La tecnica della doppia estorsione prevede una fase di furto dei dati antecedente alla fase di criptazione dei dati. Gli attaccanti rubano tutte le informazioni sensibili o critiche dai sistemi, quindi criptano le copie rimaste sulla rete e sui dispositivi sotto attacco, infine richiedono i riscatti.
I meccanismi di distribuzione di ransomware più comuni sono le email di phishing con allegato dannoso (molto spesso file Office con macro dannosa) o tramite siti web compromessi che attivano il download del malware. Talvolta sono ben nascosti entro file Torrent di vario tipo. I ransomware più avanzati sono capaci di eseguire anche movimenti laterali per diffondersi nella rete bersaglio e possono impiegare anche pochi secondi per infettare l’intera rete, causando perdite di produttività e finanziarie all’azienda.
Ecco perché diviene fondamentale, per gli utenti singoli e per le aziende, proteggersi in modo proattivo dal ransomware. “Prevenire è meglio che curare” è un detto popolare che non perde la sua validità neppure nel mondo iper digitalizzato di oggi e in continua evoluzione.
Misure per mettersi al sicuro dai ransomware: prevenzione!
Consapevolezza
La consapevolezza è la base sulla quale costruire la sicurezza anti ransomware, perchè può aiutare a riconoscere le email di phishing, i siti web fraudolenti o compromessi ed evitare di cadere nelle trappole di ingegneria sociale. Se costruita con il giusto spirito, questa consapevolezza dei rischi informatici e le azioni conseguenti possono salvarci dai pericoli e i danni conseguenti ad un attacco ransomware. Ricordiamo sempre che l’anello debole della catena della sicurezza informatica è uno e sta “tra il pc e la sedia”: l’utente.
Backup
Backup regolari possono aiutare sia gli utenti home che le aziende a ripristinare velocemente file e dati in caso di attacco ransomware. Eseguire un backup regolare dei dati principali e mantenerlo al sicuro, salvandone anche una copia offline o comunque in una posizione disconnessa dalla rete, è molto importante. Un backup sul dispositivo o comunque collegato alla rete attaccata può finire criptato come i dati originali da cui è ricavato. E diverrebbe inutilizzabile. Al contrario, disporre di un backup in location sicura, consentirà un ripristino molto veloce dei dati e dei sistemi.
Patching del sistema operativo e dei software
I ransomware possono sfruttare vulnerabilità per la diffusione laterale nella rete. Ecco perchè sono importanti misure di salvaguardia contro l’exploit delle vulnerabilità che possono affliggere reti e sistemi.
- Mantieni aggiornato il sistema operativo e gli altri software applicando le patch più recenti. Gli update dei software infatti contengono molto spesso le patch per vulnerabilità di sicurezza nuove o scoperte di recente che gli attaccanti potrebbero invece sfruttare a proprio favore;
- Applica le patch e gli aggiornamenti soprattutto a software come Microsoft Office, Java, Adobe Reader, Flash, e tutti i browser web come Microsoft Edge, Chrome, Firefox, Opera ecc…
- Non scaricare software non verificati, craccati o piratati, dato che molto spesso sono usati per installare malware (ransomware compresi) sui computer delle vittime;
- Non scaricare software da fonti P2P non verificate o da siti torrent. In molti casi, sono file dannosi.
Presta attenzione agli attacchi di phishing
Non fare click su link e non scaricare allegati provenienti da fonti o email inaspettate o sospette provenienti da account sconosciuti. La maggior parte delle email di phishing cerca di provocare un senso di urgenza nella vittima, così da renderci meno prudenti e attenti e ingannarci facendoci eseguire azioni a nostro discapito come, appunto, il download di un falso sollecito di pagamento con macro la cui apertura provocherà l’avvio dell’infezione ransomware.
Segmentazione della rete
Dal momento che i ransomware cercano sempre di eseguire spostamenti laterali per diffondersi nelle reti bersaglio, è cruciale limitarne la diffusione. La segmentazione della rete prevede di suddividere la rete in più reti di dimensioni minori, così da facilitare l’isolamento delle macchine infette da quelle ancora non infette impedendo al ransomware di diffondersi ad altri sistemi.
Altre misure di sicurezza addizionale delle reti sono:
- scegli password uniche (una password diversa per ogni account) e solide per il login negli account e nelle condivisioni di rete;
- disabilita gli account amministratori e le condivisioni di rete non necessarie e fornisci permessi di accesso ai dati solo in conseguenza delle reali necessità di accesso ai dati di quel dato utente. Verifica a cadenza regolare questi permessi;
- verifica gli accessi RDP (Remote Desktop Protocol) oppure disabilita l’accesso remoto se non necessario. Se non puoi disabilitarlo, imposta una serie di regole appropriate così da consentire l’accesso solo a sistemi limitati e riconosciuti;
- configura così il firewall:
– nega l’accesso a tutte le porte (come la porta 3389, RDP ecc…);
– consenti l’accesso solo a quegli IP che sono verificati e confermati come sicuri e che richiedono l’accesso solo per motivi legittimi;
– usa una VPN per accedere alla rete, anzichè esporre l’RDP in Internet;
– implementa l’autenticazione a due fattori (2FA) o a più fattori (MFA). Ormai praticamente tutti i vendor hanno reso disponibili queste opzioni;
– crea una cartella di rete separata per ognio utente quando dovrai gestire l’accesso alle condivisioni di rete;
– non mantenere software condivisi nella forma di eseguibile.
Implementa criteri di accesso molto rigorosi e limita i privilegi
Soltanto utenti / sistemi autenticati dovrebbero poter disporre di alti livelli di accesso al sistema e alla rete. Questo aiuterebbe molto a individuare e prevenire la diffusione dei ransomware.
Questi step ti aiuteranno a gestire gli utenti sui dispositivi e i loro privilegi:
- evita di navigare online, aprire documenti o altre attività con l’account amministratore;
- evita di navigare online, aprire documenti o altre attività con l’account amministratore;
- arresta i servizi che non stai usando, come il Bluetooth o la condivisione dei file;
- mantieni il controllo degli accessi per gli utenti limitandone gli accessi a specifiche task o azioni, per ridurre l’impatto di un data loss nel caso un utente infettato;
- mantieni le macro disabilitate di default per i file Microsoft Office;
- esegui audit regolari di utenti locali e di dominio. Rimuovi / disabilita quelli non necessari;
- imposta password solide per utenti e account email. Le password solide contengono lettere maiuscole, minuscole, numeri e caratteri speciali. Tuttavia evita password “banali” come P@assw0rd, Admin@123# ecc…
- imposta la scadenza delle password e le policy di lockout per gli account (ad esempio nel caso in cui una password non corretta viene inserita numerose volte);
- non assegnare privilegi di amministrazione ad account che non ne hanno necessità.
Installa una soluzione di sicurezza informatica affidabile e riconosciuta
Assicurati di proteggere la rete e tutti i tuoi dispositivi con una soluzione antivirus affidabile e riconosciuta. Mantieni le soluzioni di sicurezza aggiornate.
Quick heal fornisce protezione completa?
Le soluzioni di sicurezza di Quick Heal sono pensate per fornire protezione multi livello col supporto della potente tecnologia GoDeep.AI. Questa tecnologia avanzata aiuta ad affrontare i rischi e le sfide posti da minacce nuove e sconosciute o già conosciute.
1. Prima linea di difesa (blocco dei contenuti a rischio): Firewall, IPS, Protezione Web, Protezione Email
- Firewall: limita il traffico indesiderato da porte e applicazioni;
- Protezione Web: impedisce la comunicazione con URL e siti web notoriamente dannosi;
- Protezione Email: consente di individuare gli allegati dannosi prima che gli utenti li possano scaricare ed aprire;
- IPS: i sistemi di prevenzione e rilevamento delle intrusioni aiutano a bloccare / limitare gli attacchi contro la rete che sfruttano le vulnerabilità a livello di rete, nel sistema operativo, nelle applicazioni. Ad esempio, il famoso ransomware WannaCry sfrutta una vulnerabilità del protocollo SMB di Windows. La protezione IPS può rilevare tali attacchi. IPS limita anche attacchi DDoS, Cross Site Scripting, SQL Injection ecc…
2. Seconda linea di difesa(blocco dei contenuti a rischio): protezione in tempo reale
- La protezione in tempo reale aiuta nei casi in cui un file dannoso dovesse arrivare sul dispositivo tramite internet o altri mezzi come un drive USB removibile. L’uso dell’apprendimento automatico e della rilevazione euristica contribuiscono a rafforzare questo livello di protezione.
3. Terza linea di difesa: blocco di minacce sconosciute in base al comportamento o ad alcuni attributi
Questo livello di difesa si articola in:
- individuazione euristica in base agli attributi dei malware (nome file, attributi del file, certificati e firme digitali ecc…);
- individuazione cloud-based e machine-learning based;
- individuazione comportamentale: anti ransomware e sistemi che individuano i malware in base alle azioni che compiono sui dispositivi e sulle reti.
Quick Heal è la prima compagnia indiana con un brevetto ufficiale USA per la tecnologia anti ransomware. Scopri qui tutti i dettagli