Ogni settimana compare un nuovo ransomware in grado di paralizzare l'attività di un'azienda in meno di un giorno. Simile ai virus nel modo in cui funziona, l'obiettivo del ransomware di estorcere denaro lo rende più dannoso. Per proteggersi, ci sono alcune regole da seguire.
La meccanica è quella classica. Uno studio legale, una mattina, un allegato, la persona lo apre. Non succede nulla. Alla fine della mattinata, un utente si lamenta con l'assistenza perché non riesce ad accedere ai suoi file. L'assistenza identifica la fonte del malfunzionamento, un cryptolocker chiamato Locky. L'azienda si è trovata bloccata a causa di un guasto informatico. Il reparto IT ha cercato di sbloccare i server paralizzati crittografando ogni file e riavviando l'attività. Non resta che chiamare il CERT per cercare di scoprire la fonte dell'infezione.
Bitcoin come facilitatore
Questa storia, raccontata da Luc Roudé di Intrinsec, è reale e viene ripresa quasi ogni settimana da aziende e privati. La causa è l'ormai famigerato ransomware, una sorta di pseudo virus progettato per criptare le informazioni in possesso di aziende o privati. La crittografia viene rimossa in cambio di un "riscatto" pagato in Bitcoin a un indirizzo temporaneo. "Gli attacchi si moltiplicano e sono resi più facili dall'avvento di Bitcoin", spiega Luc Roudé. La facilità d'uso e la mancanza di tracciabilità di questa moneta virtuale hanno accelerato lo sviluppo di questo nuovo tipo di attacco. Se il più delle volte le somme richieste sono "piccole" e la procedura di pagamento è ben consolidata, altre volte gli attacchi sono più pericolosi, come quello subito da un ospedale di Los Angeles lo scorso febbraio, che è stato costretto a pagare 17.000 dollari per sbloccare il suo sistema informatico.
Rapida evoluzione del ransomware
Da un punto di vista tecnico, tutti i ransomware sembrano uguali, ma nessuno è uguale all'altro. Si evolvono molto rapidamente e ci sono molte varianti su come sfuggono alle maglie del software antivirus. Con 30 nuove famiglie nel 2015 e già 15 dall'inizio del 2016, il numero di attacchi e programmi si moltiplica, così come i punti di contagio. Il più comune è un allegato, spesso un curriculum vitae o una fattura di un mittente presumibilmente affidabile, inviato a un'e-mail funzionale come contact@entreprise.fr o rh@entreprise.fr. Una volta aperto, modificando il documento si attiva il software antivirus. Una volta aperto, la modifica del documento attiva una "macro" che esegue il programma di crittografia. Oltre agli allegati, questi cryptolocker possono essere trasmessi anche attraverso un sito web istituzionale o un sito web considerato affidabile. "Un altro vettore importante è il cosiddetto "drive by download". Un utente si reca su un sito di notizie che è stato attaccato, direttamente o tramite la sua rete pubblicitaria. In questo caso, è il sito stesso a diffondere il virus", spiega Luc Roudé. Recentemente, il sito Pathé.fr è stato vittima di questo tipo di virus.
Identificare il paziente zero
Una volta attivata, ci vogliono in media da uno a tre giorni per debellare la peste. L'obiettivo è trovare il paziente zero. Vedere dove il ransomware è andato ad eseguirsi da un punto di vista logico. Nella maggior parte dei casi, la fonte del contagio è un'e-mail. Poi bisogna scoprire chi c'è dietro, chi è stato colpito, se l'allegato è stato aperto o meno e da chi. In un caso standard, ci vogliono alcune ore per identificare la fonte. Il lavoro consiste nell'analizzare il programma dannoso, nel rintracciare gli indirizzi IP contaminati e, soprattutto, nel comunicare con il team di supervisione dei sistemi per verificare che non sia stata trasferita alcuna e-mail, al fine di evitare una superinfezione diffusa dell'organizzazione e di terzi.
Prevenzione: backup offline e sensibilizzazione organizzativa
La prevenzione di questo tipo di attacchi inizia, ovviamente, con un'infrastruttura di backup e i relativi processi. I backup devono essere offline e testati regolarmente. Un promemoria ovvio ma sempre necessario. Non sono rari i casi in cui l'attivazione del backup richiede il blocco di parte dell'IS. Per quanto riguarda la risposta, lo scenario è simile a quello di un piano di continuità del servizio, con il riavvio dell'IS attraverso i backup.
Per contrastare i virus, oltre a vietare l'attivazione delle macro, non è necessario rivoluzionare il piano di sicurezza. Il ransomware non cerca di sfruttare le vulnerabilità o di replicarsi e la crittografia dei file sui volumi è di per sé efficace. Tuttavia, la crittografia stessa può rappresentare un vero problema, come spiega Luc Roudé: "Di tutte le famiglie di ransomware, alcune sono mal progettate. Questo rende possibile il recupero dei file senza pagare il riscatto. Ma si tratta di casi marginali, perché il più delle volte è impossibile contrastarli. Utilizzano AES per criptare i file e una chiave RSA per proteggere la crittografia. In media, meno di 10 % dei volumi di ransomware sono decifrabili".
Un aspetto prevalentemente organizzativo
Più veloce è la risposta, più danni possiamo limitare", spiega Jean-Raphaël Frydman, consulente per la sicurezza di Intrinsec. Il feedback è un punto importante. L'utente è la migliore sonda dell'azienda. D'altro canto, è necessario insegnare ai dipendenti i giusti riflessi e condurre campagne di sensibilizzazione. Quando realizziamo esercizi di phishing, che prevedono l'invio agli utenti di falsi messaggi di posta elettronica provenienti dai reparti IT o risorse umane, ad esempio, notiamo un reale cambiamento nel comportamento degli utenti, che diventano gradualmente in grado di individuare messaggi malevoli sempre più mirati.
Questa consapevolezza costituisce anche una leva per facilitare la gestione del cambiamento. Infatti, il blocco degli allegati può avere un impatto organizzativo ed essere mal percepito se l'introduzione di questo tipo di misura restrittiva non risponde a un rischio compreso da tutti. Infine, la gestione dell'incidente comporta la notifica all'assistenza e l'eventuale ricorso a un fornitore di servizi esterno con competenze end-to-end nella gestione di questo tipo di attacchi. "Un'azienda vittima di un software dannoso può trovarsi in una situazione di crisi. Le perdite operative possono raggiungere le centinaia di migliaia di euro, mettendo a rischio l'azienda. Oltre alla gestione della crisi, non è irragionevole presentare un reclamo per segnalare il problema, anche se le possibilità di successo sono oggi praticamente nulle."
Fonte e informazioni
Il caso dell'ospedale di Los Angeles
Scheda di sensibilizzazione e di buone pratiche offerti dal Centro di Risposta agli Incidenti Intrinsec
La crescita del ransomware misurato da Symantec