Torna alle news
15 settembre 2016

Ramsonware

La minaccia dell’estorsione on line



Una delle minacce informatiche più temibili in questo momento è il Ramsonware, una forma di malware che, a partire dal pc infettato, cripta i dischi locali e i dischi di rete direttamente accessibili.

I file criptati non possono essere più decriptati e si rischia di perderne il contenuto per sempre. Scopo del Ramsonware è l’estorsione di denaro per ottenere (ma pare non sempre) una chiave di decriptatura, e per questo non attacca solamente le grandi aziende ma anche quelle piccole e i privati.

Quali sono i danni

I danni causati dalla perdita dei dati possono essere devastanti per l’attività professionale o aziendale: dall’enorme costo dovuto al blocco temporaneo delle attività produttive in attesa di ripristinare i computer e i server, fino al temuto blocco totale in caso di perdita dei dati. Senza contare i possibili risvolti legali, come nel caso della legge sulla privacy che in caso di controversia obbliga l’azienda a fornire indicazione dei dati personali in proprio possesso.

Come funziona

Spesso l’infezione arriva da un allegato di una mail, dalla visita di una pagina web malevole magari richiamata ad arte da un link di una mail ricevuta o dall’apertura di un allegato.
Un attimo di distrazione e un click sono sufficienti ad aprire un allegato, oppure visitare una pagina malevola, e il Ramsonware viene caricato ed eseguito a nostra insaputa. Da questo momento incomincia a criptare tutti i file che trova nei percorsi raggiungibili dalla stazione pc.
Al termine della criptatura viene mostrato un invito a pagare un riscatto per ottenere una chiave di decriptatura (la traduzione del termine “ramson” è “estorsione”). Spesso con il passare del tempo la richiesta di denaro aumenta e oltre una data limite non è più possibile riscattare i dati.

Quali i rimedi

Una volta colpiti dal Ramsonware i rimedi sono limitati. È possibile:

  • pagare il riscatto dei dati
  • affidarsi a una struttura di recupero dati
  • ripristinare i dati dal backup (se disponibile)

Al di là delle eventuali implicazioni legali, il pagamento del “riscatto” non garantisce di ricevere la chiave di decriptatura. Anche affidarsi a una struttura per il recupero dei dati non dà la garanzia di successo! La sola soluzione che permette il ripristino dei dati è il backup.

Come proteggersi

Una valida strategia di backup, possibilmente conservato in supporti non connessi alla rete aziendale è quanto più di tutto consente di ritornare operativi. I backup completi sono preferibili in quanto consentono di abbreviare i tempi di ripristino.
Ma sebbene il backup sia indispensabile, occorre affiancarlo a misure di prevenzione e limitazione del danno. Infatti si deve considerare che comunque il ripristino delle postazioni di lavoro e dei server richiede molto tempo e un costo considerevole.
Un efficace filtro di posta elettronica e un efficace software antivirus possono mitigare ma non escludere la possibilità di infezione. Infatti questo genere di malware muta rapidamente e potrebbe non essere riconosciuto dai sistemi antivirus. I gateway di posta sono una possibile soluzione.
Inoltre occorre limitare i diritti dell’utente collegato alla stazione pc, evitando di concedere i diritti di amministratore con i quali il virus può essere eseguito e quindi può infettare la macchina e la rete.
Occorre limitare l’accesso a file server e NAS alle sole cartelle di competenza dell’utente ed in particolare evitare dischi con accesso a chiunque. La parzializzazione dell’accesso alle cartelle riduce la superficie impattata da un eventuale attacco, ma il backup dei dati risulta comunque fondamentale per potere ripristinare i dati persi.
Infine, ma non ultimo, occorre informare e formare il personale circa i nuovi rischi e la corretta condotta aziendale da mantenere.

Rischi per i sistemi scada

I sistemi scada sono ovviamenti coinvolti nei danni da Ramsonware. Importanti dati produzione potrebbero essere criptati e persi per sempre. Anche in questo caso prevenzione, mitigazione del rischio e backup sono importantissimi per mantenere l’operatività aziendale.

Rimedi per i sistemi scada

In generale valgono le misure sopra elencate, senza dimenticare il backup della configurazione dello scada. Molto spesso le copie della configurazione vengono perse o non sono mai state effettuate oppure fornite, con grave pregiudizio della possibilità di ripristino della supervisione.

Note

L’argomento trattato è estremamente complesso ed i rischi connessi potenzialmente si raccomanda vivamente di consultare il proprio sistemista per la definizione della strategia e della implementazione delle difese della propria rete.

L’articolo si ispira a “Ramosnware – A survival guide”, edito da Altaro una società europea specializzata in soluzioni di backup dati, (http://www.altaro.com/vm-backup/ebooks/ransomware-ebook.php), a cui rimandiamo eventuali approfondimenti.