Tutto quello che devi sapere sul Ransomware

Ransomware: cos'è, come si prende e come ci si difende

Il ransomware è una forma di software dannoso (malware) progettata per bloccare l’accesso a un sistema o ai dati presenti su di esso. Essenzialmente, questo tipo di minaccia informatica prende in ostaggio i dati e richiede un riscatto per sbloccarli: mentre agli inizi erano soprattutto utenti singoli ad essere oggetto di attacchi ransomware, negli ultimi anni gli attacchi hacker di questo tipo si sono concentrati soprattutto su aziende e organizzazioni di qualsiasi dimensione.

Come si diffonde il ransomware?

Il ransomware si diffonde solitamente attraverso due metodi principali:

• Ransomware di ingegneria sociale: si tratta del metodo più utilizzato in passato, e consiste nella diffusione del collegamento o allegato compromesso tramite strumenti di comunicazione. La diffusione può infatti avvenire tramite tecniche di phishing-email, tramite navigazione su siti compromessi oppure ancora dallo scaricamento di un bundle di file dalla rete
• Ransomware con intervento umano: in questo tipo di attacchi, l’hacker compie un’azione che gli permette di accedere alla rete dell’organizzazione vittima dell’attacco, ad esempio grazie al furto di credenziali di accesso o grazie allo sfruttamento di una vulnerabilità zero-day.

Ransomware, come difendersi?

Una volta che il ransomware ha infettato i sistemi aziendali, l’organizzazione deve seguire alcuni step per ripristinare la situazione e far ripartire l’operatività.

Per prima cosa, è fondamentale non pagare alcun riscatto, perché questo non garantisce il riottenimento dei propri dati e anzi, incoraggia gli hacker a continuare con questo tipo di attacchi. Bisogna piuttosto contattare immediatamente le autorità locali o la polizia postale, che possono aiutare nella gestione dell’emergenza.

Un’altra best practice è contattare immediatamente un team di esperti che metta in atto le procedure di Incident Response: si inizia isolando i dati infetti per evitare che il problema si propaghi, passando poi alla rimozione del ransomware tramite appositi programmi, e ci si concentra infine sul ripristino dei file o dal sistema tramite copie di backup.

Categorie di ransomware

Il ransomware si divide principalmente in due categorie:

• Locker ransomware: questo tipo di ransomware blocca l'accesso al sistema operativo del dispositivo. In pratica, l'utente non può utilizzare il proprio computer o dispositivo mobile perché l'interfaccia è bloccata
• Crypto ransomware: questo tipo di ransomware crittografa i file presenti sul dispositivo dell'utente. In questo caso, l'utente può accedere al sistema operativo, ma non può aprire o utilizzare i file crittografati.

Rilevamento e protezione dal ransomware: come prevenire gli attacchi

Rilevare un attacco ransomware può essere difficile, specialmente se il malware è progettato per rimanere nascosto. Tuttavia, ci sono alcuni segnali di allarme che possono indicare un'infezione da ransomware, come l'aumento dell'attività della CPU, modifiche alle estensioni dei file o altre attività sospette sul computer. Per proteggersi dal ransomware, è fondamentale avere un software di sicurezza affidabile e aggiornato. Questo software dovrebbe essere in grado di rilevare e bloccare il ransomware prima che possa infettare il sistema. Inoltre, è importante essere cauti quando si naviga su Internet, soprattutto quando si scaricano allegati e-mail o si visitano siti web sconosciuti.

Sono quindi tre gli ambiti principali in cui le aziende possono investire per evitare di essere vittima di un attacco hacker ransomware:

• formazione: il punto di ingresso dei ransomware è sempre legato al comportamento umano, dall’apertura di una mail infetta, all’utilizzo di password facilmente decifrabili, fino alla navigazione su siti malevoli. Per questo investire nella formazione dei collaboratori, ad esempio mediante una mirata formazione anti phishing, è una prima semplice attività implementabile in azienda
• protezione degli endpoint: un’altra tecnica di difesa è dotarsi di soluzioni di cybersecurity avanzate e aggiornate, che possano proteggere l’azienda e i propri endpoint da minacce anche sconosciute. Una soluzione come il Managed Detection and Response, basata sull’analisi comportamentale dei dispositivi aziendali, è capace di arginare le minacce non appena vengono rilevati comportamenti anomali. Per questo motivo consigliamo di passare dal vecchio antivirus all’MDR, una soluzione tecnologicamente più avanzata gestita da un Security Operations Center (SOC) professionista
• backup: senza una adatta strategia di backup, basata su soluzioni di Disaster Recovery e Business Continuity con una chiara idea di metriche come RTO e RPO, è impossibile reagire tempestivamente in caso di un attacco hacker ransomware andato a buon fine. Al tempo di fermo va infatti sempre sommato anche il tempo di ripristino, e più sono lunghi questi tempi, maggiori saranno le perdite economiche e di immagine dell’azienda. È quindi fondamentale eseguire backup regolari affidandosi anche a partner esterni che offrono servizi come il Managed Backup oppure il più specifico Backup di Microsoft 365, che, è utile ricordare, è sempre responsabilità dell’azienda e non di Microsoft.

Il ransomware, nemico delle aziende che si può sconfiggere

Il ransomware è quindi una minaccia seria e in continua crescita nel mondo digitale, soprattutto nelle realtà aziendali. Proteggere i propri dati e il proprio sistema da questo tipo di attacchi è diventato fondamentale visto l’aumento del numero di cyberattacchi, e una strategia sempre più utilizzata dalle aziende è quella di affidarsi a un IT Service Provider, esternalizzando la gestione delle operazioni di backup e della sicurezza informatica a un team di professionisti e a un SOC. In questo modo le aziende possono concentrarsi sul proprio business, senza doversi dedicare anche alle attività necessarie per prevenire e rimediare agli attacchi ransomware.