Sommario:
- Come vengono infettate le aziende?
- Preparare
- Impedire
- Proteggere
- Non pagare
- Sii produttivo
- Non aspettare che la scarpa cada
Video: Come sbloccare i file criptati da un ransomware (Settembre 2024)
Gli Stati Uniti si stanno preparando per il pieno impatto di un'epidemia di ransomware globale basata sulla varietà di malware Wanna Decryptor. È importante proteggere la tua azienda e i tuoi dati da questa minaccia in rapida espansione, ma una volta superata, devi ricordare che Wanna Decryptor è solo l'esempio più rumoroso del problema dei ransomware.
Ci sono tre cose da sapere sul ransomware: è spaventoso, sta crescendo rapidamente ed è un grande affare. Secondo l'Internet Crime Complaint Center (IC3) dell'FBI, tra aprile 2014 e giugno 2015 sono state ricevute oltre 992 denunce relative a CryptoWall, causando perdite per oltre $ 18 milioni. Tale successo maligno si riflette nel tasso di crescita del ransomware con l'indice di minaccia DNS Infoblox, che registra un aumento di 35 volte dei nuovi domini creati per il ransomware nel primo trimestre 2016 (rispetto al quarto trimestre 2015).
In generale, il ransomware lascia cadere un muro crittografato tra un'azienda e i dati interni e le applicazioni che l'azienda deve operare. Ma questi attacchi possono essere molto più gravi della semplice inaccessibilità dei dati. Se non sei preparato, la tua attività potrebbe fermarsi.
Basta chiedere a Hollywood Presbyterian Medical Center. Molto prima di Wanna Decryptor, l'ospedale ha imparato una dolorosa lezione quando il personale ha perso l'accesso ai propri PC durante un'epidemia di ransomware all'inizio del 2016. L'ospedale ha pagato il riscatto di $ 17.000 dopo che i dipendenti hanno trascorso 10 giorni facendo affidamento su fax e grafici cartacei. Oppure chiedi al dipartimento di polizia di Tewksbury. Nell'aprile del 2015, hanno pagato il riscatto per riottenere l'accesso agli archivi crittografati di incidenti e incidenti.
Come vengono infettate le aziende?
Se c'è un rivestimento d'argento per Wanna Decryptor a qualsiasi livello, è che serve a dimostrare, senza dubbio, che la minaccia presentata dal ransomware è reale. Nessuna azienda o dipendente è immune da un potenziale attacco di ransomware. È importante capire come il ransomware infetta i computer prima di discutere su come proteggere la tua azienda da esso o su come rispondere se sei compromesso. Comprendere l'origine e la modalità di infezione fornisce spunti per rimanere al sicuro.
Il ransomware proviene in genere da una delle due fonti: siti Web compromessi e allegati e-mail. Un sito Web legittimo che è stato compromesso può ospitare un kit di exploit che infetta la tua macchina, in genere attraverso un exploit del browser. La stessa metodologia può essere utilizzata da un sito Web di phishing. Un download drive-by installa ransomware e inizia a crittografare i tuoi file.
Nel caso di un allegato di posta elettronica dannoso, gli utenti vengono indotti ad aprire l'allegato, che quindi installa il ransomware. Questo può essere semplice come un falso messaggio di posta elettronica con un allegato eseguibile, un file Microsoft Word infetto che ti induce a abilitare le macro o un file con estensione rinominata come un file che termina in "PDF" ma è in realtà un file EXE (un eseguibile).
Attualmente, non esiste un proiettile d'argento per garantire la sicurezza della tua organizzazione dal ransomware. Ma ci sono cinque passi che ogni azienda dovrebbe prendere per ridurre drasticamente le possibilità di infezione e anche alleviare il dolore nel caso in cui un attacco abbia successo.
Preparare
Un componente chiave per preparare un attacco ransomware è lo sviluppo di una solida strategia di backup e l'esecuzione di backup regolari. "I backup affidabili sono un componente chiave di una strategia anti-ransomware", ha affermato Philip Casesa, stratega dello sviluppo prodotto presso ISC2, un'organizzazione globale senza fini di lucro che certifica i professionisti della sicurezza. "Una volta crittografati i file, l'unica opzione possibile è ripristinare il backup. Le altre opzioni sono pagare il riscatto o perdere i dati."
Panda Security's Corrons offre un'ulteriore cautela: i backup "sono fondamentali nel caso in cui le tue difese falliscano ma assicurati di aver rimosso completamente il ransomware prima di ripristinare i backup. In PandaLabs, abbiamo visto che i ransomware crittografano i file di backup".
Una buona strategia da considerare è una soluzione di backup su più livelli o distribuita che mantiene diverse copie dei file di backup in posizioni diverse e su supporti diversi (quindi un nodo infetto non ha immediatamente accesso sia ai repository di file correnti che agli archivi di backup). Tali soluzioni sono disponibili da diversi fornitori di backup online di piccole e medie imprese (SMB) e dalla maggior parte dei fornitori di Disaster-Recovery-as-a-Service (DRaaS).
Impedire
Come accennato in precedenza, l'educazione dell'utente è un'arma potente ma spesso trascurata nel tuo arsenale contro il ransomware. Istruire gli utenti a riconoscere le tecniche di social engineering, evitare il clickbait e non aprire mai un allegato da qualcuno che non conoscono. Gli allegati di persone che conoscono dovrebbero essere visualizzati e aperti con cautela.
"Comprendere come si diffonde il ransomware identifica i comportamenti degli utenti che devono essere modificati per proteggere la tua azienda", ha affermato Casesa. "Gli allegati di posta elettronica rappresentano il rischio numero uno per l'infezione, i download drive-by sono il numero due e i collegamenti dannosi nell'email sono il numero tre. Gli esseri umani svolgono un ruolo significativo nell'infezione da ransomware."
Addestrare gli utenti a considerare la minaccia ransomware è più facile di quanto si pensi, specialmente per le PMI. Certo, può assumere la forma tradizionale di un lungo seminario interno, ma può anche essere semplicemente una serie di pranzi di gruppo in cui l'IT ha la possibilità di informare gli utenti tramite discussioni interattive, per il prezzo basso di alcune pizze. Potresti anche prendere in considerazione l'assunzione di un consulente per la sicurezza esterno per fornire la formazione, con alcuni video supplementari o esempi reali.
Proteggere
Il posto migliore per iniziare a proteggere la tua PMI dal ransomware è con queste quattro principali strategie di mitigazione: whitelisting delle app, app di patch, sistemi operativi di patch (SO) e minimizzazione dei privilegi di amministratore. Casesa ha sottolineato rapidamente che "questi quattro controlli si occupano dell'85% o più delle minacce malware".
Per le PMI che fanno ancora affidamento sul singolo PC antivirus (AV) per la sicurezza, il passaggio a una soluzione di sicurezza endpoint gestita consente all'IT di centralizzare la sicurezza per l'intera organizzazione e assumere il pieno controllo di queste misure. Ciò può aumentare drasticamente l'efficacia di AV e anti-malware.
Qualunque soluzione scegliate, assicuratevi che includa protezioni basate sul comportamento. Tutti e tre i nostri esperti hanno concordato che l'antimalware basato sulla firma non è efficace contro le moderne minacce software.
Non pagare
Se non ti sei preparato e protetto dal ransomware e vieni infettato, potrebbe essere allettante pagare il riscatto. Tuttavia, quando è stato chiesto se si trattasse di una mossa saggia, i nostri tre esperti sono stati uniti nella loro risposta. Corrons ha sottolineato rapidamente che "pagare è rischioso. Ora stai sicuramente perdendo i tuoi soldi e forse stai recuperando i tuoi file non crittografati". Dopo tutto, perché un criminale dovrebbe diventare onorevole dopo averlo pagato?
Pagando i criminali, stai dando loro un incentivo e i mezzi per sviluppare un ransomware migliore. "Se paghi, lo fai molto peggio per tutti gli altri", dice Casesa. "I cattivi usano i tuoi soldi per sviluppare malware più cattivi e infettare gli altri."
Proteggere le vittime future potrebbe non essere la prima cosa quando si tenta di gestire un'azienda con i suoi dati tenuti in ostaggio, ma basta guardarli da questa prospettiva: quella prossima vittima potrebbe essere di nuovo da capo, questa volta a combattere ancora di più malware efficace che hai aiutato a pagare per lo sviluppo.
Casesa sottolinea che "pagando il riscatto, ora sei diventato un bersaglio più maturo per i criminali perché sanno che pagherai". Diventi, nel mondo delle vendite, un vantaggio qualificato. Proprio come non c'è onore tra i ladri, non vi è alcuna garanzia che il ransomware verrà rimosso completamente. Il criminale ha accesso al tuo computer e può decodificare i tuoi file e lasciare il malware su di esso per monitorare le tue attività e rubare informazioni aggiuntive.
Sii produttivo
Se i danni causati dal ransomware sono dovuti a un'interruzione della tua attività, perché non adottare misure per aumentare la continuità aziendale passando al cloud? "Il livello di protezione e sicurezza complessiva che si ottiene dal cloud è di gran lunga superiore a quello che una piccola impresa può permettersi", sottolinea Brandon Dunlap, Global CISO di Black & Veatch. "I fornitori di cloud dispongono di scansione malware, autenticazione avanzata e numerose altre protezioni che rendono molto basse le probabilità che soffrano di un attacco ransomware."
Per lo meno, sposta i server di posta elettronica sul cloud. Dunlap sottolinea che "la posta elettronica è un enorme vettore di attacco per il ransomware. Spostalo nel cloud dove i provider raggruppano più controlli di sicurezza come la scansione di malware e DLP nel servizio". Ulteriori livelli di sicurezza, come la reputazione del sito basata su proxy e la scansione del traffico, possono essere aggiunti attraverso molti servizi cloud e possono limitare ulteriormente l'esposizione al ransomware.Dunlap è entusiasta delle protezioni che il cloud offre contro i ransomware. "Siamo in un momento fantastico nella storia della tecnologia con una moltitudine di soluzioni a basso attrito per molti dei problemi affrontati dalle piccole imprese", ha affermato Dunlap. "Questo rende le piccole imprese più agili dal punto di vista IT."
Se il tuo computer locale viene infettato da ransomware, potrebbe non importare nemmeno se i tuoi dati sono nel cloud. Cancella il tuo computer locale, ri-immaginalo, riconnettiti ai tuoi servizi cloud e sei di nuovo in affari.
Non aspettare che la scarpa cada
Questa non è una di quelle situazioni in cui un approccio di attesa è la tua migliore tattica. Wanna Decryptor mostra chiaramente che il ransomware è là fuori; sta crescendo a passi da gigante, sia nella raffinatezza che nella popolarità dei cattivi - e sicuramente ti sta cercando. Anche dopo che l'attuale minaccia si è esaurita, è di fondamentale importanza adottare misure per proteggere i dati e gli endpoint dall'infezione.
Crea backup regolari, addestra i dipendenti per evitare infezioni, patch app e sistemi operativi, limita i privilegi di amministratore ed esegui software anti-malware senza firma. Se segui questo consiglio, puoi prevenire tutte le infezioni tranne quelle più emorragiche (e quelle che probabilmente non prendono di mira le PMI). Nel caso in cui un attacco superi le tue difese, disponi di un piano chiaro e testato per l'IT per ripulire l'infezione, ripristinare i backup e riprendere le normali operazioni aziendali.
Se non segui queste best practice e vieni infettato, sappi che il pagamento del riscatto non ha garanzie, ti qualifica come un pollone per i criminali e offre loro i mezzi per sviluppare un ransomware ancora più insidioso (e l'incentivo usarlo su di te il più spesso possibile). Non essere una vittima. Invece, prenditi il tempo ora per raccogliere i benefici in un secondo momento: preparare, prevenire, proteggere e rimanere produttivo.
