Quale soluzione per Cryptolocker?

3.05.2016

Trovare una soluzione per cryptolocker sta diventando una priorità per molte aziende, se consideriamo l’incidenza dei rischi legati a malware e ransomware in termini di Business Continuity.

Diversi studi hanno riscontrato che nel 2015 almeno il 58% dei PC aziendali (a livello globale) ha subito attacchi informatici provenienti da malware, ovvero software pericolosi veicolati via web. Nello specifico, oltre 50 mila macchine aziendali sarebbero state infettare proprio da cryptolocker. Dopo Pc e smartphone, ora i ransomware mettono nel proprio mirino anche i server. Morten Lehn, Managing Director di uno dei più importanti player nel settore della sicurezza informatica, ha recentemente dichiarato che lo scenario del futuro implicherà un nuovo vettore di attacco: l’infrastruttura. Questo perché la gran parte dei dati di valore di un’azienda è archiviata nei server dei data center. Secondo gli studi di Talos, società di threat intelligence di Cisco, circa 3 milioni di sistemi facenti parte di 1.600 reti quali “scuole, agenzie governative, compagnie aeree e altro”, sarebbero a rischio. 

 

Cryptolocker: cosa comporta un attacco 

Questa tipologia di ransomware non fa altro che criptare cartelle: in questo modo gli utenti si ritroveranno importanti file criptati, dai documenti finanziari, alle foto di famiglia, fino ad interi database aziendali. Per risolvere il problema del computer bloccato, viene chiesto all’utente di pagare un riscatto, e da qui il nome di ransomware.

Questa tipologia di malware viene distribuita mediante numerosi vettori, come e-mail ed exploit kit, ovvero programmi dannosi che contengono dati o codici eseguibili capaci di penetrare attraverso una o più vulnerabilità di software presenti su computer, in locale o in remoto. Il consiglio degli esperti è quello di non pagare la somma richiesta anche perché, molto spesso, accade che i cyber criminali non mantengano la parola data. Nella maggior parte dei casi non è questa la soluzione per cryptolocker.

 

cryptolocker ransomware

 

Come rimuovere cryptolocker

Invece di cedere alle richieste di pagamento, si dovrebbe provare a ripristinare i propri file dai backup effettuati prima della cifratura.

Questo si traduce in una perdita di tutte le modifiche effettuate dall'ultimo backup ed eventualmente potrebbe portare a ritardi operativi, da qui l’importanza di backup frequenti e monitorati.

Un buono spunto può essere quanto accaduto al seguente Banco di Credito Cooperativo. La loro principale linea di business è stata messa offline da una singola postazione di lavoro, con sistema operativo Windows XP, ormai in procinto di essere dismessa. Una volta infettato il terminale, il cryptolocker ha cominciato la crittografia dei file su condivisioni di rete. Fortunatamente, il server era una macchina virtuale che implementava una politica di backup completi ogni ora. Individuato il momento della cifratura, è stato facile identificare l’ultimo backup disponibile non crittografato. In pochi minuti si è reso possibile il ripristino di una copia della macchina virtuale ed il servizio è tornato presto operativo.

 

Prevenzione: la migliore soluzione per cryptolocker

In generale, la migliore soluzione per cryptolocker è quella di prevenire i rischi di infezione, affidandosi a soluzioni appropriate, capaci di aggiornare la protezione alla grande rapidità con cui tali minacce si trasformano e mutano. Quindi, utilizzando sistemi di sicurezza e-mail che eseguano scansione ed eventuale blocco degli allegati di posta, unitamente ad un antivirus che garantisca protezione in tempo reale  e che rilevi le attività sospette in background, si potrebbero implementare delle soluzioni preventive. Sempre in quest’ottica, sarebbe buona norma utilizzare software di restrizione che non consentano il lancio di file eseguibili indesiderati e quindi pericolosi, cioè quelli non presenti sulla nostra whitelist.

Inoltre, tenendo conto del fatto che i malware sfruttano solitamente le vulnerabilità dei nostri sistemi, conviene tenere sempre aggiornate le Patch per ridurre i rischi di infezione.

Altre buone norme prudenziali, al pari delle precedenti, sono rappresentate dal monitoraggio del traffico outbound, dalla concessione agli utenti dei privilegi minimi necessari affinché possano svolgere il loro lavoro e dall’aggiornamento continuo delle impostazioni di sicurezza dei software aziendali.

La misura di prevenzione più efficace di tutte però rimane la continua formazione aziendale, al fine di istruire i dipendenti sulla corretta individuazione di elementi  sospetti e sulle misure da intraprendere in caso di rischio.