Gli attacchi ransomware stanno avendo un grande successo, perché risultano estremamente redditizi per chi li realizza. Ed essendo condotti da remoto, i rischi di essere scoperti e puniti sono estremamente bassi per i cybercriminali.
Tuttavia i ransomware non presentano modalità peculiari per colpire: come abbiamo spiegato, le modalità con le quali un attacco ransomware riesce a penetrare nei nostri computer sono sostanzialmente le stesse di molti altri tipi di attacchi.
Quindi le misure di protezione e prevenzione che dovremmo adottare per non subire un ransomware sono le stesse per difenderci da qualsiasi tipo di attacco informatico.
Per molte di esse, possiamo parlare di norme di "cyber hygiene", azioni che dovrebbero entrare nei nostri comportamenti abituali. Anche perché queste attenzioni ci proteggono non solo dai ransomware, ma da qualsiasi tipo di cyber attacco.
Molte delle misure di protezione preventiva che andremo a consigliare potranno apparire persino elementari e scontate.
Ma non sottovalutiamole: nella maggioranza dei casi il ransomware riesce a penetrare nei nostri sistemi informatici sfruttando un errore umano, talvolta anche banale. Vediamo quindi come proteggerci dagli attacchi ransomware.
Attenzione a click, allegati ed email
Non facciamo prendere dal "click compulsivo": in generale è sempre opportuno dedicare qualche secondo per esaminare l'email che abbiamo ricevuto, quasi sempre le email di phishing hanno qualcosa di strano ed anomalo e ce ne potremo accorgere se solo avremo la pazienza di osservare l'email prima di compiere azioni che potrebbero risultare pericolose.
Non aprire mai gli allegati di email di dubbia provenienza. Nel dubbio, se riceviamo un'email sospetta, è consigliabile chiedere al mittente se quella email è autentica!
Fare attenzione alle email provenienti anche da indirizzi noti (potrebbero essere stati falsificati secondo una modalità di falsificazione del mittente nota come spoofing).
Abilitare l'opzione "Mostra estensioni nomi file" nelle impostazioni di Windows
I file più pericolosi hanno l'estensione .exe, .zip, js, jar, scr, o addirittura possono avere una doppia estensione (per esempio: fattura.pdf.exe). Se questa opzione è disabilitata non riusciremo a vedere la reale estensione del file e potremmo essere più facilmente tratti in inganno.
Chiavette USB ed altri supporti rimovibili
Fare molta attenzione alle chiavette USB ed altri supporti rimovibili e, più in generale, evitare di inserire questi oggetti nel nostro computer se non siamo certi della provenienza. Per evitare questo rischio, in alcune aziende vengono stabilite policies molto restrittive, con la disabilitazione delle porte USB dei computer in dotazione agli utenti.
In questo modo la porta USB potrà essere utilizzata per collegare un mouse, ricaricare uno smartphone, ma non sarà in grado di trasmettere e ricevere dati. È sempre e comunque opportuno formare gli utenti sull'uso attento dei supporti rimovibili, rendendoli consapevoli dei rischi che comportano.
Macro di Office come veicolo per i ransomware
Disabilitare l'esecuzione di macro da parte di programmi Office (Word, Excel, PowerPoint). Gli allegati Office armati con macro malevola rappresentano oggi una delle tecniche d'attacco più diffuse. L'abilitazione delle macro consentirà alla macro di attivarsi, iniziando il processo di infezione del ransomware.
Banner e finestre pop-up
Fare sempre attenzione prima di cliccare su banner (o finestre pop-up) in siti non sicuri. Come abbiamo già spiegato, i ransomware ci possono colpire non solo attraverso il phishing, ma anche visitando siti che sia stati "infettati", con la modalità definita "drive-by download".
Aggiornare OS e browser contro i ransomware
Aggiornare sempre i sistemi operativi ed i browser. In generale è buona regola installare sempre e subito le "patch" (gli aggiornamenti) di sicurezza che ci vengono proposti dai produttori dei software che abbiamo installati. Un browser aggiornato è più sicuro e rappresenta esso stesso una protezione, in particolare dall'attacco "drive-by download" (letteralmente: scaricamento all'insaputa), conosciuto anche come "watering hole" (l'abbeveratoio) che si verifica attraverso la navigazione su siti compromessi.
Il principio del Minimo Privilegio
Utilizzare – quando possibile – account senza diritti da amministratore: se viene violato un account con privilegi di amministratore, l'attaccante potrà utilizzare gli stessi privilegi per compiere più azioni e fare maggiori danni. Viceversa, un utente non-amministratore ha privilegi limitati e le stesse limitazioni si trasferiranno in mano all'attaccante. Questo rappresenta il basilare "principio del Minimo Privilegio", che qualunque azienda dovrebbe adottare sistematicamente con i propri utenti.
Utilizzare gli antispam
Poiché le email di phishing rappresentano il vettore d'attacco più frequente, è importante installare sistemi Antispam efficaci ed evoluti, che implementino i protocolli SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting and Conformance). Non riusciranno a bloccare tutte le email di phishing, ma i migliori riescono a raggiungere un'efficienza, comunque, superiore al 95÷98%.
VPN ed RDP
Fare attenzione all'utilizzo di VPN (Virtual Private Network) e RDP (Remote Desktop Protocol): rappresentano una porta esposta in rete, che – se non necessaria – dovrà essere chiusa. Qualora invece dovessimo utilizzarla (particolarmente oggi che lo smart working da remoto è diventato frequente) dovremo proteggere questo accesso con password forti e possibilmente con doppia autenticazione (2FA) sull'accesso alla VPN.
Antivirus e soluzioni User Behavior Analytics per contrastare i ransomware
Installare Antimalware (antivirus) e mantenerli sempre aggiornati. Dobbiamo tuttavia avere la consapevolezza che gli antivirus "tradizionali", cioè quelli definiti "signature based" (basati sulle firme) garantiscono una protezione abbastanza limitata (non superiore al 50÷60%), perché possono essere facilmente elusi dai virus polimorfi, cioè modificati.
Implementare piuttosto soluzioni di tipo "User Behavior Analytics" (UBA) sulla rete aziendale (analisi anomalie traffico web) che si realizzano con sistemi EDR (Endpoint Detection & Response) e XDR (Extended Detection & Response). Questi strumenti rappresentano oggi la protezione più avanzata contro i ransomware.
È noto, infatti, che questi malware presentano una serie di comportamenti tipici (accesso/scrittura a cartelle di sistema, collegamento a server esterni per il download dei file di criptazione, ecc.). Gli EDR e XDR analizzano perciò il comportamento di ciascun computer dell'azienda e sono in grado di capire se si stanno verificando eventi "anomali". Alla rilevazione di eventi anomali e sospetti, possono isolare il computer incriminato e bloccare (quantomeno circoscrivere) l'attacco.
I backup
Adottare una accurata procedura di Backup dei propri dati. Questa è una misura di sicurezza fondamentale, vorrei dire vitale: se nonostante tutto un ransomware riesce a colpirci, l'unica salvezza è aver i propri dati salvati in un altro luogo (cioè in un backup "offline"). Ed è importante che il backup venga eseguito spesso ed in modo sicuro. In assenza di un backup rimane solo l'opzione di pagare il riscatto.
Ransomware e fattore umano
Ed infine, non dimentichiamo mai che l'anello più debole della sicurezza è rappresentato dal Fattore Umano. Fondamentale quindi fare formazione e informazione agli utenti affinché non cadano nelle trappole del phishing, il vettore più usato per questo tipo di attacchi. Nella pratica, il fattore umano e l'awareness (consapevolezza) degli utenti vengono troppo spesso sottovalutate.
