I pericoli dei ransomware

Ransomware

I Ransomware come Cryptolocker, Cryptowall, TeslaCrypt, CoinVault e moltri altri stanno diventando un grosso problema di sicurezza, mettendo in ginocchio realtà importanti a livello Internazionale (è successo in banche, tribunali, industrie, comuni), aziende che erano convinte di essere al sicuro con delle soluzioni di backup “artigianali” e comunque non in grado di prevedere tutte le casistiche presenti e di colpo hanno perso tutto.

Solo noi abbiamo affrontato tra Giugno e Luglio almeno 3 realtà dove tra blocchi operativi, danni materiali, e rischi della sicurezza questo tipo di “virus” è risultato decisamente dannoso in termini di tempo e soldi, oltre che di perdita su documenti fondamentali (documenti fiscali, documenti legali, etc)

Ma cosa sono i Ransomware?
Si presentano come mail, ultimamente camuffate anche in modo da rendersi particolarmente credibili (Enel, Dhl, etc), con un Italiano corretto ed estetica della mail credibile. Arrivano sotto forma di fatture e quindi allegati, camuffando l’estensione usando spesso la doppia estensione (fattura.pdf.exe) ma che su quasi tutti i computer viene vista come “fattura.pdf” in quanto l’estensione reale viene nascosta, quel “fattura.pdf” vi trarrà in inganno facendovi credere di essere davanti ad un PDF invece di fatto si tratta di un eseguibile.

In altri casi arriva come PDF, ma sfruttando le vulnerabilità di Adobe Reader, che è il lettore utilizzato da tutti.
Aprendo il file ormai il guaio è fatto, ed il computer inizierà a prendere tutti i documenti che trova e li cripterà con un sistema, che di fatto ne impedisce il decrypt se non conoscendo una chiave specifica messa a disposizione solo a condizione che si paghi un “riscatto” da li in nome “ransomware”.

Le versioni sono diverse ed il comportamento è differente da versione a versione ma quanto sopra è la regola generale di funzionamento, che sta diventando sempre più raffinata e aggressiva.

Ma non si limiterà a cryptare quanto contenuto sul pc, aggredirà anche tutto il contenuto rilevato in rete dove la macchina e l’utente hanno accesso.

I tempi con cui è in grado di eseguire questa attività sono velocissimi, si rischia quindi di accorgersi del guaio a lavoro completato, di fatto mettendo in ginocchio l’intera azienda.

Provate a pensare di non poter mettere più mano a vostri file excel, word, disegni cad, database e molto altro, quanto questo potrebbe danneggiarvi?

Bene a questo punto sono certo che ognuno di voi ha una soluzione al problema (backup, raid, e molto altro) ma vi dimostro come quasi ognuna delle soluzioni che avete in mente NON è sufficiente se non usata in modo congiunto con altre o in modo METODICO.

Antivirus

la maggior parte degli antivirus non sono in grado di rilevarli perché questi virus non hanno una “firma” comune, inoltre essendo spesso all’interno di file zip allegati alla mail molti antivirus intervengono solo a seguito dell’apertura dell’allegato, a volte troppo in ritardo rispetto a quando l’utente clicca. Infine, non si comportano come dei virus (non scrivono in parti anomale del disco, non modificano il registro in aree sospette o altro) di conseguenza, è difficile rilevare un comportamento attribuibile ad un virus, questo rende il loro rilevamento complesso.

Unità esterna collegata

se l’unità è in qualche modo collegata al pc (usb, wifi, rete) sarà compromessa, l’unica possibilità è che l’unità sia FISICAMENTE staccata dal pc e dalla rete

Backup su NAS

Effettuate backup periodici su NAS o comunque in rete ? bè quasi certamente per effettuare il backup il nas sarà in rete, di conseguenza i backup sono raggiungibili dal computer, quindi saranno compromessi anch’essi, ed anche la “garanzia” del backup salta, in quanto anche questo contenuto verrà cryptato

Shadow Copy

Si tratta di una soluzione Microsoft che permette di fare delle immagini periodiche dei dati del pc e di conseguenza recuperarli, in caso di modifica e cancellazione, ma le ultime versioni dei ransomware si occupano anche di cancellare le shadow copy annullandone i vantaggi, salvo non intervenire particolarmente per tempo.

Sincronizzazione con Datacenter o altro NAS remoto

anche qui, se la sincronizzazione avviene in modo continuo, verranno sincronizzati anche i dati criptati.

Pagamento del riscatto

E’ una soluzione, ma per quanto si legge in giro, e dalla mia personale esperienza, NESSUNO ha ricevuto niente, inoltre non sappiamo chi paghiamo e le eventuali complicazioni penali che questo può portare, non sappiamo cosa ci mandano per sbloccare i nostri dati, se fosse un virus? un ulteriore programma che magari a distanza di tempo da lo stesso risultato? Infine in questo modo gli stiamo dicendo che siamo disposti a pagare, e chi vi dice che dopo una settimana non lo rifanno sfruttando un’altra vostra leggerezza oppure lasciandovi qualcosa in rete (a seguito del software di sblocco) chiedendovi cifre maggiori?

Alcune soluzioni ovviamente esistono, ma dipendono dalle versioni di Ransomware e trovate molto su internet in proposito, l’obiettivo di questo articolo NON è come uscire dal problema, ma come NON ENTRARCI. Quelli che vorrei dare sono CONSIGLI sul come evitare di dover ricorrere a soluzioni forensi per il recupero, ma limitandosi a passi decisamente più semplici.

  1. In primis fare sempre attenzione: dubitare di QUALSIASI tipo di allegato, osservare bene il mittente, come è scritta la mail, e nel dubbio chiedere ad uno specialista IT prima di aprirla, avrà sicuramente l’occhio allenato e potrà dirvi se aprirla o meno, e se proprio volete aprirla fatelo da un telefonino, da linux o da mac, sistemi che non subiscono danni da questo tipo di programmi.
  2. Lavorare sul proprio pc SEMPRE senza DIRITTI amministrativi della macchina, e non disabilitare la funzione di elevazione dei diritti amministrativi, questo perché per quanto fastidioso è un ottimo campanello d’allarme che vi fa capire che sta accadendo qualcosa, meglio un avviso in più che dati in meno!
  3. Utilizzare antivirus NON Free e specifici per questi prodotti, evito pubblicità, ma ci sono, anche se non sono prodotti estremamente economi. Inoltre attivare almeno parzialmente funzioni di analisi del comportamento che hanno molti software, i quali ora (nelle ultime versioni) individuano l’anomalo trattamento dei file (la modifica di molti file)
  4. Usare sistemi antispam affidabili e aggressivi. Office 365, Exchange, Gmail rilevano (tramite blacklist, spf, o semplice analisi) quasi tutti questi potenziali virus
  5. Limitare l’accesso SOLO alle cartelle necessarie e non dovunque (soprattutto in rete)

Come effettuare i backup in modo sicuro ?

  1. Effettuare i backup dei dati da macchina esterna, NON rendendola raggiungibile tramite condivisioni, che acceda quindi ai vostri server ed effettui backup periodici, in questo caso nessuna macchina potrà in alcun modo raggiungere questo server che rimarrà un “porto sicuro” ed isolato, dove recuperare i dati in caso di problemi, usate soluzioni di backup che vi avvisino in caso di anomalie, diversamente rischiate di trovarvi in una “falsa” situazione di sicurezza
  2. Effettuate backup AUTOMATICI e PERIODICI su unità esterne (nastri, che sono di fatto sempre off-line e non raggiungibili da rete) oltre a poter essere conservate in luogo fisicamente sicuro
  3. Usate le shadow copy in rete, ma NON lavorate mai con diritti amministrativi di rete MA SOLO con diritti utente, (questo soprattutto per il reparto IT che spesso per comodità usa i diritti amministrativi di rete per operare).
  4. Utilizzate il redirect del vostro desktop e della vostra cartella documenti in rete, in questo modo avrete sempre la garanzia che anche i vostri dati personali siano backuppati, questo tipo di virus partono subito cryptando il contenuto locale, di conseguenza saranno i primi a rischio.
  5. IN CASO IL VIRUS SIA PARTITO SPEGNETE IL PC e fate intervenire realtà che sappiano cosa sta accadendo, se non sapete qual è il PC incriminato spegneteli tutti, quasi certamente è un PC che riceve mail, quindi server o macchine di service che non usano le mail sono al sicuro.
  6. Se si tratta di una macchina non in rete con altri pc, è sufficiente effettuare dei backup periodici su chiavetta o disco esterno ma a fine BACKUP il disco VA RIMOSSO, altrimenti in presenza di questo virus anche l’interno backup collegato subirà la cryptazione dei dati.

Il potenziale pericolo di questo tipo di virus è elevatissimo, provate solo a farvi questa domanda:

  • Se di colpo perdessi tutti i documenti aziendali quanto mi costerebbe in termini di tempo e soldi tornare operativo ?

Attuate quindi tutte le soluzioni del caso per fare in modo che tutto questo non possa accadere, i suggerimenti li vedete….

E se poi ormai il guaio è successo, chiamate uno specialista, in questi casi il FAI DA TE è molto pericoloso!!!