Fino al 2020, la strategia principale per difendersi dal malware era quella di avere un backup dei dati che non fosse costantemente accessibile dalla rete. Il ransomware è quel tipo di malware che cifra i dati aziendali e che, in cambio della chiave necessaria a decifrarli, chiede un riscatto (solitamente in Bitcoin).

Una delle prime azioni che un ransomware tradizionale compie è quella di cercare e distruggere anche i backup. Per ovviare al problema, i backup vengono quindi conservati in server o supporti scollegati dalla rete.

ADV
Webinar Finanziamenti a fondo perduto PNRR NextGen EU

L’IT as-a-service e le opportunità dei finanziamenti PNRR e NexGen EU

Come il modello IT as-a-Service e i finanziamenti NextGen EU e PNRR possono essere gli strumenti giusti per erogare i servizi digitali richiesti dal business e dal mercato.      ISCRIVITI ORA >>

Questa tecnica non è perfetta perché con backup asincroni e scollegati si perde la possibilità di recuperare i dati più recenti, solitamente quelli della giornata in cui si scatena l’attacco.

Inoltre, il ripristino di decine o centinaia di pc e server può bloccare le attività aziendali per giorni o settimane (la durata media dell’interruzione del servizio è di 21 giorni, secondo uno studio di Coveware di fine 2020). In ogni caso, di fronte alla possibilità di perdere tutti quanti i dati e l’accesso ai computer – magari necessari alla produzione – era una strategia accettabile.

La triplice minaccia dei nuovi ransomware

Diciamo “era”, perché i malware che circolano da un anno a questa parte sono completamente diversi da quelli del passato, e attuano due nuovi tipi di estorsione di fronte alle quali il backup non serve a nulla. Prima di cifrare i dati aziendali e far partire la richiesta di riscatto – rendendo evidente l’attacco – i nuovi ransomware rubano silenziosamente i dati, permettendo agli autori di andare alla ricerca di informazioni aziendali riservate o compromettenti (come segreti industriali, l’elenco dei clienti, documentazione interna, email…).

Quando il ransomware si manifesta, la minaccia a questo punto è su tre livelli:

  • Perdere per sempre i dati aziendali, se non si ha un backup recente.
  • Vendere i segreti industriali alla concorrenza, su siti che sono nati nel dark web proprio a questo scopo;
  • Diffondere pubblicamente informazioni compromettenti, per esempio le informazioni personali dei clienti che potrebbero chiedere un risarcimento – anche come class action – per violazione del Gdpr.

È chiaro che, contro le ultime due azioni, avere un backup non serve più a nulla.

Come difendersi dal ransomware nel 2021

Il ransomware parte quasi sempre da un pc, attraverso l’apertura di un documento infetto inviato via mail a un dipendente (solitamente un Pdf o file di Word), o dalla visita di un sito compromesso (in questo caso, a volte il malware agisce unicamente in memoria, senza bisogno di scrivere file sul disco, eludendo i controlli di molti antivirus).

È quindi fondamentale individuare il malware in questo stadio, sul primo pc, e mettere in atto una serie di azioni per isolarlo e bloccarne gli effetti su tutta la catena: altri pc, condivisioni e rete. I prodotti che fanno questo tipo di attività sono chiamati Endpoint Detection and Response. La soluzione GravityZone di Bitdefender è uno strumento particolarmente efficace contro i ransomware, perché agisce su più livelli e nelle diverse fasi dell’attacco agendo per la prevenzione, il rilevamento precoce e il risanamento, con una serie di azioni mirate:

  • Livelli multipli di blocco su endpoint e network, prima che il malware agisca (anche se presente solo in memoria)
  • Livelli multipli di rilevamento con ispezione dei processi, monitoraggio dei registri e ispezione del codice
  • Livelli multipli di ripristino con rollback efficace da macchina locale o sistema remoto
  • Difese adattive Anti-exploit avanzate, che analizzano il comportamento del malware anche con machine learning configurabile
  • Tecnologie di mitigazione dei rischi attraverso la correzione automatica delle vulnerabilità, delle configurazioni non corrette del sistema e del comportamenti degli utenti
  • Backup a prova di manomissione, che non fa uso di copie shadow impedendo al ransomware di cancellare le copie di sicurezza
  • Blocco dei ransomware da remoto e sulla rete, mettendo in blacklist gli indirizzi IP degli aggressori
  • Pulizia a livello di tutta l’organizzazione, terminando i processi, rimuovendo il malware e mettendo in quarantena globale i file

Contro attacchi mirati e avanzati come quelli che si stanno vedendo, però, il semplice utilizzo di un prodotto non può bastare, se non è affiancato da un monitoraggio attento e costante da parte di personale competente. Non a caso, molti ransomware mirati entrano in azione nel weekend, quando lo staff IT non è presente.

Per questo, se l’azienda non dispone di un Security Operations Center attivo 24 ore su 24 e 7 giorni su 7, la soluzione migliore è quella di affidarsi a un servizio gestito di rilevamento e risposta agli attacchi informatici. A questo indirizzo potrai trovare più informazioni sulle soluzioni di Managed Detection and Response basate su Bitdefender GravityZone.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!