Ransomware è lo spauracchio numero uno per le aziende
Il ransomware è un software dannoso che blocca o cripta il contenuto di un dispositivo e chiede un riscatto per sbloccarlo. Con il termine “dispositivi nelle aziende” non si intendono solamente i cellulari e i computer, ma anche i server.
In seguito a un attacco per mezzo di ransomware (e se non esistono e/o non funzionano i backup), l’azienda perde l’accesso alle proprie fatture, ai dati relativi ai clienti e alla propria proprietà intellettuale. Il lavoro in azienda non può andare avanti, e lo stesso vale per la produzione.
A seconda del tipo di attività svolta dell'azieda, anche i clienti vengono influenzati dal malware e come conseguenza, possono decidere di affidarsi a un concorrente. Le aziende e le società a cui si è rivolta ESET hanno indicato il ransomware come il loro più grande problema a livello di sicurezza. Secondo Michal Jankech, Senior Product Manager di ESET, la motivazione non è necessariamente legata a un'alta incidenza. “Le aziende hanno indicato il ransomware come nemico numero uno a causa delle numerose menzioni sui media di questo tipo di attacchi, come per esempio WannaCry e NotPetya, con i danni per svariati miliardi citati negli articoli delle principali testate internazionali. Quindi, anche una persona che non ha mai ricevuto nessuna infezione di questo tipo la considera una grande minaccia,” ha spiegato Jankech, aggiungendo che durante le conversazioni i clienti hanno affermato che ci sono i presupposti perché ESET dedichi maggiore attenzione a questa minaccia.
La fonte più frequente di infezione sono le e-mail. ESET ha quindi aggiunto alle sue soluzioni di sicurezza il Ransomware Shield. È una soluzione offre una buona rilevazione delle minacce in base al comportamento del codice dannoso, inoltre grazie a HIPS (Host Intrusion Prevention System), e' possibile impostare regole particolari per la protezione contro i ransomware. Qualora per qualche motivo tutti i livelli di sicurezza fallissero, entra in azione proprio Ransomware Shield per risolvere la situazione. Si tratta di un modulo comportamentale che, in base al comportamento del codice dannoso, capisce se si tratta effettivamente di ransomware.
ESET ha scoperto che il canale di distribuzione più frequente per il ransomware resta l'e-mail. L’infezione spesso parte da un clic su un link sospetto, o da una fattura falsa. La soluzione Dynamic Threat Defence di ESET riesce a simulare il comportamento del dipendente. I messaggi sospetti vengono spostati in una sandbox di sicurezza dove il software clicca sui link, apre gli allegati e si lascia infettare al posto dell'utente. Grazie ai nuclei di rilevamento e al Machine Learning (apprendimento automatico) il cliente viene informato se il messaggio è dannoso o meno.
Il dibattito su cosa causi le infezioni, se l'abilità degli aggressori oppure un comportamento errato dei dipendenti, non porta a nulla. Non tutti i ransomware sono particolarmente sofisticati. In generale le aziende dovrebbero occuparsi della formazione interna dei dipendenti su cosa evitare di aprire e come correre ai ripari se è già stato fatto qualcosa che non si doveva. Da non trascurare è il personale IT che dovrebbe gestire tutto il sistema.
“Cosa ha favorito la diffusione di WannaCry? Sistemi operativi con falle di sicurezza aperte. Gli aggressori hanno abusato di vulnerabilità note. L’unica cosa che le aziende avrebbero dovuto fare era mantenere una buona profilassi e “vaccinarsi”, ovvero tappare le falle di sicurezza del sistema. Non lo hanno fatto e ne hanno pagato le conseguenze” dice Jankech.
Priorità errate nel budget. In un'azienda andrebbe anche valutato se la dirigenza si rende conto di quale contributo da (o non da) alla sicurezza generale. “Nelle aziende c'è la tendenza a spendere anche milioni di Euro per soluzioni avanzate, ma anche di lesinare su qualche migliaio per una persona che gestisca gli aggiornamenti di sicurezza del sistema. L'installazione degli aggiornamenti non è affatto semplice. È necessario testare se sono compatibili con tutte le applicazioni. "Le aziende accettano il rischio perché non si aspettano che accada nulla" dice Jankech per spiegare la complessità della situazione. Ad esempio è complicato rimediare alle falle di sicurezza di una catena di montaggio in una fabbrica. L’azienda dice che la catena è completamente isolata da Internet. Ma anche questa necessita ogni tanto di aggiornamenti, per esempio per aggiungere un nuovo tipo di un prodotto. Gli aggiornamenti in queste situazioni vengono inseriti tramite una chiavetta USB. Ma se sulla chiavetta finisce anche qualcosa che non doveva esserci…
In questo documento trovate informazioni di base relative alle modalità di protezione della vostra azienda contro i ransomware o attacchi simili. La società di sicurezza ESET visita regolarmente i suoi maggiori clienti in Italia e in giro per il mondo per apprendere direttamente da loro quali sono le sfide di sicurezza che stanno affrontando e come aiutarli. Durante queste visite ESET ha individuato i sei principali problemi di sicurezza delle grandi aziende. Nella nostra serie di post vi spieghiamo quali sono i singoli problemi e come prevenirli.