Come fare perché una strategia di prevenzione e backup sia efficace contro un ransomware?
La risposta a questo quesito non è unica perché un attacco di tipo ransomware coinvolge più aspetti pertanto sono un insieme di risposte quelle che servono per contrastare efficacemente il virus.
Innanzitutto vediamo come inizia una infezione di tipo informatico.
Primo aspetto: ingesso del virus – il programma dropper – attivazione del codice malevolo.
Normalmente ciò avviene attraverso allegati mail, link all’interno di mail, link su pagine web (tralasciando ovviamente tutta la giungla delle reti peer-to-peer, dove non esiste nessuna certezza di ciò che effettivamente si scarica) e il click su uno di questi elementi provoca lo scarico e l’attivazione di un piccolo programma, detto dropper, che lavorando di nascosto cerca di scaricare e attivare sul pc dell’utente il virus vero e proprio. Non è detto che lo faccia subito, può anche restare inattivo finché non si presentano le condizioni ideali. Per prevenire l’attivazione di qualsiasi cosa si clicchi è opportuno, oltre alla prudenza e buon senso, lavorare con utenti che non abbiano diritti amministrativi. In tal modo l’installazione di codice non è automatica. Inoltre non è consigliabile aprire gli allegati delle mail direttamente dalla mail stessa ma trascinarli in una cartella per capire cosa effettivamente siano.
Secondo aspetto: il virus è stato attivato, cosa fa?
Dopo che il dropper ha scaricato il virus, entrambi o separatamente, analizzano il pc dell’utente cercando di carpire informazioni sulla disposizione dei dati, dischi di rete, struttura della rete, posizione dei files e perché no, anche la rubrica con gli indirizzi di posta dell’utente per avere nuove potenziali vittime a cui estorcere denaro. Una volta individuati i files e le loro posizioni inizia la mattanza cioè la crittografazione dei dati e il loro blocco. In tutte le cartelle e dischi interessati viene ovviamente lasciata la richiesta di riscatto e le modalità di pagamento o contatto.
A questo punto il danno è fatto, come procedere?
Facciamo una piccola premessa, per capire come arrivare ad una strategia efficace.
Il primo concetto da comprendere è quello della gestione della sicurezza.
Tipicamente infatti, sia che stiamo parlando di un PC, che di una rete aziendale, le persone non percepiscono il valore dei propri dati: fino a quando questi non sono irrimediabilmente persi, si da per scontato che essi siano sempre disponibili e integri.
Chi non ha adottato procedure di sicurezza, ha omesso di proteggere i propri dati semplicemente perché non ha compreso effettivamente le problematiche di un sistema informatico. Troppe volte si da per scontato che le procedure impostate (sempre che ve ne siano) siano corrette e funzionanti, devono svolgere ciò per cui sono state prese: si è acquistato un sistema e quindi sicuramente sta lavorando bene.
La strategia di molti si basa su questa insana certezza, nessuno si è mai preoccupato di tentare un ripristino dei dati dal backup, o di controllare se l’antivirus è aggiornato: un sistema di protezione oltre ad avere un design adeguato, deve avere e un sistema di controllo e gestione dei problemi che possa garantire la perfetta efficienza dell’infrastruttura.
Un sistema di protezione efficace deve comprendere e controllare:
Area di impatto del problema: deve essere attiva una buona politica di segregazione dei dati: ognuno deve avere accesso ai soli dati che lo riguardano, gli stessi software di gestione e controllo del PC devono avere un proprio utente dedicato e ben identificato.
Superficie di attacco della minaccia: visto come si propagano i virus (sistemi obsoleti, email sospette, attacchi diretti, pagine web ecc..) è necessario: filtrare pagine e server web malevoli, filtrare con un antispam le email, controllare i file in ingresso e in uscita con un antivirus. Ma non solo: servono password complesse per ogni persona che accede al PC, aggiornamenti puntuali di Windows, software e sistemi di backup non esposti al contagio, sistemi antivirus efficaci e controllati. Altra cosa: spesso gli attacchi sono notturni proprio per non attirare l’attenzione degli operatori e i pc lasciati accesi durante la notte per non dover aspettare l’avvio la mattina sono un veicolo formidabile per gli attaccanti.
Procedure di salvataggio e ripristino : ultimo dettaglio, ma non meno importante è la gestione della protezione e le procedure per ripartire dopo il danno. Fare il backup dei dati in modo manuale porta a dimenticarsene dopo averlo fatto due o tre volte, rendendolo de facto inutile. Tutte le procedure di sicurezza vanno gestite nei tempi e nei modi consigliati, puntualmente e senza rinvii.
A questo punto vediamo quali possono essere le strategie efficaci per contrastare cryoptolocker:
- educazione degli utenti: password efficaci, attenzione durante la navigazione e lettura di email, organizzazione nella gestione dei dati (per importanza, pertinenza, ecc.)
- separazione dei dati: normalmente non tutti devono accedere a tutto. Separare i dati per aree di pertinenza e tipologia di utente stabilendo criteri di accesso e sicurezza. In caso di compromissione del pc di uno degli utenti, i dati degli altri hanno più probabilità di rimanere integri.
- backup dati regolari e automatici. Il backup manuale ha la probabilità di non essere eseguito o dimenticato pari al 100%, pertanto è inutile. Inoltre il backup automatico può utilizzare credenziali diverse da quelle degli utenti, pertanto salvare i dati in aree protette normalmente non accessibili (anche off-line tipo cloud) dall’utenza normale esposta ai contagi.
- backup delle immagini dei pc. Creare backup che consentano di recuperare un pc in toto, sistema compreso e archiviarli in luogo sicuro.
Per tornare alla domanda iniziale, ovvero cosa fare una volta colpiti, le risposte a questo punto sono chiare: una strategia di backup efficace e accorta dei dati, dei pc e server permette anche in tempi brevissimi (pochi minuti) di ripristinare la situazione senza praticamente perdere nulla. Una soluzione di backup è sempre un investimento, anche non trascurabile, ma in mancanza di questo lo scenario che si prospetta non è dei migliori. Le alternative sono pagare il riscatto sperando di avere poi lo sblocco ma non vi è nessuna certezza perché anche dal lato dei criminali le improvvisazioni sono una regola e molto spesso chi attacca poi non è in grado o non vuole per non rischiare fornire le chiavi di sblocco oppure ricostruire i dati e ripartire da zero o quasi, ma chi oggi può permetterselo?
Se sei interessato ad approfondire e valutare soluzioni e strategie di backup contattaci…