Il Backup come prevenzione contro Cryptolocker e Ransomware

ransomware

Cos’è Il Ransomware

Il ransomware è un software malevolo che cifra i dati per poi chiedere un “riscatto” in cambio della decriptazione dei dati stessi.
Le prime tracce del ransomware più conosciuto, CryptoLocker, risalgono a settembre 2013 e da allora sono state rilasciate molte varianti e altri ransomware dal comportamento simile.

La cifratura è estremamente solida, es. 1024-bit o 2048-bit, ed è praticamente impossibile recuperare i dati senza la chiave. E’ possibile pagare i criminali ma non esistono garanzie sul fatto che la chiave fornita funzioni correttamente.

Come si diffonde il ransomware

In generale si diffondono come allegati di posta elettronica che sembrano provenire da fonti legittime, oppure viene caricato su un computer già facente parte di una botnet. Il ransomware, una volta eseguito dall’ operatore, si installa con un nome casuale, aggiunge una chiave al registro e fa in modo da mettersi in esecuzione automatica. Successivamente tenta di connettersi a un server che genera una chiave pubblica a 1024 o 2048 bit la quale viene inviata al computer oggetto dell’ attacco. Il malware, a questo punto, inizia a cifrare, con la chiave pubblica, i file ( *.doc, *.xls, *.pdf, … etc.) presenti sul disco rigido, sulle eventuali pen drive connesse e sulle condivisioni di rete mappate localmente. Successivamente il malware informa l’utente di aver cifrato i file e richiede una contropartita economica per decifrare i file. Normalmente il pagamento deve essere eseguito in un determinato arco temporale, altrimenti la chiave privata viene cancellata definitivamente dal server. Il pagamento del “riscatto” consente all’utente di scaricare un software di decifratura con la chiave privata già precaricata.

Cosa si può fare per proteggersi dal ransomware

Best practices di sicurezza

Innanzitutto, è fondamentale che le organizzazioni implementino le stesse best practices di sicurezza di base consigliate per proteggere i computer da qualsiasi altro tipo di malware, e cioè:

  • assicurarsi che il software anti-virus sia aggiornato con le più recenti signature;
  • verificare l’aggiornamento del sistema operativo e delle patches del software applicativo ;
  • installare un firewall a protezione della lan;
  • educare gli utenti sulle tecniche di social engineering, specialmente quando si trovano di fronte ad allegati sconosciuti che arrivano nella posta indesiderata.

Tuttavia, si tratta di misure che non offrono una protezione totale dagli attacchi. È ancora troppo facile per un utente cliccare inavvertitamente su un allegato di posta elettronica, provocando l’ infezione. È anche relativamente facile per i criminali, che stanno dietro una truffa ransomware, modificare il codice malware, in modo da bypassare l’antimalware dal rilevamento basato su signature.

Best practices di backup

  • backup dei dati eseguito con cadenza adeguata;
  • policy di data retention redatte con cura, es. possibilità di recuperare i dati fino a alcune settimane a ritroso oppure un mese;
  • controllo dell’ integrità dei backup coerentemente con la cadenza dei backup e delle policy di data retention, in quanto i dati compromessi dall’ infezione, ma non l’ infezione, finiranno nelle cartelle di backup ad ogni esecuzione;
  • accessibilità dei backup, le cartelle di backup non devono essere accessibili agli utenti normali, così da impedire ai ransomware di aggredire i dati;
  • i ransomware non devono mai essere in grado di operare sotto l’utente amministratore di dominio o altri utenti dai pieni privilegi.

Una via per proteggere i backup da ransomware è salvare i dati in un NAS attraverso protocollo FTP utilizzando un software dedicato a tale scopo. Il NAS è lo strumento perfetto per i backup e le soluzioni di oggi sono praticamente tutte in grado di operare come server FTP. Se non volete acquistarne uno, potete sempre costruirlo utilizzando FreeNAS oppure installare un server FileZilla su una macchina Linux o Windows, nel caso di utilizzo di Windows l’uso della macchina va assolutamente ristretto, se il ransomware la aggredisse andrebbe a danneggiare i backup.
Usando FTP, la cartella di backup non necessita di essere condivisa in rete e questo impedisce agli utenti normali ed al ransomware di accedervi.

Tale strategia però, pur presentando un notevole grado di affidabilità e sicurezza, ha uno svantaggio: il protocollo FTP rallenta le operazioni di backup, specialmente quando il numero di file da copiare è molto elevato.
In tal caso il software utilizzato per il backup gioca un ruolo fondamentale in quanto deve essere in grado di riconoscere i soli files che hanno subito modifiche ed effettuarne il backup.

Elementi da valutare per la scelta di un software di backup

  • salvataggio di file aperti, database ed altre applicazioni specifiche;
  • configurazione di policy di data retention per avere più versioni dello stesso file;
  • velocità di esecuzione e compressione dei dati;
  • crittografia, per aumentare il livello di sicurezza dei salvataggi;
  • report giornaliero dei backup, per monitorare gli esiti;

 

Proteggi e metti al sicuro i tuoi dati !
Soluzioni per la sicurezza ICT

Share the joy

Related Post

Category: Sicurezza Informatica

Tag:, , ,

- 29 maggio 2017

Lascia una risposta

Your email address will not be published / Required fields are marked *

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>