come proteggersi dai ransomware
Come proteggersi dai ransomware

Data

Oggi che gli attacchi sono un rischio concreto, è importante sapere come proteggersi dai ransomware. Per difendersi servono tecnologie adeguate e comportamenti consapevoli. Che sistemi di sicurezza installare, cosa fare e cosa non fare quindi? 

Essere consapevoli del rischio ransomware

Secondo l’indagine di Sophos sui ransomware nel 2021, cresce nelle organizzazioni la consapevolezza della probabilità di un attacco. Il 40% degli intervistati ritiene inevitabile essere colpiti presto o tardi a causa della frequenza degli attacchi: uno ogni 11 secondi entro la fine del 2021 secondo Cybercrime Magazine.

Tuttavia  Il 22% dei decisori non sembra volersi assumere la responsabilità della sicurezza dei propri sistemi e dà la colpa ai comportamenti degli utenti. Il 47% considera gli attacchi difficili da respingere in quanto sempre più sofisticati. 

Solo il 22% dei responsabili aziendali ammette di avere punti di debolezza nella propria sicurezza informatica, il primo passo per iniziare a occuparsene seriamente.

Torna all’indice

Come si diffondono i ransomware

I ransomware si diffondono con le stesse modalità degli altri virus informatici, ma sono molto più pericolosi. Posta elettronica, porte aperte e vulnerabilità dei software sono i loro canali d’accesso preferiti. Riescono ad accedere ai computer e alle reti che li collegano principalmente:
  • Sfruttando l’ingegneria sociale e facendo leva su debolezze e interessi delle persone. In questo caso saranno gli utenti a compiere le azioni di cui il malware ha bisogno per avviare l’infezione.
  • Attraverso vulnerabilità del sistema. In questo caso sono le macchine a consentire l’ingresso, non distinguendo l’aggressore da un normale utente.

Come si prende un ransomware?

Un ransomware si prende a causa di comportamenti imprudenti o inconsapevoli e perché si usano tecnologie inadeguate a respingere le minacce provenienti dal web. Infettato un computer, il malware si propaga agli altri dispositivi connessi alla stessa rete finché non incontra un blocco di sicurezza. In questo modo può raggiungere non solo tutti i pc e server aziendali, ma anche quelli di eventuali clienti che usufruiscono di servizi erogati online.

Attacchi ransomware veicolati da azioni umane

Ecco in che modi un utente può dar via libera a un attacco:

  • Aprendo email fraudolente, scaricando gli allegati o cliccando sui link che contengono. Gli hacker lanciano campagne di phishing che sfruttano gli interessi degli utenti per indurli ad azioni che aprono la porta al virus. In alcuni casi le mail appaiono inviate da contatti già in rubrica (spooling), aumentando la probabilità di apertura dei messaggi.
  • Cliccando su link o contenuti multimediali ingannevoli inviati via chat o SMS (SMSishing) o disponibili sui social media, da cui partono download involontari di programmi dannosi.
  • Abboccando a campagne di vishing. Alcuni operatori ransomware prevedono chiamate vocali in cui segnalano un falso problema e fingono di aiutare l’utente a risolverlo, dandogli in realtà istruzioni per installare il virus.
  • Visitando siti compromessi, che sono stati violati dagli operatori ransomware o sono copie ingannevoli di altri siti. Da queste si avviano download automatici (drive-by) di software dannosi. 
  • Cliccando su pubblicità ingannevoli (malvertising), che portano anche in questo caso a pagine web da cui l’utente scarica i virus inconsapevolmente.
  • Installando programmi non sicuri, che contengono malware. Può succedere ad esempio quando si installano versioni “crackate” di programmi a pagamento, o si scaricano software gratuiti dalla rete.
  • Collegando al pc periferiche esterne infette, come chiavette USB o hard disk esterni che contengono ransomware.

Attacchi ransomware veicolati da macchine

Quando gli esseri umani non prendono le giuste precauzioni i malware possono introdursi autonomamente nei sistemi sfruttando: 

  • I protocolli con porte aperte, specie se impostate di default: RDP (porta 3389) e SMB (porta 445). I malware possono rilevarle e usarle per impadronirsi delle credenziali e accedere al sistema.
  • Vulnerabilità di protocolli e software, specie se largamente utilizzati. È successo spesso con Microsoft Exchange Server, mentre Windows Server Message è stato il canale di diffusione di WannaCry, uno dei più grandi attacchi ransomware per numero di utenti colpiti.

Proteggersi dai ransomware: soluzioni tecnologiche e comportamenti

Per proteggersi dai ransomware è necessario:

  • Installare su tutti i dispositivi connessi soluzioni per la sicurezza efficaci, che impediscano o rilevino velocemente ogni tentativo d’accesso da parte dei malware. 
  • Creare consapevolezza negli utenti, formandoli sui rischi e sui comportamenti corretti.

Sistemi di sicurezza e protezione ransomware

Ecco quali soluzioni tecnologiche si possono adottare per proteggersi dai ransomware o dalle loro conseguenze:

Anzitutto è indispensabile pianificare backup regolari e frequenti di tutti i dispositivi, anche mobili, e di eventuali apparecchi privati che i dipendenti usano per lavoro. Il backup non protegge dai ransomware ma permette di limitare i danni in caso di attacco. 

Oggi proteggere i dati è più semplice grazie ai servizi di backup in cloud, completamente  automatizzabili, come quelli proposti da Babylon Cloud, 100% conformi alle normative GDPR e sicuri grazie alle tecnologie utilizzate. Scopri qui la soluzione adatta per la tua azienda .

Installare e mantenere aggiornati firewall e antivirus di ultima generazione. Mentre il firewall blocca le minacce a monte, un antivirus è un software IDS (intrusion detection system) capace di scansionare il sistema, rilevare e isolare i programmi dannosi che sono già riusciti a infiltrarsi.

Meglio scegliere antivirus basati sul comportamento oltre che sulla firma. Le firme sono pattern associati a specifici virus, malware e trojan, che un software aggiornato è in grado di riconoscere. Ma solo con l’analisi dei comportamenti si riescono a individuare anche minacce sconosciute, grazie all’osservazione di anomalie nei dati e nei processi. 

In un’organizzazione con alto livello di sicurezza informatica si dovrebbe rilevare un’infezione in meno di dieci minuti, così da isolarla subito e limitare i danni.

Poiché i ransomware colpiscono soprattutto attraverso la posta elettronica, è fondamentale usare un gateway email sicuro per filtrare a monte la posta contenente link e allegati pericolosi. È utile prevedere anche un controllo successivo con tecnologie di protezione post-delivery, che mostrino all’utente messaggi d’allarme sulle email sospette.

Usare filtri DNS per impedire agli utenti di installare inconsapevolmente software dannosi camuffati da programmi leciti e in generale di scaricare involontariamente virus cliccando su siti e banner fraudolenti.

Disabilitare l’esecuzione automatica di dispositivi USB e delle macro delle applicazioni Office, per impedire che eventuali virus vengano automaticamente installati sul PC.

Fare attenzione alle porte aperte. Usare i protocolli RDP e SMB solo se servono, proteggerli con password e se possibile doppia autenticazione, e cambiare le porte di default. 

Implementare soluzioni UBA (User Behavior Analytics), che monitorano i computer rilevando comportamenti sospetti e sono così in grado di bloccare anche tipologie di ransomware non ancora note. Questi strumenti analizzano gli elementi sospetti in un ambiente separato (sandboxing).

Esistono anche programmi di browser/web isolation che permettono di navigare in un ambiente separato in cui qualsiasi minaccia incontrata resta comunque isolata dal sistema.

Comportamenti sicuri per difendersi dai ransomware

Poiché i malware sfruttano l’ingenuità delle persone per infiltrarsi, è importante formare dipendenti e collaboratori perché diventino utenti consapevoli, non aprano email sospette, non clicchino su file con estensioni pericolose né su banner in siti non sicuri e si accertino che i sistemi di sicurezza siano sempre aggiornati. Queste sono alcune buone pratiche per difendersi dai ransomware:

Mantenere aggiornati i sistemi operativi e i browser. Installare sempre le patch, aggiornamenti di sicurezza proposti dai produttori dei software presenti sul computer.

Mantenere aggiornati i plugin come Java e Flash, che sono spesso una via d’accesso per i virus. Disabilitare flash e attivarlo solo se necessario visto che alcuni siti lo usano ancora. 

Usare gli account amministratore solo quando necessario, perché un’infezione su un account con questi privilegi è molto più pericolosa, in quanto gli stessi vengono sfruttati anche dai malware per propagarsi.

Controllare i diritti di amministrazione dei dati aziendali critici e accertarsi che siano sufficientemente protetti.

Avere un piano per un’eventuale infezione ransomware. In caso di attacco più velocemente si agisce, meglio è, quindi meglio esser certi di essere preparati. Alcuni esperti di sicurezza informatica consigliano addirittura di fare periodiche simulazioni di disaster recovery.

Torna all’indice

Condividi su linkedin
LinkedIn
Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su email
Email

Altri
articoli

IT

SUPPORTO TECNICO

Compila il form sottostante e sarai ricontattato al più presto.

Soluzione
Messaggio