Cryptolocker e Ransomware

-


Negli ultimi mesi si è manifestata in maniera sempre più frequente una problematica di sicurezza che negli ultimi anni ha colpito sporadicamente le aziende. Si tratta di un malware che ha creato di fatto una nuova categoria, i “ransomware” (da ransom, riscatto) in quanto oscura i documenti locali rendendoli disponibili solo previo pagamento di un corrispettivo economico.

Come

Generalmente il vettore d’infezione è una mail di phishing creata ad arte, come false bollette ENEL o comunicazioni contraffatte di corrieri quali SDA o TNT. In allegato viene dato un file eseguibile mascherato da PDF, che, una volta eseguito, procede a:

 Enumerare tutte le cartelle e le condivisioni a cui l’utente ha accesso

 Crittare con una chiave asimmetrica tutti i dati “importanti” (documenti di testo, fogli di Excel, database, ecc)

Ultimamente le mail sono diventate sempre più perfettibili e quasi irriconoscibili anche ad un occhio molto attento e spesso gli eseguibili sono camuffati come link ad altri siti che paiono sicuri.

I file cifrati vengono rinominati con l’estensione .encrypted, ed in ogni cartella dove sono stati crittografati i file vengono inserite le informazioni di un sito da visitare per ottenere importo e destinazione del riscatto da pagare. La moneta della transazione è generalmente il BitCoin.

Effetti

L’impiego della crittografia asimmetrica è critico per due motivi: prima di tutto gli algoritmi matematici che rendono sicure le comunicazioni cifrate implicano che i tempi per la decrittazione senza conoscere le chiavi (procedendo per tentativi) siano lunghissimi, dell’ordine di decenni. In secondo luogo la chiave di decrittazione non viene inclusa nel programma malevolo - non è quindi possibile intervenire nel processo e ricavare questa informazione durante la compromissione o successivamente senza rivolgersi ai criminali informatici che hanno ordito l’attacco.

Le possibili soluzioni a questo scenario sono tre:

1. Accettare di perdere tutti i dati

2. Pagare il riscatto

3. Implementare la strategia di Disaster Recovery aziendale

Il primo scenario è raramente attuabile, mentre il secondo – benchè eticamente deplorevole – spesso è l’unico modo di procedere quando il terzo non è disponibile. Da segnalare che il pagamento di un riscatto non è operazione priva di rischi: posso subire una ulteriore frode mentre acquisto BitCoin, oppure potrei non ricevere il decrittatore dopo il pagamento, oppure ancora potrei estendere la portata del danno inoculando altri software dannosi.

Proteggersi dal ransomware

La protezione dal ransomware non è assolutamente cosa da poco, e comprende un insieme di nuove scelte tecnologiche, revisione di procedure di sicurezza dei dati e miglioramento della consapevolezza negli utenti.

Revisione del processo di backup e delineamento del Disaster Recovery

In primo luogo va interamente rivisto il processo di backup aziendale, che benchè funzionale alle attuali esigenze aziendali (ripristino di file/cartelle) non è così efficace nel proteggere contro questa classe di minacce. Nel nuovo sistema vanno individuati tempi e modi di recupero per poter valutare quando e come impiegarli.

Infine va individuato un modo di traslare una copia dei backup su un supporto non direttamente accessibile, sia un set di dischi rimovibili utilizzati a rotazione oppure l’acquisto di un set di storage cloud.

Politiche di restrizione permessi ed ambito di utilizzo dei client

Sicuri sul versante ripristino, il primo step nella prevenzione è di evitare che lo stesso sia messo in esecuzione, tramite la restrizione dei privilegi concessi all’utente e degli ambiti di utilizzo a cui la postazione è destinata.

Troppo spesso per la manifesta incapacità delle aziende software ad adeguarsi ai sistemi di sicurezza basilari presenti in Windows da più di 5 anni (es. corretta configurazione di Windows Firewall e Controllo Account Utente o “UAC”) viene prospettata come unica strada quella di rimuovere queste protezioni completamente: questo tipo di approccio non è più sostenibile, in quanto per la funzionalità di un componente viene messa a rischio la produttività dell’intera azienda.

Consapevolezza degli utenti

Dev’essere creata o rafforzata la consapevolezza degli utenti (compresi i titolari!) riguardo l’utilizzo del client aziendale, che non può e non deve essere trattato come un PC privato, oltretutto l'obbligo della stesura protocollo GDPR stabilito dall'unione europea rende obbligatori una serie di dettami di conservazione e protezione dei dati. L’installazione di software non di utilizzo lavorativo o provenienti da fonti non verificate o non approvate è causa di rischio, così come la navigazione su siti non inerenti all’attività lavorativa, cosa fattibile da filtri su firewall predisposti. Devono imparare a riconoscere ed evitare le situazioni ad alto rischio di phishing, come mail fasulle o siti non protetti e che qualsiasi danno dovuto all’incauto utilizzo è diretta responsabilità personale!

Come possiamo aiutarvi

Fluxus IT ha tutte le competenze necessarie per gestire sia la parte procedurale di sicurezza e responsabilità (GDPR) che quella tecnologica anche ad alto livello (Penetration e remediation test) come a profilo standard (Antivirus, Firewall adeguati etc) necessarie ad assicurare la protezione del vostro business da questa e dalle nuove minacce emergenti.

Commenti

Posta un commento

Post popolari in questo blog

Crack pagina di accesso basata sul Web con Hydra in Kali Linux

-
Immagine
Una password è tecnicamente definita come una stringa segreta di caratteri utilizzata per autenticare o accedere alle risorse. Deve essere tenuto segreto e nascosto ad altri a cui non è consentito accedere a tali risorse. Le password sono state utilizzate con i computer fin dai primi giorni dell'informatica. Uno dei primi sistemi di condivisione, è stato introdotto nel 1961. Aveva un comando di accesso che richiedeva una password utente. Dopo aver digitato “PASSWORD”, il sistema spegne, se possibile, il m eccanismo di stampa, in modo che l'utente possa digitare la propria password con riservatezza. La forza di una password è una funzione della lunghezza, della complessità e dell'imprevedibilità. Misura l'efficacia nel resistere a indovinare o romperlo. Le password deboli, d'altra parte, accorciano il tempo necessario per indovinare e ottenere l'accesso a e-mail personali/aziendali, dati sensibili come informazioni finanziarie, informazioni aziendali, carte di cr
Read more »

Smart Working ai tempi del Covid 19

-
Vi è un aspetto interessante nato durante la pandemia di Covid-19 e che ha rappresentato una svolta epocale dal punto di vista della gestione e la pianificazione delle attività lavorative. Molte aziende hanno dovuto adeguarsi alla necessità di salvaguardare la salute dei propri dipendenti, attuando politiche di tele lavoro concilianti anche con dinamiche di welfare aziendale. Tuttavia questo approccio ha portato ad un paradosso che è stato quello di confondere il tele lavoro con lo smart working e il lavoro agile. Tale distorsione nasce in primo luogo da una base culturale delle imprese, i
Read more »