Ransomware cos’è e cosa fare in caso di attacco

Ransomware: come funziona e come reagire

DiLucrezia Zangrilli
Share

Il ransomware aziendale è tra le minacce che più si rivelano pericolose per una ragione molto semplice: mette a repentaglio la stabilità e la continuità operativa dell’intera infrastruttura IT, a fronte di tempi decisamente rapidi.

Si tratta di una tipologia di attacchi sempre più diffusa proprio in virtù della loro efficacia e sofisticatezza: a cascarci sono state infatti anche diverse multinazionali rinomate. Proteggersi è quindi fondamentale.

Cos’è un ransomware

Per capire cos’è un ransomware prendiamo in prestito la definizione del Garante della Privacy: “Il ransomware è un programma informatico dannoso (“malevolo”) che può “infettare” un dispositivo digitale (PC, tablet, smartphone, smart TV), bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) per poi chiedere un riscatto (in inglese, “ransom”) da pagare per “liberarli”.”

Il ransomware appartiene quindi alla categoria dei malware. Il primo attacco con questa tecnica risale al 1989 e già poco meno di dieci anni dopo, nel 1996, Moti e Adam Young, ricercatori della Columbia University, definirono questi attacchi una vera e propria forma di estorsione crittovirale, mettendo in luce la potenza di uno strumento di questo tipo.

Sono passati diversi anni e il ransomware è una tecnica che è diventata ancora più letale, un po’ come quei virus particolarmente resistenti.

Come avviene un attacco

Un attacco di ransomware segue dinamiche differenti a seconda della tipologia, motivo per cui non c’è una procedura unilaterale. Nella maggior parte dei casi, il meccanismo tende a svilupparsi secondo uno schema ricorrente:

  1. il sistema manifesta una vulnerabilità, anche minima. Per sondare la cosa, il cybercriminale può far leva, ad esempio, su una e-mail di phishing, una password debole, un programma non aggiornato;
  2. una volta ottenuto un primo accesso, il cybercriminale è già a buon punto: il malware si propaga nella rete;
  3. inizia il vero e proprio attacco da parte del ransomware. Il virus infetta file, database, sistemi e dispositivi. Si propaga a dismisura e mina l’accesso ai dati;
  4. spesso il cybercriminale invia una richiesta di riscatto, solitamente contenuta, a meno che il danno non sia ingente. Le aziende sono quindi particolarmente esposte;
  5. le conseguenze sono quanto mai spiacevoli nel momento in cui coinvolgono backup, servizi in cloud, gestionali, infrastrutture centrali dell’azienda.

Cosa fare subito in caso di attacco

Premesso che la cosa migliore è prevenire, non sempre risulta possibile. È dunque importante essere preparati e sapere cosa fare in caso subentrasse un attacco di ransomware. 

È buona prassi evitare di agire di impulso, poiché questo tipo di interventi rischia soltanto di aggravare la situazione. Ecco alcune best practices da adottare:

  • isolare immediatamente i dispositivi compromessi dalla rete aziendale;
  • scollegare eventuali connessioni condivise, VPN e accessi remoti;
  • evitare di aprire ulteriori file o applicazioni sospette;
  • non cancellare dati o sistemi compromessi senza prima effettuare verifiche tecniche;
  • verificare lo stato dei backup aziendali;
  • attivare procedure interne di incident response;
  • contattare tempestivamente specialisti di cybersecurity;
  • documentare quanto accaduto per facilitare analisi e ripristino.

Una nota a parte per quanto riguarda il pagamento del riscatto: non è la soluzione migliore. Non garantisce, infatti, in automatico il recupero dei dati né l’eliminazione definitiva della minaccia, anzi, crea un precedente.

Come prevenire attacchi futuri

Prevenire è la miglior cosa, quando si parla di ransomware aziendale, in quanto permette di contenere sensibilmente il rischio di compromissione dei dati aziendali

Richiede però un approccio che agisce sia a livello tecnico che umano. Di seguito riportiamo un elenco delle misure più efficaci, da attenzionare nel tempo:

  • aggiornamento costante di software, sistemi e dispositivi;
  • utilizzo dell’autenticazione a più fattori;
  • protezione della posta elettronica aziendale;
  • monitoraggio della rete e degli accessi;
  • limitazione dei privilegi utente;
  • formazione continua del personale.

Il ruolo del backup nella difesa 

Uno degli strumenti di prevenzione più efficaci per la sicurezza dei dati è il backup. Consente di recuperare le informazioni svincolandosi dal pagamento del riscatto.

Tuttavia, per risultare davvero efficace dovrebbe essere aggiornato periodicamente, isolato dalla rete principale e verificato attraverso test regolari di ripristino

Il backup è una cosa seria, uno strumento potente, ma va saputo utilizzare, altrimenti diventa soltanto un altro elemento sensibile a un attacco di ransomware.


Share

Articoli simili