Un ransomware penetra nella rete aziendale e cifra tutti i dati aziendali. A raccontarci cosa significa è una PMI svizzera che è stata vittima di un trojan di crittografia e che ha quindi rafforzato le proprie misure di protezione.
Quella mattina di ottobre del 2018 non funzionava più nulla. Quando i collaboratori di Züst Haustechnik hanno avviato i propri computer, tutti i documenti sul server erano illeggibili. Non era possibile aprire alcun progetto. Durante la notte, il ransomware «Gandcrab» aveva cifrato tutti i file. «L’unico documento ancora leggibile erano le istruzioni che spiegavano come versare il riscatto per la decifrazione», rammenta Johannes Berry mentre descrive quella mattinata. Il Responsabile di progetto dello studio di ingegneria si occupa anche di piccole questioni informatiche.
Il danno era davvero ingente perché Gandcrab aveva cifrato anche i backup sulla memoria di rete. «La nostra azienda era paralizzata», così riassume Johannes Berry la situazione allarmante. L’impresa, infatti, disegna progetti per impianti di riscaldamento, di aerazione e altre installazioni sanitarie direttamente col computer. Senza un sistema informatico funzionante era impensabile poter lavorare.
Probabilmente il ransomware si trovava nascosto in
un’e-mail di phishing.
In questa situazione e in accordo con il proprio partner informatico, la PMI composta da 24 collaboratori ha deciso di pagare il riscatto. Per un prezzo pari a circa mezzo Bitcoin è stato acquistato il software di decifrazione e in modo da poter ripristinare i dati. In questo caso il procedimento ha funzionato, ma non vi è alcuna certezza che vada sempre così.
Ransomware, un business lucrativo
Per i criminali della rete, i malware e in particolare i ransomware sono un business lucrativo. Secondo le stime dell’azienda di sicurezza informatica McAfee, nel 2017 la criminalità su internet ha provocato danni pari a circa 170 miliardi di dollari statunitensi solo in Europa e in Russia, sommando il denaro dei riscatti, i guasti aziendali e le spese per la rimozione dei danni.
I malware di oggi sono programmati in modo particolarmente raffinato. L’azienda di sicurezza informatica Bitdefender ritiene che il ransomware Gandcrab abbia colpito ben 500’000 vittime solo nel periodo compreso fra luglio e ottobre 2018. Da poco i gestori hanno annunciato che Gandcrab andrà in pensione. In appena 16 mesi le vittime avrebbero pagato circa due miliardi di dollari statunitensi di riscatto. Il guadagno per i cybercriminali (ignoti): oltre 200 milioni di dollari statunitensi.
Un’infezione malware ha origine da un’e-mail di phishing con un allegato infetto in cui si trova uno script che cerca di penetrare all’interno del sistema attraverso falle di sicurezza in Adobe Acrobat, nel plug-in Flash o nella riga di comando (PowerShell) di Windows. In un secondo momento non è più stato possibile risalire a come il ransomware sia riuscito a penetrare nel sistema di Züst Haustechnik. Probabilmente l’infezione è avvenuta mediante un’e-mail di phishing. «Un giorno ho ricevuto una candidatura spontanea un po’ insolita dall’estero», rammenta Johannes Berry. «Forse il ransomware era nascosto lì dentro».
Grazie a questo business lucrativo, ai cybercriminali conviene sempre adattare il malware alle nuove falle di sicurezza e quindi precedere le misure di sicurezza delle aziende. Pertanto, non esiste una protezione assoluta contro i malware. Tuttavia, una serie di misure aiuta a proteggere meglio i sistemi informatici aziendali da attacchi e a contenere i danni.
Firewall e buon senso contro i cybercriminali
Proteggete la vostra rete con Managed Security
L’efficiente soluzione di sicurezza Swisscom per PMI con Deep Packet Inspection, filtro web e antivirus protegge efficacemente la vostra rete aziendale dalle minacce cibernetiche. Il tutto a prezzi stimabili. Il firewall è virtualizzato nel Swisscom Cloud, cosa che lo porta un passo avanti rispetto alle soluzioni firewall hardware locali (ad es. scalabilità, alta disponibilità e performance). Swisscom monitora la soluzione 24 ore su 24 e si occupa degli aggiornamenti del firewall e della gestione della licenza al posto vostro.
Nel frattempo anche Züst Haustechnik ha migliorato il proprio sistema e ampliato le misure di sicurezza. «Ora svolgiamo sempre un backup nel Cloud», rivela Johannes Berry. «Questo ci fornisce la sicurezza di poter ripristinare i file in caso di una nuova infezione». Un firewall dotato di Deep Packet Inspection (DPI, vedi box) controlla inoltre il contenuto del traffico di rete, bloccando così attività sospette.
Queste nuove misure sono necessarie, perché Johannes Berry sa che con il pagamento del riscatto l’azienda è diventata più attraente agli occhi dei cybercriminali e che il rischio di un nuovo attacco è reale.
Ma la PMI non ha agito solo a livello tecnologico. Anche i collaboratori sono stati sensibilizzati circa i pericoli e ora fanno molta più attenzione ai documenti che aprono. «È già successo un paio di volte che qualcuno sia venuto da me chiedendomi se potesse aprire un determinato allegato», così Johannes Berry commenta gli effetti della sensibilizzazione. Ovviamente è consapevole del fatto che non esiste una protezione al cento per cento contro i ransomware. In ogni caso, fino ad oggi l’azienda è stata risparmiata da altri attacchi.
Un firewall quando protegge dai ransomware?
Un firewall non protegge automaticamente da malware come i ransomware, ma tutto dipende dalle sue funzionalità:
- Molti firewall di base, fra i quali anche il firewall di Windows 10, controllano solo il traffico, ovvero l’indirizzo del mittente e del destinatario. Tali filtri di pacchetto, ad esempio, possono impedire che un aggressore abbia accesso dall’esterno ai computer della rete aziendale. Tuttavia, un firewall di questo tipo non riconosce il contenuto del traffico di rete. In tal modo le e-mail con allegati infetti non vengono rilevate.
- Per riconoscere il contenuto, il firewall deve essere in grado di effettuare la cosiddetta Deep Packet Inspection (DPI). Con una soluzione antivirus è possibile controllare la presenza di malware nei contenuti, per cui è possibile riconoscere ransomware quali Gandcrab.
- Poiché tuttavia oggi la maggior parte del traffico di rete è cifrato, il firewall DPI deve inserirsi nella connessione e decifrare il traffico. A tal fine, i terminali dell’azienda, ovvero computer e smartphone, devono essere debitamente configurati. Da un lato si tratta di un’operazione dispendiosa e dall’altro si verifica un numero sufficiente di eccezioni per le quali anche un firewall DPI non è in grado di analizzare il traffico di rete.
- Le blacklist, ovvero le liste nere sulle quali sono riportati indirizzi noti di criminali informatici, costituiscono un’ulteriore fonte di protezione. Un filtro di pacchetti può bloccare il traffico con un indirizzo e in tal modo impedire ad esempio che un malware «telefoni a casa» e venga attivato per attacchi informatici. L’utilità di queste liste però dipende strettamente dalla loro attualità e completezza.
