco.

Come proteggersi dai ransomware: la prevenzione

Molte delle misure di protezione preventiva che andremo a consigliare potranno apparire persino elementari e scontate.
Ma non sottovalutiamole: nella maggioranza dei casi il ransomware riesce a penetrare nei nostri sistemi informatici sfruttando un errore umano, talvolta anche banale.

Il vettore d’attacco più diffuso, perché purtroppo funziona ed è facile da realizzare per il cyber criminale, è rappresentato ancora oggi dalle email di phishing: attraverso questa tecnica, che sfrutta il social engineering (ingegneria sociale) vengono veicolati oltre il 50% dei ransomware.

Vediamo quindi come proteggerci dagli attacchi ransomware.

» Non facciamo prendere dal “click compulsivo”: in generale è sempre opportuno dedicare qualche secondo per esaminare l’email che abbiamo ricevuto, quasi sempre le email di phishing hanno qualcosa di strano ed anomalo e ce ne potremo accorgere se solo avremo la pazienza di osservare l’email prima di compiere azioni, che potrebbero risultare pericolose.
» Non aprire mai gli allegati di email di dubbia provenienza. Nel dubbio, se riceviamo un’email sospetta, è consigliabile chiedere al mittente se quella email è autentica!
» Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati hackerati secondo una modalità di falsificazione del mittente nota come “spoofing ”).
» Abilitare l’opzione “Mostra estensioni nomi file” nelle impostazioni di Windows: i file più pericolosi hanno l’estensione .exe, .zip, js, jar, scr, ecc. Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file e potremmo essere più facilmente tratti in inganno.
» Disabilitare la riproduzione automatica (“autorun”) di chiavette USB ed altri supporti rimovibili e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza. Questa modalità di attacco si chiama “Baiting”: consiste nell’utilizzare un’esca per una persona in grado di accedere ad un determinato sistema informatico (una sorta di cavallo di Troia). In pratica viene lasciato incustodito in un luogo comune (ingresso dell’azienda, mensa, parcheggio) un supporto di memorizzazione come una chiavetta USB o un hard disk contenenti malware che si attiveranno appena l’oggetto sarà collegato al computer. E la curiosità umana fa sì che in molti casi questa esca funzioni e la persona inserisca la chiavetta sconosciuta nel proprio computer. Come abbiamo raccontato nell’articolo https://flashstart.com/it/cybersecurity-in-ambito-industriale-iot-industry-4-0/#lattacco-stuxnet-nella-centrale-di-iraniana-di-natanz-2010  con una chiavetta USB sono riusciti a far saltare una centrale nucleare in Iran! È il celebre attacco Stuxnet nella centrale di iraniana di Natanz (2010).
Oggi tale minaccia è diventata reale, per questo in alcune aziende vengono stabiliti policy molto restrittive, con la disabilitazione delle porte USB dei computer in dotazione agli utenti. In questo modo la porta USB potrà essere utilizzata per collegare un mouse, ricaricare uno smarphone, ma non sarà in grado di trasmettere e ricevere dati. In altri casi – più frequenti – non si arriva a questo tipo di restrizione (che gli utenti faticano ad accettare e comprendere…). È sempre e comunque opportuno formare gli utenti sull’uso attento dei supporti rimovibili, rendendoli consapevoli dei rischi che comportano.

» Disabilitare l’esecuzione di macro da parte di componenti Office (Word, Excel, PowerPoint). Gli allegati Office armati con macro malevola rappresentano oggi una delle tecniche d’attacco più diffusa. L’abilitazione delle macro consentirà alla macro attivarsi automaticamente, attivando il processo di infezione del ransomware.
» Fare sempre attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri. Come abbiamo già spiegato, i ransomware ci possono colpire non solo attraverso il phishing, ma anche visitando siti che sia stati “infettati”, con la modalità definita “drive-by download”.
» Aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare sempre e subito le “patch” (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati. Un browser aggiornato è più sicuro e rappresenta esso stesso una protezione, in particolare dall’attacco “drive-by download” (letteralmente: scaricamento all’insaputa), conosciuto anche come “watering hole” (l’abbeveratoio) che si verifica attraverso la navigazione su siti compromessi.
» Assicurarsi che i plugin che si utilizzano (Java, ecc.) siano sempre aggiornati. Questi plugin – è noto – rappresentano una via d’ingresso preferenziale per la maggior parte dei cyber attacchi. Averli sempre aggiornati riduce le vulnerabilità di cui sono affetti (anche se non le elimina completamente).
» Utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi di amministratore, l’attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni. Viceversa, un utente non-amministratore ha privilegi limitati e le stesse limitazioni si trasferiranno in mano all’attaccante. Questo rappresenta il basilare “principio del Minimo Privilegio”, che qualunque azienda dovrebbe adottare sistematicamente con i propri utenti.
» Poiché le email di phishing rappresentano il vettore d’attacco più frequente, è importante installare sistemi Antispam efficaci ed evoluti, che implementino i protocolli SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance). Non riusciranno a bloccare tutte le email di phishing, ma i migliori riescono a raggiungere un’efficienza, comunque, superiore al 95%.
» Fare attenzione all’utilizzo del Remote Desktop Protocol (RDP): rappresenta una porta esposta in rete, che – se non necessaria – andrà chiusa. Qualora invece dovessimo utilizzarla (particolarmente in questi momenti ove lo smart working da remoto è così frequente) dovremo proteggere questo accesso con password forti e possibilmente con doppia autenticazione 2FA).
» Installare Antimalware (antivirus) e mantenerli sempre aggiornati. Dobbiamo tuttavia avere la consapevolezza che gli antivirus “tradizionali”, cioè quelli definiti “signature based” (basati sulle firme) garantiscono una protezione abbastanza limitata (non superiore al 50÷60%), perché possono essere facilmente elusi dai virus polimorfi, cioè modificati.
» Implementare piuttosto soluzioni di tipo “User Behavior Analytics” (UBA) sulla rete aziendale (analisi anomalie traffico web) con sistemi IDS (Intrusion Detection System), IPS (Intrusion Prevention System) ed EDR (Endpoint Detection & Response). Questi strumenti rappresentano oggi la protezione più avanzata contro i ransomware. È noto, infatti, che questi malware presentano una serie di comportamenti tipici (accesso/scrittura a cartelle di sistema, collegamento a server esterni per il download dei file di criptazione, ecc.). Gli UBA analizzano perciò il comportamento di ciascun computer dell’azienda e sono in grado di capire se si stanno verificando eventi “anomali” (quali per esempio un traffico dati superiore alla media, l’accesso ad indirizzi IP classificati come malevoli, l’accesso e la scrittura in cartelle di sistema che non dovrebbero essere utilizzate). Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (quantomeno circoscrivere) l’attacco.
» Implementare l’uso di Sandbox: questi strumenti sono in genere presenti nei sistemi UBA (di cui al punto precedente) e consentono di analizzare ed eseguire in un ambiente isolato (appunto la “sandbox”) i file sospetti in entrata, prima di farli arrivare sul sistema principale, dove potrebbero causare danni.
» Adottare una accurata procedura di Backup dei propri dati. Questa è una misura di sicurezza fondamentale, vorrei dire vitale: se nonostante tutto un ransomware riesce a colpirci, l’unica salvezza è aver i propri dati salvati in un altro luogo. Ed è importante che il backup venga eseguito spesso ed in modo completo. In assenza di un backup rimane solo l’opzione di pagare il riscatto.

Ed infine, non dimentichiamo mai che l’anello più debole della sicurezza è rappresentato dal Fattore Umano.


 Sandbox: letteralmente “il recinto della sabbia per i giochi dei bambini”. In informatica identifica un ambiente di test, di prova, isolato dal sistema principale. Viene usato per lo sviluppo e il test delle applicazioni e per eseguire operazioni potenzialmente “pericolose” per l’integrità del sistema

Fondamentale quindi fare formazione e informazione agli utenti affinché non cadano nelle trappole del “phishing”, il vettore più usato per questo tipo di attacchi; nella pratica, il fattore umano e l’awareness (consapevolezza) degli utenti vengono troppo spesso sottovalutate.

In conclusione:
In ogni cyber attacco c’è sempre almeno un errore umano: nella maggior parte delle tipologie d’attacco il ransomware non può agire senza una nostra azione che glielo permetta!
I semplici sistemi antivirus installati non sono più sufficienti a garantire una difesa totale (per il citato fenomeno del polimorfismo).
Non sottovalutare il fattore umano: è importante formare il personale a tutti i livelli. Purtroppo l’errore o la trascuratezza di una sola persona può giungere a compromettere i dati di tutta l’azienda.

In sintesi: la prima e miglior protezione è sempre l’utente.

 


L’autore

Giorgio Sbaraglia, ingegnere, svolge attività di consulenza e formazione per la sicurezza informatica e per la privacy.

Tiene corsi su questi temi per molte importanti società italiane di formazione, tra le quali la 24Ore Business School. (maggiori informazioni qui)
È coordinatore scientifico del Master “Cybersecurity e Data Protection” della 24Ore Business School.
È membro del Comitato Scientifico CLUSIT (Associazione Italiana per la Sicurezza Informatica) e certificato “Innovation Manager” da RINA.
Ricopre incarichi di DPO (Data Protection Officer) presso aziende e Ordini Professionali.

È autore dei libri:
» GDPR kit di sopravvivenza” (Editore goWare),
» Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” (Editore goWare),
» iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” (Editore goWare).

Collabora con CYBERSECURITY360 testata specialistica del gruppo Digital360 per la Cybersecurity.
Scrive anche per ICT Security Magazine,  per Agenda Digitale e per la rivista CLASS.

 


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

> Per maggiori informazioni clicca qui
> Per una prova gratuita clicca qui
> Per richiedere i prezzi clicca qui

Articoli correlati

Copy link
Powered by Social Snap