Il ransomware è ora una minaccia per le aziende: come OPSWAT può aiutarle?

Che cos'è il ransomware?

Nell'improbabile caso in cui non abbiate mai sentito parlare della minaccia in più rapida crescita nell'ambito della sicurezza informatica, il ransomware è un tipo di malware che si installa di nascosto in un sistema, blocca o cripta i dati al suo interno e chiede un riscatto per liberarli o decriptarli.

Il ransomware è fiorito nel 2016, in parte a causa di politiche di sicurezza mal definite (tra cui la mancanza di backup regolari) da parte di consumatori e PMI, e in parte a causa di ingegnose tattiche di social engineering impiegate dai cybercriminali.

Come mostra questo video di Cisco, l'immagine dell'hacker in felpa con cappuccio è ormai superata da tempo: l'avvento del"ransomware as a service" ha permesso a persone con competenze di programmazione limitate, o addirittura nulle, di utilizzare kit di ransomware confezionati in modo ordinato per rilasciare payload di malware ed estorcere denaro a imprese incaute. I kit di ransomware possono essere acquistati a partire da 100 dollari sul dark web.

Le imprese devono essere molto preoccupate per il ransomware

La natura lucrativa del modello ransomware lo rende allettante per i criminali informatici. Con la crescente redditività del ransomware come servizio, il ransomware non è più una preoccupazione solo per le piccole e medie imprese e per i consumatori.

Purtroppo, la percezione generale tra le aziende è ancora quella che il ransomware sia un problema dei consumatori o delle PMI e che non sia motivo di preoccupazione. Si tratta di un'ipotesi pericolosa per diversi motivi:

1. Il fatto è che le aziende sono effettivamente colpite dal ransomware: nel 2016, secondo una ricerca di Malwarebytes(via ZDNet), il 40% delle aziende intervistate ne è stato colpito.
2. Anche se il modello di sicurezza della vostra organizzazione è maturo e disponete di modelli di disaster recovery ben definiti, dovete considerare il costo di backup incompleti, i meccanismi di ripristino limitati per i dati mission-critical e il tempo necessario per un ripristino completo.
3. Il ransomware si sta evolvendo rapidamente: le nuove varianti utilizzano un approccio senza file, rendendo più difficile il loro rilevamento da parte delle scansioni dei file. Ancora più sconcertante è il livello di sofisticazione crescente delle varianti di ransomware: una recente variante chiamata Locky impiega una crittografia RSA e AES estremamente forte, cripta i file non solo sul sistema infetto ma anche sulle unità di rete non mappate collegate al punto di infezione e cancella le istantanee del volume shadow. In altre parole, anticipa le azioni correttive ed è specificamente progettato per impedire il ripristino dei file eliminando le copie shadow.

Vettori di attacco

Il 2016, secondo la maggior parte dei ricercatori di sicurezza informatica, è stato l'anno delle estorsioni. Alcuni dei metodi più diffusi utilizzati per far cadere il payload del malware nel 2016 sono stati:

E-mail di phishing mirate con allegati o link dannosi (Locky, Torrentlocker, CTB-Locker)

Un metodo di attacco comune nel 2016 è stato il seguente: Un dipendente dell'azienda riceve un'e-mail apparentemente legittima con un allegato (ad esempio una fattura). Quando l'allegato viene aperto, la codifica del documento appare confusa (piena di caratteri non corretti). Potrebbe essere visualizzato un messaggio simile a questo: "Se la codifica dei dati non è corretta, abilitare le macro". Non appena l'utente abilita le macro, il ransomware viene scaricato e il payload viene eseguito.

Schemi di ingegneria sociale

I criminali informatici si rendono conto che nella maggior parte delle aziende moderne l'anello di sicurezza più debole è l'utente. Gli schemi di social engineering prevedono in genere di ingannare i dipendenti inconsapevoli per indurli a consegnare PII o dati come le password di sistema.

Utilizzo dei kit di exploit

I kit di exploit sono toolkit di malware che sfruttano vulnerabilità note o sconosciute quando un potenziale bersaglio visita un sito web compromesso. Questi attacchi sono spesso condotti attraverso il malvertising. Uno degli exploit kit più noti oggi esistenti è l'exploit kit Angler. Secondo il Midyear Security Report di Cisco, nel 2015 Angler ha rappresentato il 36% della penetrazione degli utenti negli attacchi informatici osservati fino a quel momento.

Come si può evitare di cadere vittima del ransomware?

1. Utilizzate una soluzione antimalware efficace; idealmente, utilizzate più soluzioni. Come dimostra il grafico comparativo di OPSWAT, la probabilità di catturare un focolaio di malware aumenta esponenzialmente con la potenza della scansione multipla. OPSWAT's MetaDefender Core sfrutta oltre 100 motori anti-malware, di sanificazione dei dati, di vulnerabilità e di sicurezza per garantire la migliore protezione contro le minacce note e sconosciute. La scansione multipla consente non solo di migliorare significativamente i tassi di rilevamento, ma anche di ridurre il tempo di esposizione dell'epidemia. Inoltre, le API di MetaDefender consentono una facile integrazione con le soluzioni esistenti. Ulteriori informazioni su MetaDefender Core .

2. Avere una politica di sicurezza aziendale politica di sicurezza aziendale ben definita che sia applicata a tutti i livelli dell'organizzazione.

3. Backup, backup e backup! Assicuratevi che i backup dei file vengano eseguiti regolarmente e che la vostra organizzazione disponga di un piano di backup e di disaster recovery ben definito. Assicuratevi di verificare in anticipo con il vostro fornitore i costi e i tempi per un ripristino completo in caso di un colpo all'infrastruttura critica.

4. Investite in un buon proxy web o in gateway web sicuri che aggiungono un ulteriore livello di difesa e proteggono i vostri server dall'esposizione alle infezioni. MetaDefender ICAP Server espone un'interfaccia ICAP che consente agli amministratori di sistema di integrare facilmente la tecnologia di multi-scansione e sanificazione dei dati di OPSWAT in un proxy web esistente per la scansione anti-malware di tutti i download e gli upload HTTP. Per saperne di più , leggete qui.

5. Affrontare le vulnerabilità. Riducendo o eliminando le vulnerabilità, gli utenti malintenzionati hanno meno possibilità di accedere a informazioni sicure. Le vulnerabilità non patchate sono un problema serio. Anche se la vostra politica di sicurezza richiede aggiornamenti regolari, alcuni dipendenti potrebbero essere irritati dalle continue notifiche di aggiornamento e disattivare gli aggiornamenti automatici.

Con MetaDefender Core's Vulnerability Engine, è possibile:

• Eseguire la scansione dei sistemi alla ricerca di vulnerabilità note a riposo, senza doverli accendere.
• Verificare la presenza di vulnerabilità note nel software prima di installarlo.
• Scansione rapida di interi sistemi e applicazioni in esecuzione alla ricerca di vulnerabilità.

Scaricate qui uno strumento gratuito di valutazione delle vulnerabilità per ottenere un rapido rapporto sulle vulnerabilità dei vostri endpoint.

6. Aumentare la consapevolezza della sicurezza all'interno dell'organizzazione. Assicuratevi che i vostri dipendenti siano consapevoli dei vettori di attacco più comuni: phishing e social engineering. Investite in soluzioni potenti per la sicurezza delle e-mail: un gateway e-mail sicuro non è sempre sufficiente. MetaDefender Email Security aggiunge un livello di protezione più forte ai gateway e-mail sicuri esistenti.

7. Per le organizzazioni che hanno una politica BYOD (Bring Your Own Device), assicuratevi che gli utenti non installino applicazioni non firmate o di terze parti. Investite in soluzioni di mobilità aziendale che consentano pratiche BYOD più sicure, come ambienti virtuali, classificazione dei dati e soluzioni di scansione dell'integrità dei dispositivi.

E se siete già infetti?

1. Isolare il dispositivo infetto dalla rete il prima possibile. Questo aiuta a prevenire la diffusione del ransomware.
2. Verificare se esistono punti di ripristino del sistema sani che possono essere utilizzati per recuperare i file.
3. Se avete investito in una soluzione di backup e disaster recovery, verificate con il vostro team di assistenza se i dati sono recuperabili.
4. In alcuni casi, potrebbe essere possibile decriptare i file. Ecco alcuni strumenti di decriptazione dei ransomware liberamente disponibili, forniti da aziende anti-malware:
   • https://noransom.kaspersky.com/
   • https://www.avast.com/ransomware-decryption-tools
   • http://www.avg.com/us-en/ransomware-decryption-tools

Un elenco completo di strumenti gratuiti di decriptazione dei ransomware per sbloccare i file è gestito dalla brava gente del Windows Club. Inoltre, controllate il progetto No More Ransom per verificare se è possibile recuperare i file crittografati.

Come nota finale, OPSWAT non consiglia di pagare il riscatto. Non c'è alcuna garanzia che, dopo aver ricevuto il riscatto, gli aggressori decripteranno i file e potreste esporvi a ulteriori richieste di riscatto.

Per saperne di più su come OPSWAT può proteggere la vostra organizzazione dal ransomware, contattateci oggi stesso.