9 best practices per evitare gli attacchi ransomware: tutto l’aiuto che può offriti Seqrite

Le migliori pratiche per evitare gli attacchi ransomware. Siete pronti?

Aziende e singoli individui dovrebbero implementare le migliori pratiche di sicurezza informatica per evitare gli attacchi ransomware e la perdita di dati che, talvolta, ne consegue. Negli anni passati infatti i ransomware sono diventati un problema estremamente diffuso e pericoloso, grazie a piattaforme nel dark web dove questi strumenti di attacco sono offerti come servizi affittabili (Ransomware as a Service – SaaS). Uno dei ransomware più recenti è pericolosi è chiamato LockBit 3.0. Usa un metodo di attacco definito di “doppia estorsione”: prima di criptare i file delle vittime, li ruba e li copia in un altro server.

Il Ransomware è un tipo di software dannoso, un malware che cripta i dati sui computer e nelle reti. Una volta che i dati sono criptati, gli attaccanti richiedono alla vittima di pagare un riscatto per sbloccare i propri file. L’estorsione tramite un ransomware consiste nel furto dei dati e nell’impedirvi l’accesso, tramite blocco del sistema o criptazione dei dati. E’ molto simile ad un furto fisico, nel quale viene richiesto un riscatto per la restituzione del maltolto.

Pagare il riscatto, però, non assicura che gli attaccanti sbloccheranno davvero i file o che l’attacco non si ripeterà in futuro.

Nel 2017 ben 300.000 computer in giro per il mondo, compresi quelli in uffici governativi, ospedali, ATM, stazioni di polizia finirono sotto attacco e criptati. Gli effetti dell’attacco sono stati così gravi da aver indotto Microsoft ad estendere il supporto di sicurezza anche ai sistemi operativi più vecchi. L’anno seguente, la Taiwan Semiconductor Manufactoring Company (TSMC) dovette arrestare più di 10.000 macchine a causa di una nuova variante di WannaCry.

Similmente, nel 2022, il ransomware chiamato LockBit 3.0 ha infettato migliaia di sistemi. LockBit è un ransomware con capacità di auto-diffusione che usa il metodo della doppia estorsione per estorcere denaro alle vittime. Il metodo detto di “doppia estorsione” consiste nel:

• pagare un riscatto per poter riportare in chiaro e riavere accesso ai propri file;
• pagare un riscatto per scongiurare la pubblicazione sul web dei dati rubati.

Sono ormai centinaia le operazioni ransomware attive, che hanno colpito qualsiasi tipologia di azienda ed ente e causato danno ingenti. LockBit risale invece al 2019 ed è acquistabile tramite licenza in vendita nel dark web. Ha subito varie modifiche, fino ad approdare oggi alla sua terza versione: LockBit 3.0 appunto.

Un attacco da parte di questo ransomware tipicamente si articola in:

• exploit
• infiltrazione
• distribuzione

Nella fase di exploit, gli attaccanti cercano un varco nella rete: l’azienda può subire tentativi di phishing oppure trovarsi a scaricare il malware tramite un download di cui gli utenti non sono pienamente consapevoli. C’è anche la possibilità che gli attaccanti tentino attacchi di brute-force contro la rete bersaglio. Una volta entrato nella rete, LockBit 3.0 prepara il sistema per la criptazione.

Lo stadio successivo è quello dell’infiltrazione: LockBit 3.0 infetta la macchina dell’utente e tenta l’escalation dei privilegi per avere mano libera. Subito dopo termina i servizi critici di sistema, come SecurityHealthSystray.exe. Spesso sono sospesi ulteriori servizi, quasi sempre collegati a servizi di sicurezza, per impedire che il ransomware venga individuato, tracciato o bloccato.

Infine, c’è la fase di distribuzione: viene scaricato ed eseguito il ransomware vero e proprio. Questo cripta i file che divengono illeggibili. L’estensione file viene modificata con una stringa di caratteri alfanumerici random. Lo sfondo dello schermo dei PC infetti viene sostituito con la nota di riscatto, che contiene le istruzioni per contattare e pagare gli attaccanti.

La maggior parte degli attacchi ransomware sono progettati per interrompere le operazioni quotidiane della tua azienda. Tutti i tipi di attacchi ransomware pongono diverse sfide alle aziende:

1. Produttività
   La produttività è la prima sfida posta dagli attacchi ransomware alle aziende. Se il sistema va in down, si blocca il tuo staff e si interrompe la quotidianità.
2. Compliance
   Se la tua azienda ha la conformità ai primi posti nella top list delle priorità, devi sapere che un ransomware può renderti “non conforme” e interrompere perfino il tuo lavoro;
3. Costi
   Uno dei problemi principali che causa un attacco ransomware è la perdita di profitti. Ciò si lega sia alla perdita di produttività, sia ad azioni legali dovute alla non conformità sia a causa della perdita di dati critici per l’azienda;
4. Perdita di fiducia dei clienti
   Finire vittime di un attacco ransomware può determinare una consistente perdita di fiducia dei tuoi clienti e costarti una fetta importante della tua attività.

Ora, qual è la soluzione? Come si possono mettere al sicuro le aziende dagli attacchi ransomware, dai malware e, in generale, da tutte le cyber minacce che potrebbero danneggiare la produttività, la conformità e, in generale, l’azienda?

La risposta è semplice, ma difficile da perseguire. Come mai? Perché dovrai prenderti cura dei dettagli e mantenere aggiornata e applicata la cheklist per salvaguardare i tuoi dati, file e documenti dovrai innanzitutto dotarti di una soluzione di sicurezza informatica che protegga i tuoi dispositivi.

Ecco un elenco di 9 implementazioni che ogni azienda dovrebbe fare una volta acquistata una soluzione di sicurezza:

1. installa l’antivirus: ogni giorno vengono individuati su laptop e computer oltre 350.000 virus. C’è una sola soluzione per questo: l’antivirus! Un antivirus fornisce al dispositivo “l’immunità” necessaria per contrastare ransomware, malware e altre cyber minacce. Prevenire vuol dire installare l’antivirus (e mantenerlo aggiornato) su tutti i dispositivi aziendali e anche quelli personali.
2. stai alla larga dai software piratati: l’antivirus non basta. Ad esempio è utile ricordare che software copiati e piratati non potranno mai replicare l’originale. Una versione piratata infatti non sarà mai affidabile come quella originale. Al contrario, potrebbe nascondere un malware o una backdoor al suo interno ed esporre l’azienda a rischi.
3. fai regolarmente il backup: il 58% delle piccole aziende non si è mai preparata a subire una perdita di dati. Quindi fai regolarmente il backup dei dati e crea un archivio sicuro di tutti i tuoi file più importanti.
   E’ fondamentale configurare correttamente le soluzioni di sicurezza informatica, selezionare i file da backuppare in base alle priorità, quindi impostare il backup a cadenza regolare (giornaliera, settimanale, mensile second0 le necessità). Il backup farà si che i tuoi dati, anche in situazioni non pianificate come un attacco ransomware, restino al sicuro e siano ripristinabili.
4. non fare click su link sconosciuti: cliccare su link sconosciuti arrivati via email, sms, chat o altri mezzi può esporre ad attacchi ransomware e malware. Tali link potrebbero portare al download, senza che tu ne sia consapevole, di app dannose che potrebbero danneggiare i tuoi sistemi e i tuoi dati.
5. disabilita le macro nei documenti MS Office sconosciuti: le macro sono state create per rendere automatiche delle task routinarie, ad esempio per evitare di dover ogni volta compilare manualmente un report riepilogativo. Insomma, un utile strumento! Le macro sono, però, anche molto apprezzate dagli attaccanti per nascondere le loro diavolerie.
   La soluzione? Non abilitare mai le macro contenute in documenti Office della cui origine non sei assolutamente certo. E questo vale per tutti i dipendenti, collaboratori, partner perfino per i vertici della tua azienda.
6. verifica gli utenti locali e di dominio e rimuovi gli utenti indesiderati: disabilita, rimuovi o controlla gli account utenti inattivi o obsoleti nella tua rete, mantieni aggiornata e protetta dagli attacchi degli insider la tua Active Directory. Stando ai dati di Microsoft, oltre il 10% degli account utente nell’Active Directory sono inattivi o obsoleti. Fare uno sforzo in tal senso, mantenendo in ordine gli utenti e stando molto attenti ad affidare loro privilegi di amministrazione, apporta un grande contributo al miglioramento della postura di cyber security.
7. verifica gli accessi SMB e RDP: gli accessi RDP e SMB sono concessi a quei lavoratori che sono in viaggio o lavorano da remoto. Consentono ai dipendenti di accedere alla rete aziendale da qualsiasi luogo e comunicare apertamente tramite il protocollo SMB.
   In qualità di responsabile dei dipendenti, è tuo compito verificare l’accesso RDP e SMB, creando credenziali solide in maniera che l’azienda non debba affrontare minacce informatiche provenienti da quei canali. Se un attaccante ruba quelle credenziali, potrà accedere alla tua rete.
8. usa password solide: le password sono la prima linea di difesa di un sistema. Ne consegue che dovrai essere molto attento nella creazione delle password, per crearne di solide e sicure a protezione dei computer e degli altri dispositivi. Più una password è solida, più sarà difficile per un attaccante rubarla. Per creare password solide usa caratteri minuscoli e maiuscoli, lettere e numeri, ma anche caratteri speciali.
9. usa una VPN sicura per l’accesso ad una specifica porta: una VPN sicura consente di creare un tunnel di accesso sicuro nella tua rete verso Internet esterno e incanalare le informazioni da attraverso questo canale sicuro. Con la VPN non occorrerà esporre le porte sull’Internet esterno.
   Aiuta anche nella configurazione di connessioni Wi-Fi pubbliche sicure, nel blocco dei siti di streaming, impedisce il tracciamento da parte dell’Internet Service Provider e molto altro. La VPN fornisce sicurezza al 100%, privacy e salvaguarda i dati e i dispositivi.

Non c’è alcuna garanzia che uno dei metodi sopra esposti funzionerà per te: i produttori di ransomware lavorano costantemente per aggiornare i loro “prodotti” e per stare al passo con le soluzioni di sicurezza informatica. Ecco perché è fondamentale seguire le migliori pratiche di igiene e sicurezza informatica per prevenire ad ogni costo le infezioni ransomware.

SEQRITE può aiutarti in questo processo di salvaguardia dei tuoi dati, dei tuoi sistemi… insomma della tua azienda!

SEQRITE Endpoint Security offre una sicurezza multi livello per gli endpoint ed è dotato di una tecnologia avanzata specificatamente pensata per impedire e minimizzare gli attacchi ransomware.

SEQRITE Advanced Persistent Threat Protection Service, inoltre, combina le funzionalità del servizio di prevenzione delle intrusioni (IPS) con la tecnologia sandboxing.

E poi ci sono i nostri esperti: gli esperti SEQRITE potranno consigliarti sulle migliori soluzioni e la migliore postura di sicurezza informatica secondo i requisiti, le necessità e i bisogni della tua azienda.