Ransomware in aumento
Attualmente le notizie di attacchi ransomware riusciti non si fermano. Non importa se si tratta di un grande oleodotto statunitense, di un produttore e commerciante di carne attivo a livello globale, di sviluppatori di videogiochi, di agenzie governative o ministeriali. Ovunque ci sono attacchi attivi e le segnalazioni di attacchi riusciti arrivano quasi quotidianamente.
Ma cos'è il ransomware?
Il ransomware è un malware che cripta dati selezionati o interi sistemi e poi lascia un messaggio in cui chiede alla vittima di pagare un riscatto. Tale riscatto è spesso basato sulle dimensioni dell'azienda e sui dati crittografati.
Tuttavia, sempre più spesso i dati vengono anche esfiltrati. Vale a dire, vengono copiati e scaricati sui sistemi degli autori del reato. Questo viene poi utilizzato per ricattare la vittima pubblicando questi dati.
Poiché sempre più aziende dispongono di concetti di backup funzionanti, sempre meno erano disposte a pagare il riscatto. Ma ora, quando si scopre che importanti documenti interni potrebbero essere pubblicati all'improvviso, molte aziende sono disposte a pagare il riscatto.
Tuttavia, non c'è alcuna certezza che gli autori del furto si attengano alle loro dichiarazioni e non pubblichino comunque i dati.
È importante assicurarsi che ciò non accada.
Come ci si può proteggere dal ransomware?
- Protezione antivirus su quanti più sistemi possibile. Idealmente in combinazione con un sistema EDR. Fortinet, ad esempio, offre una soluzione di protezione degli endpoint di alta qualità con funzionalità DER con FortiEDR. Ciò consente di rilevare gli attacchi in una fase precoce e di annullare i danni.
- Riduzione della superficie di attacco: avere una visione d'insieme della propria rete è diventato quasi impossibile. È qui che possono essere d'aiuto i pentester professionali o le soluzioni di gestione delle vulnerabilità. Per gli scanner di vulnerabilità collaboriamo con il produttore tedesco Greenbone.
- Segmentate le reti! Anche se conta per la riduzione della superficie di attacco, viene menzionata separatamente. Troppo poche aziende
- Con la gestione dei diritti, è possibile garantire che non tutti i dipendenti lavorino con i diritti di amministratore locale. Ciò significa che qualsiasi malware può operare solo con i diritti disponibili. Questo limita fortemente la capacità di azione del malware, o addirittura la rende impossibile, a seconda del malware.
- Sensibilizzazione dei dipendenti. Questo aspetto è spesso sottovalutato. Conosciamo tutti il detto secondo cui una catena è forte solo quanto il suo anello più debole. Se un dipendente ci pensa due volte ad aprire l'allegato di un'e-mail inaspettata o a spiegare perché si devono attivare le macro nei documenti di Microsoft Office, è già stato ottenuto molto.
Cosa fare se si è arrivati a questo punto?
Il BSI fornisce i seguenti suggerimenti:
- Non pagare. L'obiettivo è quello di demotivare gli autori del furto a continuare la loro attività. Soprattutto perché non c'è alcuna garanzia che riceveranno uno strumento per la decrittazione e che i dati rubati saranno distrutti.
-
Presentare una denuncia penale alla polizia. Gli esperti forensi e gli investigatori potrebbero essere in grado di salvare i dati o almeno di rintracciare i colpevoli per perseguirli e consegnarli alla giustizia.
Sul sito web dell'Alliance for Cyber Security è possibile trovare un punto di contatto per gli uffici investigativi penali statali competenti. - Isolate i sistemi colpiti in modo che non possano compromettere altri sistemi. Lasciate questi sistemi in uno stato compromesso fino a quando gli esperti forensi non saranno in grado di esaminarli per assicurarsi le prove e ottenere informazioni su come il sistema è stato penetrato e se ci sono segni che altri sistemi sono stati colpiti.
-
Ripristinare i backup. Se esistono backup sicuri che non sono stati compromessi, possono essere utilizzati per ripristinare il sistema. In ogni caso, il sistema deve essere completamente riavviato e ci si deve assicurare che tutti i dati presenti sul sistema siano stati cancellati prima di ripristinare il backup.
Se in azienda non è presente un team di sicurezza informatica o di pronto intervento informatico, il BSI può consigliare aziende in grado di fornire il supporto necessario.
Se siete interessati a mettere in sicurezza la vostra rete aziendale, possiamo consigliarvi. Potete contattarci via e-mail, telefono o tramite il nostro modulo di contatto.