Skip to main content
Invito ad una serata di gala per combattere il ransomware

Invito ad una serata di gala per combattere il ransomware

| Simona Venuti | cybersecurity month 2021

Articolo letto 1209 volte

Come purtroppo ci siamo accorti tutti, nell'ultimo periodo aziende sia pubbliche che private, nonché comuni cittadini, sono stati afflitti da quella che si è rivelata essere la minaccia cyber più pericolosa: il ransomware.

foto di Simona Venuti, Consortium GARR
Simona Venuti, security manager presso il Consortium GARR

Il ransomware è un tipo di malware che in molti modi diversi, si installa nelle nostre macchine: il suo scopo è criptare tutti i dati, in modo che non siano più accessibili, per poter chiedere un riscatto, prevalentemente in bitcoin, per la restituzione. Purtroppo nella maggior parte dei casi non c'è un modo per recuperare i dati. Inoltre, spesso i criminali informatici riescono a prendersi i dati che hanno criptato, minacciando la loro diffusione o vendita, chiedendo per questo un secondo riscatto.Durante la pandemia, con il diffondersi dello smart working, questa situazione si è aggravata, perché il lavoro da casa espone le organizzazioni ad ulteriori attacchi dovuti all'accesso remoto. I criminali ne hanno largamente approfittato tanto che nell’ultimo anno è stato registrato un picco negli attacchi di tipo ransomware, che sono diventati la prima minaccia per qualsiasi organizzazione, nessuno escluso, anche per i piccolissimi enti, sia pubblici che privati, e per i cittadini.

Ma come entra il ransomware nei nostri sistemi? Sicuramente nell’ultimo anno le tecniche si sono moltiplicate e diversificate. I punti di ingresso più sfruttati sono: le mail di phishing, in cui si chiede di installare qualcosa o leggere un documento o visitare una pagina web; il furto di credenziali e le vulnerabilità presenti nelle applicazioni che, grazie allo smart working, sono più esposte all’esterno.

Vista la grave situazione e la tendenza ad aggravarsi ulteriormente, avevo pensato di organizzare una serata di beneficenza per la lotta contro il rasomware. Questo è quindi un invito ufficiale alla serata di gala, certa che col piccolo aiuto di tutti, potremo affrontare insieme la situazione.

Il menù della serata prevede:

  • Antipasti – Bruschette al sistema operativo e software aggiornati
  • Primi – Tortellini di antivirus al ragù
  • Portata principale – Backup cotto a fuoco lento
  • Dessert – degustazione di cyberhygene
  • Tutto questo accompagnato dall’ottimo vino: “E se…”

E adesso ecco a voi le ricette, per permettervi di preparare questi piatti anche a casa:

Antipasti- Bruschette con sistemi operativi aggiornati e software

Il ransomware solitamente si installa su PC, laptop e telefoni cellulari, principalmente sfruttando le vulnerabilità del sistema operativo e del software: ecco perché è fondamentale mantenere sempre aggiornati tutti i dispositivi che utilizziamo.

La maggior parte dei software e dei sistemi operativi (come Windows, macOS, prodotti Adobe, browser) hanno già una sorta di procedura di aggiornamento automatico: è importante dunque non rimandarla ed eseguire gli aggiornamenti il prima possibile.

Per il software che non è invece in grado di aggiornarsi da solo, dovremmo impostare un promemoria, per controllare gli aggiornamenti almeno una volta alla settimana o due. Il pulsante di verifica degli aggiornamenti sarà probabilmente nel menù dell’applicazione in alto a destra, contrassegnato da "?" o “About”.

La procedura di aggiornamento mira a rimuovere le vulnerabilità note, con l’obiettivo di rendere la vita del ransomware molto più difficile.

Un'altra cosa importante da tenere in mente è la scelta dei software da installare:

  • In un dispositivo di lavoro dovremmo installare solo i software ammessi dalla policy IT
  • È molto importante mantenere i dispositivi personali e domestici completamente separati da quelli di lavoro
  • In ogni caso dobbiamo evitare di installare software non originale o crackato, dato che la maggior parte di questi programmi sono portatori di virus e recentemente anche di ransomware.

Primo piatto-Tortellini di antivirus con ragù

Ora che il nostro software è aggiornato all'ultima versione, non dimentichiamoci che è possibile essere attaccati da un ransomware anche tramite documenti, file scaricati o siti web infetti! Per combattere questa minaccia, il software antivirus è il nostro alleato speciale.

Non è importante quale sia l’antivirus, ce ne sono molti, gratuiti o meno, la soluzione migliore è semplicemente seguire la policy e i consigli della nostra organizzazione, ma è comunque fondamentale tenerlo aggiornato.

Per assaporare al meglio questo piatto, dobbiamo assicurarci di installare un antivirus “affidabile”, dalla sua HomePage ufficiale. Non fidiamoci mai delle pagine pop-up che dicono: HAI UN VIRUSSS!!!!! CLICCA QUI PER OTTENERE IL TUO ANTIVIRUSS!!!! Sono pagine false, che cercano di costringerci ad installare il malware con le nostre stesse mani!

Piatto principale- Backup cotto a fuoco lento, da servire nel piatto DA SOLO senza alcun contorno

Questo è il piatto forte della nostra cena di gala: il backup e una strategia di backup sono l’arma più potente per combattere il ransomware.

Anche se abbiamo aggiornato tutto il nostro software e abbiamo un antivirus potente, possiamo comunque essere infettati.

Se un ransomware entra nei nostri dispositivi, inizia immediatamente a crittografare ogni file che trova, con una chiave segreta sconosciuta, ecco perché è quasi impossibile decrittare i file dopo l'infezione. Senza quella chiave segreta, infatti, i dati andranno persi per sempre. Quindi, il modo migliore per evitare di perdere i nostri dati è conservarne una copia (o più copie) altrove. Il backup è la strategia migliore per mitigare gli attacchi ransomware e può essere eseguito da tutti, non è necessario essere degli esperti in informatica.

Questo piatto richiede alcune raccomandazioni speciali per la degustazione:

  • Il backup va fatto ogni volta che serve. In qualsiasi momento qualcosa potrebbe non andare per il verso giusto: facciamolo quindi una volta al giorno o una volta alla settimana o una volta al mese, dipende da quanto spesso usiamo e modifichiamo i nostri dati.
  • Il backup non deve rimanere nello stesso disco del dispositivo sottoposto a backup: se arriva un ransomware crittograferà sicuramente anche il backup! Dobbiamo metterlo al sicuro da qualche altra parte!
  • Questa “altra parte” dovrebbe essere al di fuori di Internet o della rete locale, completamente OFFline: il ransomware colpisce non solo i dispositivi collegati, come il disco interno, ma anche le chiavi USB o gli hard disk collegati. Il truffaldino controlla anche la connessione di rete per crittografare tutto ciò che può raggiungere in rete!

Quindi, il consiglio è di eseguire il backup dei dati dove si preferisce, ma, per favore, non dimentichiamoci di SCOLLEGARE il dispositivo di backup il prima possibile da qualsiasi PC, laptop, telefono cellulare che è in RETE. Spesso siamo abituati a salvare i nostri dati su un sistema NAS, il che va bene, ma è importante disconnetterlo dalla rete dopo il backup!

Dessert – degustazione di cyberhygene

Questo dolce unisce i sapori di vari dessert, tutti molto efficaci e forti per combattere il ransomware.

  • Profusione di password

    Le password devono essere prima di tutto tenute al sicuro perché, se qualcuno dovesse venire a conoscenza della nostra password, potrebbe entrare nel nostro sistema e impossessarsi di dati, file, inviare posta SPAM, accedere a programmi e persino installare software e ransomware.

    • Le password devono essere LUNGHE: non dobbiamo aver paura di usare password di 16-20 caratteri, si possono tenere facilmente a mente se si sceglie qualcosa che si può ricordare facilmente, come un verso di una poesia, un ritornello di una canzone, un proverbio. È sufficiente inserire almeno una maiuscola, numeri e caratteri speciali tra le parole per ricordarlo e renderla sufficientemente difficile da indovinare. Oppure si può scegliere di mantenere solo la prima lettera delle parole di un verso o di un proverbio, l'importante è che siano lunghe.
    • La password deve essere diversa per ogni servizio: è bene non utilizzare mai la stessa password per servizi diversi e, soprattutto, non va utilizzata mai la stessa password per i servizi usati per lavoro rispetto alle password personali e per le attività di svago.
    • La password va cambiata: più una password è utilizzata a lungo, maggiori sono le possibilità che possa essere indovinata, quindi va cambiata regolarmente. Non riutilizziamo mai una password già utilizzata: abbiamo tonnellate di cultura, poesie, scrittori, cantanti... così tante nuove password tra cui scegliere!
    • La password deve essere conservata in modo sicuro: non le dobbiamo rivelare a nessuno, se ci accorgiamo di non riuscire a ricordarle tutte, possiamo scegliere di ricorrere ad un "gestore password", o password manager. Non utilizzare mai la funzione “salva password” o, se proprio vogliamo, pensiamo che se qualcuno ruba o compromette il nostro dispositivo, potrà essere usare quelle password salvate, quindi utilizziamo il “salva password” solo sui dati che non sono così importanti. Ovviamente, non dobbiamo utilizzare questa funzione per le password di lavoro.
    • La password deve essere multipla: quando possibile, utilizziamo sempre l'autenticazione a 2 fattori, aggiungendo un secondo passaggio di autenticazione dopo aver inserito la password corretta. Questo è molto utile e può essere fatto con uno smartphone e un'app dedicata o un dispositivo OTP. Non preoccupiamoci di come farlo, ma usiamolo ove possibile. Utilizziamo due dispositivi diversi per il secondo fattore di autenticazione, a seconda che ci autentichiamo su servizi personali o di lavoro.
  • Phishing in crema di fragole

    Hai vinto alla lotteria! Affrettati e accedi!, Stai superando la quota di posta! Sbrigati prima che cancelli tutta la tua posta!, Il tuo conto in banca ha un problema! Clicca qui per risolvere!
    Questi sono i classici messaggi di phishing per costringere l'utente a fare clic su qualche link o per installare software sconosciuti. Il phishing sta diventando ogni giorno più sofisticato ed è quindi molto difficile scovare questo tipo di frode. Ecco qualche consiglio per essere più consapevoli e sentirsi più sicuri:

    • L'ingrediente perfetto è: non fidarsi mai di nessuno.
    • Non fidarsi mai delle e-mail che riguardano questioni tecniche o problemi bancari: possono chiamare al telefono, e di solito lo fanno. Non dobbiamo rispondere mai a messaggi strani.
    • STOP, THINK, CONNECT™: prima di fare clic o installare qualcosa prendiamoci il nostro tempo; non succederà nulla di catastrofico se non lo facciamo subito, contare fino a 10, pensare, contare di nuovo, pensare di nuovo, collegare i puntini... Fare clic solo se siamo sicuri al 100%, dopo aver aspettato e pensato.
    • In caso di dubbio: chiedere e verificare. Non costa niente chiamare per telefono il mittente del messaggio, o la propria banca, chiamiamo il personale IT, chiamiamo il manager o l'ufficio contabile. È importante verificare il messaggio ricevuto attraverso un "metodo attendibile". Per favore, però, non contattate il re nigeriano, proprio quello che vorrebbe darvi milioni di euro, e che ha lasciato nella mail un numero di telefono a cui chiamare!
    • È necessario segnalare ogni mail o fatto strano al personale IT: potrebbe aiutarli a scovare una campagna che è stata messa in atto contro l'organizzazione
    • Sui social:
      • Non fidarsi mai di estranei, non aggiungerli mai al proprio circolo di “amici social”.
      • In generale, anche verso gli amici: non dare mai troppe informazioni, nessuna informazione sul proprio lavoro, ma nemmeno troppe informazioni sulla propria vita.
      • Utilizzare account social separati per la vita personale e professionale.
  • Gelato di dispositivi mobili

    I dispositivi mobili, i laptop o gli smartphone dell'organizzazione sono la porta per i servizi intranet da qualsiasi luogo vi si acceda. È molto importante tenerli al sicuro.

    • Configurare un PIN per il menu di avvio, una password utente per accedere al sistema operativo, ulteriori password di blocco per le applicazioni più sensibili come VPN, browser.
    • Disconnettere qualsiasi cosa quando il lavoro è finito, o interrotto o messo in pausa: ricordiamoci che se si riceve un ransomware sui dispositivi, il ransomware si mette a cercare qualsiasi dispositivo collegato alla rete da crittografare!
    • Non salvare le password.
    • Non raccogliere chiavette USB che si trovino a terra o abbandonate da qualche parte.
    • Non collegare alcun supporto sconosciuto o non attendibile (CD, chiavi USB, disco rigido esterno, memorie flash) al dispositivo... Potrebbe essere pieno di virus, spyware, keylogger, ransomware.

Ora il vino: “E se...”

Questo vino è molto speciale: cosa succede se, nonostante tutte queste precauzioni, mi prendo un ransomware?

Che faccio quando mi arriva una terribile schermata rossa che dice: "il tuo dispositivo è crittografato! Pagaci XXX bitcoin per riavere i tuoi dati!"

  • Non farsi prendere dal panico, dobbiamo mantenere la calma e pensare.
  • Mettiamoci subito OFFline: scolleghiamo il cavo di rete o disabilitiamo il Wi-Fi.
  • Chiamiamo immediatamente il personale IT della nostra organizzazione.
  • A questo punto dipende dalla policy del personale IT: in alcuni casi la reazione più sicura è spegnere il dispositivo, staccando anche la corrente e batteria, per far prima possibile.
  • Ma in altri casi, il personale IT potrebbe voler studiare il ransomware in azione: in questi casi non si deve spegnere, ma solo ibernare il dispositivo, se possibile.
  • In ogni caso non pagare il riscatto, nessuno ci garantisce la restituzione dei dati, né la loro diffusione e divulgazione!

Spero che tutti quanti accettino l’invito per questa cena di gala e che possiate gustare tutte le portate che verranno servite...Vorrei che tutti fossimo consapevoli che ciascuno di noi, nel suo piccolo, può giocare un ruolo molto importante per combattere il ransomware!

Simona Venuti: e' security manager presso il Consortium GARR. Dal 2007 lavora presso il GARR-CERT (Computer Emergency Response Team) del Consortium GARR, il fornitore della rete alle universita' e agli enti di riceca italiani. Il suo compito è sviluppare sistemi di automazione nella segnalazione e gestione degli incidenti informatici e fare ricerca nell'ambito delle nuove minacceinformatiche, cybersecurity, sistemi di monitoraggio, difesa e contenimento. Parte fondamentale del proprio lavoro e' stabilire una rete di relazioni con i CERT nazionali dell'unione europea ed extra-europea, esperti di sicurezza, CERT aziendali e di provider italiani e stranieri, per condividere esperienze, studi, soluzioni, e soprattutto per stabilire relazioni di fiducia reciproca nell'eventualità di gestione congiunta di incidenti informatici che coinvolgano più CERT.

Si occupa infine di divulgazione delle informazioni e formazione di sistemisti e addetti alla sicurezza tenendo corsi, tutorial, interventi a convegni.

Twitter: @Simo_GARRCERT

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale:

La sicurezza passa per la testa

Zero Trust - Fidarsi e bene, ma zero fiducia e meglio

Corso: Sicurezza per Leadership

Stay aware! Piccolo manuale di igiene di reti e device

Ultimi articoli in rubrica