Cryptolocker, cryptovirus, ransomware; risposte e soluzioni
Cryptolocker, cryptovirus e ransomware in generale, sono tra le minacce più temute.
Una infezione di questo genere è spesso in grado di mettere in ginocchio un sistema informatico. Ecco perchè dovremmo metterci al riparo prima che questo accada.
I ransomware sono una tipologia di virus che, criptando i dati presenti nel computer, li rendono inaccessibili. Tali dati possono essere decriptati dietro il pagamento di un riscatto in BitCoin.
I sintomi dell’infezione da ransomware sono la variazione nell’estensione dei files (e la conseguente impossibilità ad aprirli) e la comparsa di file o schermate che rivendicano l’azione e chiedono i soldi del riscatto.
Da qualche tempo, oltre ad criptare i files presenti sul comune, cancellano anche le shadow copy presente nel sistema e modificano le policy di sicurezza e alcuni files del sistema operativo.
Lo scopo di queste attività è quella di impedire il recupero dei dati, a meno che non si paghi il riscatto o non si abbia a disposizione un backup, e di lasciare una porta aperta per eventuali infezioni future, nel caso il sistema venga ripristinato senza eseguire la reinstallazione del sistema operativo.
Come avviene l’infezione da ransomware ?
Generalmente l’infezione avviene tramite posta elettronica, il cosiddetto phishing. Tramite questa tecnica l’utente viene convinto a cliccare su email e allegati apparentemente leciti e inviati da persone conosciute. Bisogna dire a questo riguardo che tali email sono confezionate in modo da ingannare chiunque e solo con una attenta verifica di alcuni particolari si può identificare la minaccia (nulla a che vedere con le vecchie email di virus o spam, spesso tradotte male o completamente sgrammaticate). Spesso l’infezione non parte immediatamente per non lasciare nessuna correlazione tra gli eventi (per esempio, una email aperte alle 9 del mattino può innescare l’infezione alle 2 del pomeriggio).
Un altro veicolo di infezione sono le vulnerabilità del sistema operativo, tramite le quali l’hacker riesce ad avere accesso al sistema o gli attacchi mirati al furto delle credenziali (generalmente a forza bruta). Di questo tipo mi ricordo una nota vulnerabilità del servizio RDP di windows 7 e le infezioni di WannaCry che sfruttavano bachi di sicurezza su sistemi non aggiornati.
Oltre a queste modalità, l’infezione può essere veicolata da file infetti distribuiti su chiavette USB o tramite download di programmi mascherati da software conosciuti come innocui e da mille altre cose presenti su internet (inclusi link pubblicitari etc etc. Diciamo che, mentre noi stiamo elencando i metodi di infezione, probabilmente qualcuno ne sta già pensando di nuovi, per eludere i nostri controlli.
Cosa possiamo fare per proteggerci ?
Come prima cosa dobbiamo ricordarci che la prima vulnerabilità è sempre il fattore umano. Bisogna formare ed educare le persone ad un corretto utilizzo della rete e a prestare attenzione ai dettagli delle email che possono risultare sospette. Per esempio, il fatto che io riceva una email dal gestore di energia, non significa che il mittente sia davvero chi pretende di essere; magari leggendo con attenzione il corpo della email potremmo notare che il codice fiscale o a partita iva o l’indirizzo non corrispondono per nulla a quello effettivo.
Un altro livello di sicurezza viene dato da un buon sistema antivirus, il quale dovrebbe essere in grado di notare comportamenti anomali e bloccare quasi in tempo reale la fonte di infezione. Bisogna però aggiungere che spesso i ransomware sono in grado di bypassare gli antivirus in quanto non installano nulla in locale ma si limitano a stabilire una connessione verso un server esterno con il quale colloquiano e scambiano le chiavi di crittografia.
Un’altra priorità da non sottovalutare è senza dubbio il backup. Bisogna a questo punto ricordare che, in caso di infezione. le alternative sono quelle di pagare il riscatto o ripartire dalle copie di salvataggio. Ovviamente tali copie devono essere effettuate quotidianamente su un supporto inaccessibile da eventuali minacce (es: condivisione su NAS, protetta da password).
Un altro livello di protezione viene dato dal firewall perimetrale UTM, il quale con i vari servizi a corredo riesce a riconoscere la minaccia e bloccarla prima che diventi effettiva. Tra questi servizi voglio segnalare APT blocker che, tramite un sistema basato anche su sandbox, identifica e blocca, ransomware, minacce zero-day e malware in evoluzione.
Un’altro è il servizio TDR, il quale agisce direttamente sul client e, secondo un sistema di punti assegnati a specifici comportamenti e comunicando in tempo reale con il firewall e con il servizio in cloud, arriva addirittura a disabilitare la scheda di rete.
Lascia un commento
Devi essere connesso per inviare un commento.