Il ransomware è tra i più pericolosi attacchi informatici in circolazione. Questo tipo di malware può rubare dati, denaro e danneggiare i clienti delle aziende colpite. E può costare migliaia di dollari in costi diretti (in termini di manutenzione di infrastrutture) e molto di più in costi indiretti. Per evitare questo tipo di malware è possibile prendere delle importanti precauzioni. 

Come funziona un ransomware? 

Esistono diversi modi in cui i ransomware possono infettare un computer di un privato o un’intera rete aziendale. A volte l’attacco può essere originato dalla visita di un sito Web infetto, altre potrebbe essere causato da un malware proveniente da una chiavetta infetta. Tuttavia, il mezzo più comune per infettare un dispositivo con un ransomware è attraverso un’e-mail di phishing, che di solito include un collegamento nocivo che consentirà al malware (che eseguirà il ransomware) di accedere al sistema. A volte includerà una richiesta di credenziali di accesso o di altre informazioni private. Se la vittima fornisce queste credenziali, l’hacker potrà attaccare direttamente il computer o la rete senza nemmeno forzare la mano.

Il malware, una volta attivato, esegue una serie di operazioni: tra cui individuare eventuali backup del disco rigido e provvedere a eliminarlo o crittografarlo, rendendoli di fatto inaccessibili. In seguito, tutti i dati sul disco infetto verranno crittografati, a eccezione di quelli strettamente necessari per richiedere il riscatto dei dati tramite una somma di denaro da inviare agli hacker (spesso in criptovaluta); infine, il ransomware si annuncerà e mostrerà le istruzioni su come pagare il riscatto, cui una volta pagato seguirà l’invio della chiave di decrittazione e delle istruzioni su come usarla. 

Come proteggersi? 

Secondo Israel Barak, CISO di Cybereason, il miglior approccio è prepararsi in anticipo all’eventuale attacco e quindi proteggerti da eventuali danni attraverso la prevenzione. Inizialmente, nel caso di un’impresa, i dipendenti devono essere istruiti sulle regole base della sicurezza informatica. Ciò include la formazione su come riconoscere le e-mail di phishing e attacchi simili di social engineering. Un altro modo efficace per limitare il probabile danno può essere segmentare la rete aziendale in modo che un’infezione (ransomware o altro) possa diffondersi solo in alcune parti e mai in tutta l’infrastruttura. È utile inoltre limitare l’accesso alla rete dall’esterno eseguendo attività di Hardening volte a ridurre la superficie di attacco. Inoltre, è fondamentale mantenere sempre aggiornati i device aziendali. Ciò significa che tutti i computer, siano essi Windows o Mac, nonché eventuali tablet o smartphone collegati alla tua rete, devono avere installata sempre l’ultima versione disponibile. Gli aggiornamenti devono riguardare tutte le applicazioni e i driver presenti nei computer.  

Una ulteriore operazione da compiere è quella di eseguire frequenti backup e mantenere questi dati su server non accessibili direttamente dal Ransomware e utilizzare policy di autorizzazione che forniscano agli utenti i diritti di accesso minimi per poter operare: mai permettere ad un utente di operare sulla propria postazione con diritti amministrativi! ​

Tweet