Home News Cybersecurity: come difendersi dai ransomware? Consigli utili per una difesa efficace

Cybersecurity: come difendersi dai ransomware? Consigli utili per una difesa efficace

-

Tempo di lettura: 4 minuti

I ransomware tipicamente si diffondono come trojan, dei malware worm che penetrano nel sistema attraverso, ad esempio, un file scaricato o una vulnerabilità nel servizio di rete per eseguire un payload, che cripterà, ad esempio, i file personali sull’hard disk.

Ottenere la certezza di non essere attaccati è impossibile. Esistono strumenti di prevenzione che sono attivi sul gateway o localmente nei computer e che possono contribuire ad aumentare la sicurezza, ma quando si parla di infezioni su larga scala, la prevenzione più efficace parte sempre dalla “awareness” dell’utente. Un utente consapevole ed attento ai problemi di sicurezza, infatti, è l’ultimo livello di protezione, a volte il più importante, in una infrastruttura di sicurezza e questo vale anche per i ransomware che, nati per attaccare i dati dell’utente, rappresentano ora un pericolo concreto anche per i dati aziendali.

Un computer infettato da un ransomware e connesso ad una rete, infatti, estende la cifratura dei dati a tutti i volumi connessi al computer, compresi quelli con i dati aziendali; solo corrette politiche di backup possono ripristinare il patrimonio aziendale dopo un attacco di questa tipologia. Nella maggior parte dei casi in cui si verifica un’infezione, la vittima se ne accorge solamente quando il virus si rivela e cioè, quando è ormai troppo tardi. Se il virus ha avuto modo di accedere ai volumi di rete, infatti, il danno potrebbe essere estremamente importante, in quanto, se il problema non è riconosciuto immediatamente, la perdita dei dati aziendali potrebbe risultare definitiva e non più recuperabile.

Esistono altre modalità di protezione da un attacco di questo tipo? Oltre alle misure di prevenzione è possibile arginare un attacco in atto? È possibile anche solo rendersi conto di essere attaccati per reagire con prontezza?

Massimo Turchetto, CEO & Founder di SGBox dichiara: “Il caso peggiore a cui ci si potrebbe trovare davanti è quello in cui i diversi livelli di protezione non sono stati in grado di bloccare il vettore di infezione, solitamente mail o connessione a siti web esterni, e in cui l’utente abbia involontariamente dato inizio all’infezione”.

Il comportamento del ransomware può essere riconoscibile mediante l’analisi dei log provenienti sia dal computer che sta subendo l’attacco, sia dal server le cui share sono connesse ad esso. Ogni cifratura corrisponde alla scrittura di un file e non esistono pause tra una cifratura e la successiva, in quanto le modifiche ai file provengono sempre dallo stesso utente. Nel momento in cui il virus cifra, i log riveleranno un numero insolitamente alto di “write” su file per un singolo utente. In questo caso l’infezione è appena iniziata ed è ancora possibile riconoscere il problema ed intervenire.

Per ottenere una configurazione adatta a riconoscere questo tipo di situazione è necessario attivare sui server le politiche di auditing su file e directory, abilitando in particolare il logging sugli eventi di scrittura e limitando l’audit alle directory con dati condivisi agli utenti.

Una volta ottenute le informazioni necessarie è possibile creare regole (o trigger) che avvisano del pericolo, ad esempio fissando una soglia massima di eventi di scrittura per lo stesso utente in un dato intervallo di tempo. Prima di implementare questa strategia è necessario però studiare con attenzione i dati storici per evitare di incorrere in falsi positivi, stabilendo una soglia ragionevole di scritture per utente.

Conclude Turchetto: “Un’informazione importante che si può ottenere dall’analisi dei log consiste nel conoscere quanti accessi di modifica o creazione un singolo utente ha effettuato ad esempio in 60 secondi. Questa informazione ci aiuta ad individuare la workstation che sta effettuando l’attacco così da avere la possibilità di procedere con l’immediato shutdown. Questo ci permette però di individuare anche l’utente che ha dato inizio all’attacco e di risalire al suo indirizzo di posta elettronica. Mediante l’indirizzo è possibile verificare quali sono gli indirizzi esterni da cui ha ricevuto il possibile virus o, analizzando la sua navigazione, quali siti abbia visitato. Scoperte queste informazioni, infine, è possibile risalire a tutti gli altri utenti che abbiano ricevuto mail dagli stessi mittenti o abbiano visitato gli stessi siti e prevenire eventuali nuove infezioni”.

Le attività di analisi del comportamento di un singolo evento quale la modifica di file, possono innescare contromisure e nuove analisi che, anche se non permettono di prevenire l’infezione perché si tratta di dati storici, seppure vecchi di un secondo, forniscono strumenti per contenerla e, probabilmente per limitare il danno che questo genere di malware può generare.

Redazione BitMAThttps://www.bitmat.it/
BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.
  • Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

  • I più letti

    E-commerce: crescita esponenziale dello shopping online

    Lockdown e e-commerce: fenomeno passeggero o strutturale?

    In crescita costante da marzo ad oggi, le ricerche online hanno sperimentato un incremento medio del 36%
    10 motivi per adottare un programma di ITM

    10 motivi per adottare un programma di Insider Threat Management

    Il forte aumento delle minacce interne negli ultimi anni richiede un approccio del tutto nuovo
    Supply chain: andare oltre il tradizionale modello lineare

    Supply chain: andare oltre il tradizionale modello lineare

    Le organizzazioni devono appoggiarsi a una rete di approvvigionamento dinamica e collaborativa
    Prepararsi all'era Phygital con le tecnologie di collaborazione

    Prepararsi all’era Phygital con le tecnologie di collaborazione

    In ascesa i software di collaborazione “all-in-one” per far convergere informazioni e sistemi in tutte le fasi della filiera
    Commercio.network sceglie i nodi validatori di YubiHSM

    Commercio.network sceglie i nodi validatori di YubiHSM

    Identità, firma elettronica e consegna dei documenti conforme eIDAS, sono i tre pilastri dell’offerta di Commercio.network