Vai al contenuto

Sicurezza informatica: aziende italiane tra le più colpite al mondo da ransomware

In Italia sono sempre più frequenti gli attacchi informatici che bloccano l’uso dei dati aziendali e chiedono un riscatto, mettendo a repentaglio l’operatività e la vita delle imprese. Ecco alcuni consigli pratici per prevenire questi attacchi e tutelare la sicurezza della propria azienda.

Secondo una recente ricerca, l’Italia è il terzo paese più colpito al mondo da attacchi informatici di tipo ransomware, dietro a Sudafrica e Francia.

Ma al di là delle classifiche, questo tipo di attacchi rappresenta sicuramente un pericolo da non sottovalutare per le aziende. Si tratta infatti di attacchi che colpiscono aziende di tutte le dimensioni, anche le piccole imprese. Con conseguenze che possono essere molto serie:

  • Costi, anche di migliaia di euro, per il riscatto dei dati sottratti e per il loro ripristino
  • Rischi di interruzione della produzione o del servizio (e conseguenti costi)
  • Rischi di violazione dei dati personali
  • Rischi reputazionali.

Vediamo insieme di cosa si tratta e alcuni consigli pratici per prevenire questo tipo di attacchi.

Cosa sono i ransomware

Come si prende un ransomware

Come proteggersi da attacchi ransomware

Cosa sono i ransomware

Il ransomware è un virus informatico (o meglio, un malware) che può infettare computer o server bloccando l’accesso ai dati. Una volta che i dati sono resi inaccessibili, viene chiesto il pagamento di un riscatto (in inglese ransom) per ripristinarli.

Quando si prende un ransomware, l’utente non riesce ad accedere al sistema oppure accede, ma non riesce ad aprire nessun file. Quando si tenta di utilizzare normalmente il computer, al posto del classico sfondo può comparire un avviso con cui il cybercriminale comunica che il dispositivo è bloccato e chiede di versare una determinata somma di denaro (spesso in bitcoin o altra criptovaluta) in cambio di una password in grado di sbloccare i dati.

Come si prende un ransomware

Il computer può essere infettato da un ransomware in diversi modi.

Il sistema più diffuso è tramite e-mail (le cosiddette e-mail di phishing), sms o sistemi di messaggistica, che chiedono all’utente (spesso con urgenza) di cliccare su un link o di scaricare un allegato.

Questo sistema è molto diffuso perché richiede poco sforzo per i criminali e perché sfrutta la scarsa consapevolezza degli utenti e delle aziende. Infatti, circa il 70% di questi attacchi parte da un’azione umana. Per questo è fondamentale che le persone sappiano riconoscere questi attacchi senza farsi truffare.

Le e-mail di phishing vengono confezionate in modo da mascherare il vero mittente e da fare risultare che il messaggio arrivi da un contatto conosciuto o fidato (per esempio da corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni oppure anche da un collega di lavoro, un conoscente, ecc.).

La e-mail induce il destinatario a compiere inconsapevolmente un’azione pericolosa (per esempio inserire le credenziali di un proprio account in un sito truffa o cliccare su un link malevolo per scaricare un file che sembra sicuro).

Esempi sono e-mail di presunti spedizionieri che invitano a cliccare su un link per visualizzare lo stato di una spedizione, e-mail con false bollette, e-mail che comunicano l’imminente blocco di un account.

Secondo il Verizon report, il 10% di questi messaggi viene aperto dagli utenti e nel 2% o 3% dei casi gli utenti cliccano su link presenti nelle e-mail o scaricano gli allegati (azione che permette l’inizio dell’attacco ransomware).

Una seconda modalità, sempre più diffusa, che può essere collegata alla prima, è la navigazione in siti compromessi, che sfruttano vulnerabilità dei browser degli utenti o cercano vulnerabilità nel dispositivo dell’utente. Al sito compromesso si può arrivare tramite link in e-mail di phishing o altri modi (banner pubblicitari o motori di ricerca) e, in alcuni casi, le pagine del sito possono contenere codice malevolo che va in esecuzione senza che l’utente si accorga di nulla.

Altre modalità di attacco sono:

  • le chiavette USB contenenti file infetti
  • l’inserimento del malware in software scaricabili da Internet (per esempio giochi o
    programmi gratuiti)
  • attacchi a PC tramite il protocollo e la porta del Desktop remoto (RDP)
  • lo sfruttamento di vulnerabilità in un software utilizzato dall’azienda vittima.

Come proteggersi da attacchi ransomware

Cosa si può fare in pratica per proteggersi da questi attacchi? Innanzitutto, è fondamentale che le persone li sappiano riconoscere e sappiano cosa fare (e cosa non fare), perché, come abbiamo visto, nella maggior parte dei casi l’attacco inizia a seguito di un’azione fatta dall’utente.

Regole pratiche per tutti i lavoratori

  1. Quando si ricevono e-mail, non aprire mai allegati di provenienza non certa o di cui si ignora il contenuto e non cliccare su link o banner sospetti
  2. Non aprire messaggi provenienti da mittenti sconosciuti o con cui non si hanno rapporti (ad es. un operatore telefonico di cui non si è cliente, un corriere espresso da cui non si aspettano consegne, ecc.)
  3. Quando si ricevono e-mail inaspettate o dubbie da un indirizzo affidabile/conosciuto (per esempio un collega di lavoro, il proprio capo, ecc.), contattare il mittente e/o l’amministratore di sistema per verificare l’autenticità del messaggio. Sono frequenti attacchi nei quali il mittente della e-mail sembra un indirizzo aziendale affidabile, in quanto l’indirizzo reale è stato contraffatto (con tecniche di “spoofing”). Attenzione alle mail dove si richiede di fare un’azione insolita con urgenza.
  4. Anche se i messaggi provengono da mittenti conosciuti, non aprire mai allegati con estensioni strane (ad esempio, allegati con estensione “.exe” che potrebbero installare applicazioni o software di qualche tipo nel dispositivo)
  5. Non scaricare software da siti sospetti (ad esempio, quelli che offrono gratuitamente prodotti che invece di solito sono a pagamento)
  6. Scaricare preferibilmente app e programmi da canali ufficiali
  7. Quando si usa un pc, è possibile controllare un link o un banner pubblicitario presente in una mail o su un sito senza cliccarci sopra. Basta passare la freccia del mouse sul link o sul banner e guardare l’anteprima del link che compare nella finestra in basso. Se non corrisponde al link che c’è nel messaggio c’è il rischio che sia ingannevole.

Fonte principale: sito del Garante della privacy

Regole pratiche per l’azienda

  1. Mantenere dei backup efficaci e testati. Almeno una copia di backup dovrebbe essere offline, non stabilmente collegata a Internet e ai dati da salvare, isolata e non accessibile da qualsiasi utente della rete. Il backup efficace è l’unica vera forma di tutela in questo caso.
  2. Attivare uno schema di backup “3-2-1” = 3 copie dei dati, di cui due “onsite” su supporti differenti e una in un sito remoto (cloud o altro sito fisico)
  3. Testare regolarmente l’efficacia dei backup (test di ripristino dati e/o interi sistemi software o hardware, dove necessario)
  4. Aggiornare i sistemi operativi e tutte le applicazioni installate nel dispositivo (in particolare i browser)
  5. Aggiornare il software antivirus
  6. Attivare sistemi di protezione “perimetrale” della rete (firewall, IDS = intrusion and detection system, EDR = endpoint detection and response)
  7. Utilizzare servizi antispam evoluti
  8. Utilizzare utenti senza diritti amministrativi sui dispositivi aziendali
  9. Chiudere le porte del servizio “Remote Desktop Protocol”
  10. Implementare soluzioni di analisi del traffico anomalo di rete (per es. quantità di dati in entrata o in uscita anomala da parte di un utente o un dispositivo, tentativi di accesso a indirizzi IP in blacklist o situati in luoghi sospetti, ripetuti tentativi di accesso ad un’utenza con password sbagliata, tentativi di connessione da un nodo a un altro all’interno della rete su porte non usuali,
    ecc.)
  11. Intensificare le attività di formazione e informazione dedicate ai lavoratori in relazione ai rischi informatici
  12. Nel caso si subisca un attacco informatico è consigliato rivolgersi a esperti con competenze tecnico legali, per affrontare l’attacco e ripristinare i sistemi nella maniera più indicata.

 

Se pensi che sia utile, diffondi questo vademecum nella tua azienda perché tutti siano informati e possano collaborare a salvaguardare la sicurezza informatica dell’impresa.

Se ti servono ulteriori informazioni o un consulente esperto in cybersecurity e privacy dei dati per la tua azienda, contattaci: info@polo626.com | 0432 699778.

Articoli recenti