Cryptolocker e ransomware – prevenire è meglio che curare

Cryptolocker e ransomware – prevenire è meglio che curare

Tempo di lettura: 5 min

Buon anno a tutti,

nello scorso articolo ci eravamo lasciati dicendo che questa volta avremmo approfondito il tema della prevenzione dal Cryptolocker (e dei ransomware in genere).

cryptolocker-prevenire-e-meglio-che-curare

Avevo promesso che l’articolo sarebbe stato online il 6 di gennaio. Ho dovuto ritardare un poco a causa di un virus di quelli che gli antivirus non individuano… e che non attaccano nemmeno i PC, bensì i loro utilizzatori. Be’, come diceva Forrest Gump… “shit happens…”.

Se la cura contro un conclamato attacco ransomware è il ripristino (o restore) dei file criptati – quindi il tema del backup di cui ho già scritto e di cui parlerò ancora prossimamente –  la prevenzione è tutto ciò che serve per evitare di dover ricorrere al ripristino da backup. Ricordiamo infatti come il restore possa richiedere una certa quantità di tempo per essere portato a termine, tempo molto spesso nel quale l’azienda non riesce ad essere operativa (totalmente o parzialmente).

Possiamo individuare quattro ambiti nella prevenzione (vedi anche https://heimdalsecurity.com):

  1. il nostro PC
  2. il browser
  3. il nostro comportamento online
  4. i tool antimalware/antiransomware

analizziamole una per una:

IL NOSTRO PC

  1. Non teniamo file importanti salvati SOLO sul nostro PC. In ambito aziendale questo vuol dire salvare i file, sul file server o sul NAS che l’azienda ci mette a disposizione.
  2. Rispettare la regola del 3-2-1 backup (vedi https://www.ictperaziende.it/3-2-1-via-la-perfetta-regola-del-backup/).
  3. Se si usano servizi di cloud esterni come Dropbox, Google Drive od altri non lasciarli costantemente attivi, bensì sincronizzare inizialmente i dati e poi disattivarli. In questo modo si riduce la possibilità che vengano eventualmente criptati anche i file presenti sul cloud esterno.
  4. Aggiornare costantemente il sistema operativo e gli applicativi che si usano. Buona parte degli attacchi sfruttano vulnerabilità che sono state sistemate in qualche patch. Uno studio del 2004 della Carnegie Mellon University diceva che ci sono dai 20 ai 30 errori (che possono diventare vulnerabilità) per ogni 1.000 linee di codice (o LOC). Considerate che Office 2013 è composto da circa 45 milioni di LOC e fate voi i conti…
  5. Implementare il principio dei “minimi privilegi”, cioè domandarsi se, per leggere la posta ed usare Office, devo proprio essere amministratore locale della macchina. In tante aziende ho trovato che tutti gli utenti erano admin locali dei propri PC. Quando ho chiesto il perché di tale scelta mi è stato detto che, altrimenti, gli utenti si sarebbero sentiti sminuiti, privi di fiducia,… baggianate. Nella lotta ai ransomware è come nello judo, il tuo avversario può usare contro di te la tua forza, e se io gioco con il massimo della forza (account con privilegi massimi) allora maggiore sarà il danno che potrò averne, perché potranno essere criptati molti più file.
  6. Disabilitare le macro e ActiveX in Office.
  7. Verificare sempre le estensioni dei file prima di cliccarci sopra. Per default windows nasconde l’estensione del file e mette l’icona del programma con cui si dovrebbe aprire il programma. Uno dei mezzi con cui si camuffano i malware è cambiare il nome in nomefile.jpeg.exe. In questo modo io vedrò solo nomefile.jpeg e penserò di cliccare su un’immagine e non su un .exe.

BROWSER

  1. Fare attenzione ai plugin utilizzati, in special modo ad:
    1. Adobe Flash
    2. Adobe Reader
    3. Java
    4. Silverlight
  2. Se è possibile disinstallarli o, almeno, fare in modo che si attivino solo a richiesta.
  3. Configurare correttamente le preferenze di privacy e sicurezza del browser, al fine di aumentare il livello di sicurezza.
  4. Eliminare tutti i plugin non utilizzati o non più aggiornati.
  5. Usare un advertising blocker (ad blocker) per ridurre la possibilità di aprire degli annunci contenenti codice malevole.

COMPORTAMENTO ONLINE

Non accettare caramelle dagli sconosciuti – Fare attenzione alle mail di spam, verificando sempre il mittente di provenienza.

Dotarsi di un servizio di posta elettronica che includa una pulitura da virus e spam di tipo professionale, che fornisca una reportistica quotidiana con la possibilità di gestire direttamente la propria quarantena con inserimento in blacklist e whitelist.

Non frequentare zone malfamate – Evitare di frequentare siti “equivoci” (streaming, porno, software pirata,…) non solo per scelte morali quanto perchè in questi siti è facile scaricare malware.

Non installare keygen o crack per craccare programmi originali. Anche qui, al di là delle scelte etiche personali, dare deliberatamente l’ok all’esecuzione di un file eseguibile sul nostro PC può provocare conseguenze realmente impreviste e, spesso, disastrose. Nessuno fa niente per niente… cosa vorranno in cambio i creatori del crack di Autocad, cosa staranno installando sul mio PC???

DOTARSI DI UN VALIDO PRODOTTO ANTIMALWARE/ANTIRANSOMWARE

I vampiri si uccidono con un paletto di frassino mentre i lupi mannari con un proiettile d’argento.

Purtroppo per i ransomware non c’è il proiettile d’argento (o silver bullet, come citato nel documento “is antivirus dead?” di MalwareBytes -: https://www.whitepapers.em360tech.com/wp-content/uploads/1458316527malwarebyteswpisantivirusdeadFINAL.pdf), cioè NON c’è un singolo prodotto che faccia tutto da solo; bisogna invece implementare un approccio a livelli, un po’ come quando ci consigliavano di vestirci “a cipolla”.

Anzi, nel suddetto articolo viene fatta un’affermazione un po’ forte su cui però bisogna riflettere: per quanto si cerchi di evitare che un malware penetri le nostre difese aziendali è pressoché impossibile impedire che questo accada. Cioè è doveroso mettere in pista tutti i punti passati in rassegna per rendere la vita il più possibile difficile ai cattivoni (e di conseguenza ridurre il numero di volte che potremo essere infettati) dopodichè è necessario mettere in pista un sistema che ci consenta di individuare un malware quando questo inizia ad entrare in azione, lo blocchi e lo elimini. Qui entra in gioco la profonda differenza tra un sistema antivirus ed un antimalware/antiransomware. Per semplificare, un antivirus è più “statico” cioè si basa su firme conosciute, su pezzi di codice già classificati come pericolosi ed infestanti. Un valido antimalware/antiransomware deve invece essere in grado di valutare l’operato di un codice prima che questo inizi e fare danni, analizzandone il comportamento (operando quindi un’analisi comportamentale). Analizzeremo quindi in un prossimo articolo le differenze più interessanti tra antivirus ed antimalware.

“Prevenire è meglio che curare” è lo slogan da cui siamo partiti. È interessante notare comunque come tale slogan fosse utilizzato dai dentisti che, di mestiere, curano i denti.

Questo mi porta ad un paio di riflessioni finali:

  1. Anche la prevenzione fa parte dell’attività del dentista. Almeno di quelli bravi, di quelli cioè che non puntano solo a fare interventi d’urgenza per togliere le carie più brutte ma che hanno come obiettivo la salute della nostra bocca.
  2. Dopo la prevenzione dobbiamo avere comunque un buon piano di cura, meglio se qualcuno di veramente capace. Nel nostro caso, se tutte le attività di prevenzione fallissero,dovremmo poter essere in grado di ripristinare i nostri dati da un backup ben funzionante, preparato con attenzione e controllato periodicamente.

CONCLUSIONI

La difesa dai ransomware, di cui Cryptolocker è solo il nome più comune e diffuso, non può essere affidata ad un singolo strumento e deve prevedere diversi passaggi e differenti ambiti d’azione, sempre prevedendo che la nuova versione del ransomware potrebbe bucare le nostre difese e, quindi, essere preparati per il passo successivo, fino all’estremo del recupero dei dati dal backup.

Una lettura poco attenta potrebbe portare alla conclusione che, in fondo, allora basta un buon backup – senza curarsi della fase di prevenzione. Questo sarebbe come dire che è inutile migliorare le difese perimetrali di casa nostra e conviene puntare solo su una buona assicurazione.

Il tempo ed i costi di risoluzione (ed in molti casi il tempo necessario alla risoluzione di un attacco informatico è proprio il costo maggiore) di un’infezione che ha avuto successo sono tali da giustificare un’attenta prevenzione.

Per esempio potrei essere in grado di ripristinare completamente i dati criptati  senza dover pagare un € di riscatto… ma mettendoci DUE giorni di lavoro, due giorni durante i quali la produzione di deve fermare! In questo caso è evidente che è meglio poter far così che nulla ma che il ripristino da backup (quindi la cura) è proprio l’estrema ratio!

0 Commenti

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*