Cosa fare quando la tua azienda viene colpita dal ransomware
Il ransomware è una forma così redditizia di criminalità informatica che è diventata un'intera industria autosufficiente con i suoi cambiamenti e le sue tendenze. Alcuni anni fa, ad esempio, gli sviluppatori e gli operatori di ransomware erano principalmente interessati agli utenti domestici. Attaccare i personal computer era economico e alcune tecniche ingegnose di social engineering garantivano che il tasso di successo non fosse negativo. Nel frattempo, la cultura del backup delle persone non era esattamente eccezionale, il che significava che per molti l'unica opzione di recupero dei loro dati era pagare il riscatto. Poi, tuttavia, le cose hanno iniziato a cambiare.
Table of Contents
Gli operatori di ransomware sono passati dagli utenti domestici alle aziende e alle grandi organizzazioni
Il 2017 ha visto un paio di enormi epidemie di ransomware, WannaCry e NotPetya, che hanno ottenuto molta pubblicità. Non erano specificamente rivolti agli utenti domestici, ma gli utenti domestici li hanno visti sulle notizie e hanno gradualmente acquisito familiarità con la minaccia. Si sono resi conto dell'importanza dei backup e si sono preparati meglio per affrontare gli attacchi ransomware.
In tutta onestà, i criminali informatici non sono particolarmente interessati a condividere i loro rendiconti economici, ma il fatto che le infezioni da ransomware sui PC di casa siano in declino negli ultimi due anni suggerisce che un minor numero di utenti finali è incline a cedere agli hacker richieste. Ciò non significa, tuttavia, che il business dei ransomware si stia riducendo.
A un certo punto, gli operatori di ransomware si sono resi conto che lo sforzo extra di attaccare le organizzazioni piuttosto che i singoli utenti potrebbe valerne la pena, e da allora, i maggiori incidenti di ransomware hanno coinvolto principalmente aziende, organizzazioni sanitarie e istituzioni governative. Un focolaio di ransomware presso un'azienda privata potrebbe essere particolarmente dannoso, motivo per cui le persone devono imparare a reagire alla minaccia non solo quando sono a casa ma anche in ufficio.
In che modo un'infezione da ransomware può influire sulla tua azienda?
Da un punto di vista puramente tecnico, un attacco di ransomware presenta una società con due problemi principali: perdita di dati e downtime.
Il blocco dei dati è il problema più evidente. Un'infezione ransomware riuscita può crittografare segreti commerciali, informazioni specifiche sul prodotto e dettagli dei clienti. La perdita di questo tipo di dati può portare alla morte della tua azienda, il che significa che potresti essere tentato di considerare la conformità con le richieste degli hacker e il pagamento del riscatto. Anche se lo fai, tuttavia, non puoi avere garanzie che tutte le informazioni saranno riportate allo stato pre-infezione. Questo non è l'unico problema, però.
Per natura, le infezioni da ransomware sono piuttosto rumorose. Se ti ritrovi dalla parte sbagliata di un attacco, verrai informato su ciò che sta accadendo e i tuoi clienti impareranno che anche qualcosa non va. Un'infezione da ransomware può interrompere completamente il funzionamento di un'azienda e impedirne il servizio ai suoi utenti. Inevitabilmente, la causa del problema sarà resa pubblica e creerà il seme di incertezza nei tuoi utenti che presumeranno che la tua azienda non si prenda particolarmente cura della sicurezza dei loro dati. Ciò significa che è estremamente importante affrontare la situazione nel modo più rapido ed efficiente possibile.
Come dovrebbe reagire la tua azienda a un attacco ransomware riuscito?
Come puoi vedere, le due cose principali che devi considerare sono prevenire la perdita di dati e ridurre al minimo i tempi di fermo. Se lavori per un'azienda colpita da ransomware, devi assicurarti che il recupero dall'attacco richieda il minor tempo possibile, ma dovresti anche fare attenzione a ricontrollare che ogni file è dove deve essere prima di metterlo la società torna in modalità operativa. È un processo stressante che richiede molta concentrazione e uno sforzo coordinato da parte di tutti i responsabili.
Se il malware è riuscito a infiltrarsi nei tuoi sistemi, contenere la sua diffusione dovrebbe essere la tua massima priorità. Non sottovalutare mai le segnalazioni di comportamenti strani da parte dei dipendenti e, se si scopre che solo un computer è stato colpito da ransomware, assicurarsi che tutte le parti dell'infrastruttura IT della propria società che potrebbero essere collegate ad esso siano state scollegate dai cavi di rete. Le moderne famiglie di ransomware sono dotate di componenti simili a worm che consentono all'attacco di diffondersi rapidamente e gli hacker vogliono bloccare il maggior numero possibile di endpoint con l'idea di richiedere un riscatto più elevato. Maggiore è il numero di PC crittografati, più tempo sarà necessario per riportare tutto online.
Abbiamo già detto che ridurre al minimo i tempi di inattività dovrebbe essere in cima alla lista delle priorità. Detto questo, non dovresti affrettare il processo. Prima di accendere tutto, è necessario assicurarsi che tutte le tracce del ransomware siano state rimosse e verificare che tutto sia operativo. Ulteriori ritardi non renderanno molto felici i tuoi clienti, ma dire loro che sei tornato in attività e farli affrontare più problemi può renderli ancora più sconvolti di quanto non siano già.
A proposito di ciò, se vuoi davvero far sentire i tuoi utenti meno male di ciò che è successo, cerca di essere il più trasparente possibile riguardo all'attacco. Dì loro come sono entrati gli hacker, cosa hai fatto per fermarli e cosa hai intenzione di fare per prevenire attacchi futuri. Spiega ai tuoi utenti in che modo l'attacco influirà su di loro e sui servizi per i quali hanno pagato e non trattenere nulla. Anche se alcune aziende sembrano pensare che questa sia una buona strategia, minimizzare il problema di solito fallisce e fa ancora più danno alla reputazione rispetto all'attacco stesso.
C'è molto a cui pensare, e anche se fai tutto dal libro, le conseguenze potrebbero essere ancora orribili. Nel luglio 2018, ad esempio, LabCorp, una delle più grandi reti di laboratori al mondo, è stato colpito dal ransomware SamSam. Sebbene il suo team IT si sia mosso rapidamente per contenere il malware, SamSam è riuscito a infettare circa 7 mila endpoint e quasi 2 mila server.
Più recentemente, il cambio valuta Travelex è stato attaccato dal ransomware Sodinokibi (aka REvil) e per più di due settimane i suoi dipendenti sono stati costretti a usare penne e fogli di carta per fare il loro lavoro.
Un attacco ransomware è destinato a causare tutti i tipi di problemi, soprattutto se si rivolge a un'organizzazione più grande. Con il rischio di cadere nella trappola del cliché, dovremmo dire che adottare misure di prevenzione attiva è la migliore strategia nella lotta contro questo tipo di minaccia.
Cosa puoi fare per prevenire un attacco ransomware riuscito?
L'installazione di un programma antivirus sui computer dei dipendenti e il backup dei loro dischi rigidi non è sufficiente. Ancora una volta, stiamo parlando di un processo complesso che presenta molte insidie e lo stato di salute del business dei ransomware mostra chiaramente che le aziende commettono continuamente errori.
Un semplice prodotto di sicurezza non può salvare la situazione se l'intero sistema IT è basato su software antico che non ha ricevuto le sue patch di sicurezza. Nient'altro che le Nazioni Unite hanno imparato a fondo quanto siano importanti gli aggiornamenti di sicurezza e se sei responsabile del mantenimento della rete di un'intera azienda, non hai scuse per l'esecuzione di software con vulnerabilità di sicurezza note.
Non ci sono scuse nemmeno per le reti mal configurate. Molte delle famiglie di ransomware che attualmente prendono di mira le organizzazioni si propagano attraverso protocolli di rete non sicuri che sono stati lasciati aperti da amministratori disattenti. Le password predefinite sono anche un punto culminante frequente di una serie di segnalazioni su incidenti di ransomware, il che dimostra che l'ingegneria sociale nelle e-mail di spam è lungi dall'essere l'unica arma nell'arsenale degli hacker. Detto questo, addestrare i tuoi dipendenti a non fare clic su collegamenti casuali e allegati in messaggi imprevisti è sempre una buona idea.
Come puoi vedere, ci sono già molte attività da svolgere e non abbiamo nemmeno toccato la questione del backup dei dati.
Ogni azienda dovrebbe avere una solida strategia di backup e crearne una non è così facile come sembra. A seconda di come si utilizzano i dati, è necessario pensare alla frequenza con cui è necessario eseguire il backup, ma forse ancora più importante, è necessario pensare al meccanismo effettivo per la creazione di backup.
Idealmente, seguirai la regola 3-2-1, che afferma che dovresti avere 3 copie dei tuoi dati archiviati in 2 luoghi diversi, di cui 1 fuori sede. Se non riesci a rispettare questa strategia, devi testare regolarmente i tuoi backup per essere sicuro che funzionino e devi anche tenerli scollegati dal resto dei tuoi sistemi IT. In questo modo, un potenziale attacco ransomware non sarà in grado di influenzare le copie dei tuoi dati.
Queste sono solo alcune delle cose che devi considerare e, a seconda del business dell'azienda per cui lavori, potrebbero esserci molti altri fattori che potresti dover tenere a mente. Tutto sommato, cercare di proteggere un'azienda da un attacco di ransomware è probabilmente ancora più doloroso che ripulire il casino dopo che è già stato colpito. Dato quanto potrebbe essere devastante il danno, tuttavia, ne vale la pena.
