Quando si parla di ransomware si fa riferimento a un malware, vale a dire una forma di software che può causare danni e che viene progettata per contrastare l’accesso ai dati di un sistema. Si tratta di una minaccia che dopo aver preso i dati in ostaggio ne concede il rilascio solo se viene pagato un riscatto. In passato, le vittime di aggressioni ransomware erano in particolare utenti singoli, mentre da qualche tempo a questa parte sono state soprattutto le organizzazioni e le aziende – di piccole, medie e grandi dimensioni – a patire tagli attacchi.
I ransomware di ingegneria sociale
Il ransomware di ingegneria sociale rappresenta il metodo che in passato veniva usato di più: si tratta della diffusione, attraverso strumenti di comunicazione, di allegati o link compromessi. Tale meccanismo si può concretizzare per mezzo di tecniche di mail phishing, con il download dalla rete di un bundle di file o con la navigazione su siti compromessi. Diverso è il caso del ransomware con intervento umano, con l’hacker che svolge un’azione grazie a cui penetra nella rete dell’organizzazione che patisce l’aggressione; ciò può avvenire tramite una vulnerabilità zero-day o rubando le credenziali di accesso.
Proteggersi dal ransomware
Che cosa si può fare dopo che i sistemi aziendali sono stati infettati dal ransomware? L’obiettivo è quello di far ricominciare l’operatività e ripristinare la situazione. Ovviamente il primo consiglio da mettere in pratica è quello di non pagare riscatti di alcun genere, anche perché non è detto che il pagamento permetta di rientrare in possesso dei propri dati; al contrario, può essere un incentivo per gli hacker nel proseguire con attacchi di questo tipo. Occorre, invece, entrare subito in contatto con la polizia postale o le autorità locali, affinché l’emergenza possa essere gestita in maniera adeguata.
Come comportarsi
È importante anche entrare in contatto nel più breve tempo possibile con uno staff di esperti che metta in pratica l’iter di incident response. Si comincia con l’isolamento dei dati che sono stati infettati, affinché il problema non si diffonda; dopodiché il ransomware può essere rimosso attraverso dei programmi ad hoc. Per ultimo, ci si può focalizzare sul ripristino del sistema o dei file con l’utilizzo di copie di backup. Tale procedura vale per entrambe le categorie di ransomware in cui ci si può imbattere, vale a dire i crypto ransomware e i locker ransomware. I primi sono ransomware che crittografano i file che si trovano sui dispositivi degli utenti, i quali possono sì accedere al sistema operativo; non riescono, tuttavia, a usare o aprire i file crittografati. I locker ransomware, invece, bloccano l’accesso al sistema operativo: con l’interfaccia bloccata, il dispositivo non può essere utilizzato dall’utente.
La prevenzione degli attacchi
Non è detto che sia semplice rilevare un attacco ransomware, a maggior ragione nel caso in cui il malware sia stato realizzato in modo da restare nascosto. Esistono, in ogni caso, degli indizi che lasciano intuire una infezione da ransomware: per esempio delle modifiche alle estensioni dei file, un incremento dell’attività della CPU o altre attività sospette. Poter disporre di un software di sicurezza aggiornato e affidabile è indispensabile per riuscire a difendersi dal ransomware: occorre un software capace di rilevare il ransomware e di bloccarlo prima che il sistema venga infettato. In generale, poi, se si naviga sul web è bene adottare la massima cautela, sia che si visitino siti non noti, sia che si tratti di scaricare l’allegato di una mail.
Come investire
Per ridurre al minimo le probabilità di subire un attacco hacker di tipo ransomware, si deve in primo luogo investire sulla formazione. Per i ransomware, infatti, il punto di ingresso è sempre rappresentato da un comportamento umano: per esempio l’impiego di password che possano essere decifrate con facilità, oppure l’apertura di una mail infetta, o ancora la navigazione su un sito sbagliato. Una specifica formazione anti phishing riservata ai collaboratori, pertanto, è una delle prime attività a cui pensare. Non meno importante, comunque, è la protezione degli endpoint, in combinazione con soluzioni di cyber sicurezza aggiornate e all’avanguardia. Il managed detection and response, per esempio, si fonda sull’analisi comportamentale dei device, ed è in grado di contrastare le minacce nel momento in cui si riscontrano azioni anomale.
Copywriter e SEO Specialist dal 2012. Appassionato di web marketing inizia a creare i primi siti web nel 2010. Nel 2017 decide di fondare il blog Mnews.it per il quale si occupa di realizzare guide all’acquisto su qualsiasi tipo di prodotti.