Nell’era del ransomware la sicurezza dati non deve scendere a compromessi

La maggior parte degli esperti, le forze dell‘ordine e l’opinione pubblica sono tutti dello stesso avviso: per ovvi motivi non si dovrebbe mai pagare i ricattatori. Anche Peter Spuhler, direttore della Stadler Rail AG, la pensa evidentemente allo stesso modo. Dopo che la sua azienda questa primavera è stata oggetto di attacchi ransomware da parte di criminali – hanno preteso 6 milioni di dollari in Bitcoin – non si è scesi a trattative con i ricattatori, sebbene questi, per esercitare ancora maggiore pressione, si siano messi addirittura a pubblicare i dati rubati via Twitter. “Stadler è e non si è mai reso disponibile a pagare i ricattatori e non ha intavolato alcuna trattativa con loro“, ha reso noto l’azienda. Disponendo di dati backup funzionanti, si è potuto procedere come da prassi a produrre e fornire servizi.

Un blackout totale costato caro

Nel caso dell’esperto di navigazione Garmin, la faccenda ha preso un’altra piega[1]. L‘azienda è stata interessata da una sorta di "blackout", ha reso noto Garmin alla fine di luglio. Di fatto si è trattato di un blackout totale. I dispositivi basati sul cloud, i centralini, i server email e le chat online non hanno più funzionato. Oltre alle app di connessione sono stati paralizzati anche Garmin Express e FlyGarmin. Sono stati colpiti persino gli impianti di produzione. È stata dunque una catastrofe, provocata da un attacco con il ransomware WastedLocker. Solo all’inizio di agosto la situazione ha cominciato da Garmin a tornare lentamente alla normalità. Secondo comunicati stampa, l’azienda avrebbe pagato nel frattempo ai ricattatori un importo in milioni[2], ricevendo come contropartita la chiave per poter di nuovo riutilizzare i dati aziendali.

Garmin non è naturalmente l’unica azienda che è andata a ricomprarsi i suoi dati dai ricattatori. Per questo genere di casi sono sorte nel frattempo persino delle assicurazioni[3]. Si può supporre che transazioni di tal genere in molti casi non vengono mai alla luce, soprattutto quando i clienti dell’azienda ricattata non sono direttamente coinvolti. L’azienda americana Emsisoft specializzata in decrittazioni stima il giro d’affari complessivo del settore ransomware nello scorso anno a 25 miliardi(!) di dollari.

I doppi ricatti sono di moda

In due casi, resi noti negli ultimi mesi, sono stati versati ugualmente milioni, come con Garmin: il servizio di cambio valuta Travelex ha pagato a gennaio un riscatto pari a 2,3 milioni di dollari a dei ricattatori criminali, dopo che gli hacker avevano criptato i file dell’azienda. E Blackbaud, un provider di soluzioni Software e Cloud-Hosting, ha ammesso di aver fermato a maggio un attacco ransomware. Ma l’azienda ha dovuto comunque pagare un riscatto, poiché gli hacker avevano rubato dati dalla rete aziendale minacciando di pubblicarli online. Il caso Blackbaud è, come pure quello di Stadler Rail, un esempio paradigmatico riguardante gli odierni doppi ricatti con richieste di riscatto. I criminali tentano dapprima di penetrare nelle reti aziendali e di trafugare dei dati, prima di criptare i file locali. Le aziende coinvolte ricevono poi la richiesta di pagare un riscatto – per la riattivazione dei file oppure per impedire che i dati trafugati vengano pubblicati – come una sorta di riassicurazione nel caso in cui la vittima si rifiuti di pagare e decida di ricostruire i sistemi.

Il Covid-19 è un’esca efficace

I criminali informatici secondo gli esperti ricorrono sempre più spesso a tematiche legate al COVID-19 per le loro spedizioni phishing per sfruttare le preoccupazioni degli utenti su tale argomento. Alcuni temi attuali in cui si richiede prudenza sono informazioni sui vaccini, mascherine e disinfettanti nonché programmi d’aiuto di carattere finanziario. Si richiede anche la massima prudenza quando vengono offerti download o update per soluzioni tecnologiche in voga, ad esempio video oppure piattaforme per audio-conferenze o ancora per social[4]. Questo trend trova riscontro anche nelle statistiche: secondo il Sonic Wall Cyber Threat Report 2020 gli attacchi ransomware sono aumentati in modo massiccio, in modo particolare negli USA, dove rispetto all’anno precedente sono più che raddoppiati[5].

Dispositivi privati per attività private

Proprio per questo è importante ridurre al minimo il rischio derivante dai propri dipendenti. Le email che provengono dall’esterno, dovrebbero venire automaticamente contrassegnate. I dipendenti devono poter segnalare le email sospette in modo non complicato.  (ad esempio tramite l’Add-On Report Message di Outlook). Le email e i link incorporati dovrebbero essere esaminati a fondo. La limitazione di diversi linguaggi di scripting e di macro agli utenti, che hanno bisogno di questa funzionalità, può ridurre il rischio. Bisognerebbe prendere in considerazione anche la limitazione e definizione di software che sono necessari per la produttività e la comunicazione dei dipendenti in modalità home office. È molto importante mantenere una stretta separazione tra i dispositivi personali e quelli dell‘azienda – Per le email private e la navigazione su internet di tipo strettamente personale, i dipendenti dovrebbero utilizzare esclusivamente i loro dispositivi privati.  

Tre copie, due tipologie di media, una copia esterna

Per premunirsi il meglio possibile contro gli attacchi ransomware, Veeam, un gestore cloud di spicco a livello globale e specialista di backup, consiglia nella pagina sulla privacy di applicare la regola 3, 2, 1[6]: 3 copie dei dati, 2 diverse tipologie di media dove memorizzare, almeno 1 copia fuori sede. Distribuendo i dati su diversi media, per il ransomware diventa più difficile infettare tutto quanto. Affinché questo concetto funzioni, c’è bisogno di effettuare regolarmente dei test; non si ammettono errori.

Naturalmente ci sono innumerevoli possibilità differenti di mettere i propri dati al sicuro. Il Backup as a Service attraverso un provider esterno è solo una di queste. In questo caso si inviano copie dei backup ad un altro sito che viene gestito da un provider esterno. Questa può essere una buona soluzione per i clienti che non hanno una sede di attività secondaria oppure che non si possono permettere di esternalizzare là i propri backup. Il più grosso freno inibitorio di questa opzione è dato dal fatto che si affida il controllo sui dati ad una terza persona.
Per il backup secondario dei dati e per l’archivio dati, il salvataggio su un nastro magnetico risulta essere una possibilità interessante spesso sottovalutata. Secondo Veeam, questo tipo di backup è il più economico (5 - 8 $ per ogni TB) e al contempo una delle tipologie di salvataggio che resiste meglio agli attacchi ransomware; i nastri magnetici possono essere esternalizzati in un luogo sicuro senza complicazioni. Per quanto concerne la regola 1-2-3, è importante che ogni copia di backup dei dati venga depositata su una memoria diversa. Se due copie di backup si trovano sullo stesso dispositivo di memoria e l’hardware si arresta, non funzionerà nessuno dei due backup.  Se i backup sono salvati sulla stessa memoria come macchine virtuali primarie e questa memoria si arresta, le macchine virtuali primarie e i backup andranno persi.

UMB e VEEAM: partner con esperienza e competenza

Non fatevi mettere all’angolo! Disponiamo delle necessarie conoscenze specialistiche per garantire nella vostra azienda un livello di sicurezza dati all’avanguardia. UMB è Partner Platinum nel programma ProPartner di Veeam® raggiungendo con questo il livello più elevato di partenariato Veeam®. Tale riconoscimento è dovuto all’esperienza e competenza dimostrate nella fornitura di una gestione dati cloud fondata su Veeam semplice, affidabile e flessibile per le aziende che vogliono essere sempre disponibili. Contattateci per la vostra sicurezza dati.

[1] http://digital-society-report.blogspot.com/2020/07/attacco-garmin-non-deve-essere-sempre-un.html

[2] https://news.sky.com/story/garmin-obtains-decryption-key-after-ransomware-attack-12036761

[3] https://www.cbc.ca/news/technology/ransomware-cyber-insurance-pros-and-cons-1.5453619

[4] https://home.kpmg/xx/en/home/insights/2020/05/rise-of-ransomware-during-covid-19.html

[5] https://threatpost.com/sharp-spike-ransomware-pandemic-inspires-attackers/157689/

[6] https://www.veeam.com/blog/3-2-1-rule-for-ransomware-protection.html