Il ransomware rappresenta una delle minacce più insidiose nel panorama della sicurezza informatica, incarnando una combinazione di intenzioni malevole, avidità e, in alcuni casi, una preoccupante incompetenza da parte degli autori. Questo tipo di malware agisce criptando i dati dell’utente, per poi richiedere un riscatto in cambio della chiave di decriptazione, la cui efficacia non è nemmeno garantita. Tuttavia, una strategia di backup ben congegnata può fungere da scudo, consentendo ai file di sopravvivere a tali attacchi.
È fondamentale implementare un sistema di backup efficace oggi stesso, evitando così di trovarsi nella difficile situazione di dover valutare l’opzione di pagare il riscatto.
Comprendere il ransomware: cosa c’è da sapere
Il ransomware si configura come una forma di software dannoso con l’obiettivo di impedire l’accesso al computer della vittima, a meno che non venga corrisposto un riscatto. La modalità di azione più comune è la crittografia dei file, con la richiesta di pagamento che avviene spesso in criptovaluta. Anche se le aziende, le istituzioni e gli enti governativi sono i bersagli principali, anche i privati possono essere coinvolti in questi attacchi.
Il panorama del ransomware è in continua evoluzione, con varianti sempre più sofisticate che emergono costantemente. Sebbene molti criminali informatici considerino l’attacco come una mera transazione finanziaria, altri sembrano trarre piacere nel mettere in difficoltà le loro vittime. Ad esempio, il ransomware ZENIS si distingue per la sua capacità di eliminare deliberatamente i backup, mentre GermanWiper, un esempio ancora più recente, cancella semplicemente i file senza crittografarli, pur richiedendo un riscatto. In quest’ultimo caso, le vittime che pagano non ottengono alcun vantaggio, dato che i loro dati sono stati eliminati fin dall’inizio.
I vettori di attacco si sono moltiplicati, rendendo la difesa ancora più complessa.
Victor Congionti, responsabile della sicurezza informatica presso Proven Data, sottolinea come il ransomware venga ora diffuso attraverso una gamma crescente di meccanismi, rendendo la protezione degli utenti finali sempre più difficile. Se inizialmente la distribuzione avveniva principalmente tramite email che ingannavano gli utenti a scaricare link malevoli, oggi si sta assistendo a un’espansione verso metodi meno convenzionali.
I criminali informatici mascherano ora il ransomware all’interno di applicazioni e software non verificati, o lo diffondono attraverso attacchi di spear phishing, che prendono di mira specifici individui all’interno di un’organizzazione che potrebbero essere più propensi a cliccare su link sospetti.
Ci troviamo di fronte a un vero e proprio scenario di giungla informatica!
Salvaguardare i backup dal ransomware
Di fronte a un’infezione da ransomware, si presentano due opzioni: pagare il riscatto nella speranza di recuperare i file, oppure rifiutare il pagamento e cercare di ripristinare il sistema da backup. La prima opzione solleva problematiche di natura morale, etica, finanziaria e logistica. Pertanto, è fondamentale adottare misure preventive per garantire un recupero indolore in caso di attacco.
Ecco tre principi fondamentali per la gestione dei backup:
È importante partire dal presupposto che il ransomware possa crittografare o cancellare tutto ciò a cui si può accedere dal proprio computer. Se i backup vengono memorizzati su dischi rigidi interni o esterni costantemente collegati al computer o al cloud, questi possono essere considerati vulnerabili. Tali backup possono essere utili per problemi più tradizionali, come guasti hardware, ma non rappresentano una difesa efficace contro il ransomware. Un backup tradizionale va bene per le minacce classiche, ma non deve essere l’unico sistema di protezione dei dati.
È cruciale disconnettere fisicamente i backup dalla rete. Una strategia efficace contro il ransomware è l’utilizzo di supporti di backup che possono essere isolati, ovvero completamente scollegati dal computer e da Internet. Per esempio, se si utilizza un disco rigido esterno per il backup, è consigliabile collegarlo solo durante le operazioni di backup programmate e scollegarlo subito dopo. Congionti sottolinea come sia fondamentale non mantenere l’unità di archiviazione locale collegata alla rete, al fine di prevenire la crittografia dei backup nel caso in cui il ransomware dovesse infiltrarsi nella rete. Se l’unità è connessa, il ransomware potrebbe accedervi e renderla inutilizzabile, crittografando anche i backup insieme agli altri file. Questa procedura, seppur scomoda e richiedente disciplina, rappresenta una delle strategie più sicure.
È fondamentale affidarsi al controllo delle versioni. Anche se l’unità esterna viene disconnessa, non si è completamente al sicuro, in quanto il sistema potrebbe essere già stato infettato da malware al momento del backup. Dror Liwer, fondatore di Coronet, evidenzia come il controllo delle versioni sia fondamentale per garantire il ripristino da un attacco ransomware. L’ideale è utilizzare uno strumento di backup che salvi più versioni dei file, datate e ordinate cronologicamente. In questo modo, al momento del ripristino, sarà possibile tornare a una versione precedente all’infezione.
Implementare una solida strategia di backup
Le comuni soluzioni di backup potrebbero non essere sufficienti per proteggere da un attacco ransomware. L’archiviazione nel cloud non equivale al backup nel cloud, e tutto ciò che sincronizza o rispecchia i dati è vulnerabile. Le versioni gratuite di servizi come Dropbox, OneDrive o Google Drive potrebbero non essere sufficienti per recuperare i file in caso di attacco.
Tuttavia, le versioni a pagamento di alcuni servizi offrono funzionalità di protezione più avanzate. Dropbox, ad esempio, integra Dropbox Rewind nei suoi piani a pagamento. Dropbox Plus (con 2 TB di spazio) offre uno storico di 30 giorni dei file, mentre Dropbox Professional (con 3 TB) estende la cronologia a 180 giorni.
OneDrive offre una propria protezione da ransomware. Se viene rilevata un’attività sospetta, l’utente viene avvisato e invitato a verificare se ha apportato modifiche recenti ai file. In caso negativo, Microsoft aiuta a ripulire il disco rigido e a ripristinare i file danneggiati.
Dato che Google Drive e iCloud non dispongono di tali protezioni integrate, è sconsigliabile affidarsi esclusivamente a questi servizi, considerando la gravità della minaccia rappresentata dal ransomware.
La maggior parte delle soluzioni di backup online, come Acronis, Carbonite e iDrive, utilizza il controllo delle versioni. Questo permette di tornare a un’istantanea del disco rigido precedente all’infezione.
Norman Guadagno, vicepresidente senior del marketing di Carbonite, afferma che la sua azienda ha aiutato oltre 12.600 clienti a riprendersi da attacchi ransomware.
Alcuni servizi online integrano anche strumenti anti-ransomware. Acronis, ad esempio, offre Active Protection, uno strumento che individua comportamenti sospetti.
James Slaby, direttore della protezione informatica di Acronis, spiega che Active Protection blocca immediatamente processi che mostrano comportamenti sospetti, come la rinomina e la crittografia di gruppi di file.
Proprio come la navicella Apollo aveva due computer di guida indipendenti, è consigliabile avere almeno due metodi per eseguire il backup dei dati. Si può combinare una soluzione basata sulla sincronizzazione, facile e accessibile, con una soluzione più robusta, adatta per il ripristino da un attacco ransomware.
Ad esempio, si può usare una soluzione di backup tradizionale su cloud, come Dropbox o OneDrive, per avere i file sempre disponibili in caso di accesso da un altro computer o di guasto irreparabile del proprio dispositivo. Se si dispone di un abbonamento che include la protezione da ransomware, tanto meglio!
Parallelamente, è necessario implementare una soluzione di backup sicura, con controllo delle versioni. Si può utilizzare un’applicazione di backup locale che scrive su un disco esterno, o un servizio di backup online che archivia i dati nel cloud. Questi metodi di backup, anche se meno comodi nell’accesso ai file, garantiscono una protezione maggiore in caso di attacco ransomware.
Prevenire l’infezione
Il ransomware è una delle minacce più preoccupanti nel panorama della sicurezza informatica, ma è solo uno dei tanti tipi di malware da cui è necessario proteggersi.
Dopo aver implementato una soluzione di backup sicura e multilivello, è consigliabile seguire queste regole di buon senso per ridurre al minimo l’esposizione al ransomware:
Utilizzare un potente software antivirus con protezione ransomware. Anche se nessun antivirus è perfetto, la sua assenza rende una strategia di sicurezza inadeguata.
Evitare di cliccare su elementi sospetti. Non aprire link sconosciuti presenti su siti web, email, SMS o tramite altri mezzi di comunicazione. Evitare di utilizzare software pirata o visitare siti web illegali. È consigliabile utilizzare solo gli store ufficiali per il download delle app, come Google Play o gli App Store di Apple.
Mantenere il sistema operativo sempre aggiornato.
Cosa fare se si viene colpiti
Anche nel caso in cui si venga colpiti da un attacco ransomware, non tutto è perduto. Esistono due strumenti gratuiti che possono essere utilizzati per decifrare i file senza dover pagare un riscatto:
No More Ransom: si tratta di un progetto congiunto tra McAfee e diverse forze di polizia europee. Oggi vanta circa 100 partner tra aziende e istituzioni governative. Se si viene infettati, si può visitare il sito No More Ransom e caricare alcuni file crittografati come esempio. Se quella specifica famiglia di ransomware è stata risolta, si potranno sbloccare i propri file gratuitamente.
ID Ransomware: in maniera simile a No More Ransom, la società di sicurezza Emsisoft ha creato questo progetto. È possibile chiedere che ID Ransomware informi nel caso in cui un attacco non decifrabile dovesse diventare risolvibile in futuro.