Come Prevenire Un Attacco Ransomware O Riprendersi Dal Virus [2021]

Leggi la guida di Help Ransomware e scopri come prevenire un attacco ransomware e come un utente può riprendersi da questo virus informatico.

Alcuni dati sul ransomware

Gli attacchi ransomware sono in aumento e, evolvendosi, sono diventati anche più pericolosi.

Un attacco alle reti aziendali che crittografa le informazioni sensibili può costare alle aziende centinaia di migliaia o addirittura milioni di dollari.

Nel 2021, il 68,5% delle aziende è stata vittima di ransomware.

Alcuni dati sul ransomware Help Ransomware

Si è registrato un chiaro aumento rispetto ai tre anni precedenti ed è stata la cifra più alta di sempre.

Oltre la metà degli intervistati ha dichiarato che la sua rete aziendale era stata attaccata da un ransomware.

Ad aggravare la tendenza ci si è messa la pandemia, che ha costretto sempre più persone a lavorare da remoto, il che ha permesso ai criminali informatici di sfruttare l’opportunità.

Infatti, con l’arrivo del COVID-19, si è osservato un aumento delle truffe e dei tentativi di phishing su tutte le piattaforme.

IDB (Inter-American Development Bank), sul suo sito web afferma:

“Nel complesso, le cifre risultano ancora più alte, in quanto il danno economico degli attacchi informatici potrebbe superare l’1% del prodotto interno lordo (PIL) in alcuni paesi.

In caso di attacchi a infrastrutture critiche, questa cifra può arrivare fino al 6% del Pil”.

Il ransomware colpisce tutti i settori, dalla tecnologia, alle assicurazioni, al petrolio e al gas, all’istruzione superiore.

Nel 2019, oltre 500 scuole americane sono state colpite da ransomware.

Ultime tendenze del malware

Il ransomware continua a rappresentare una grave minaccia per le aziende in tutti i settori, con alcune aree particolarmente colpite, prima tra tutte le organizzazioni governative.

È chiaro che la pandemia abbia rivoluzionato le nostre vite non solo sul piano sanitario, ma anche rispetto al lavoro, agli acquisti, allo studi, ecc.

Con questo aumento dell’attività online, sono aumentati anche irischi per la sicurezza online, e i governi sono diventati obiettivi ancora più allettanti.

Così riporta il Parlamento Europeo:

“Da anni l’Europa è presa di mira da attacchi informatici gravi.

In alcuni dei più pericolosi è stato utilizzato Ryuk, un malware di origine russa attivo dal 2018 che è diventato uno dei più minacciosi soprattutto per le istituzioni che non tengono aggiornati i loro sistemi”.

I criminali informatici non si sono lasciati intenerire dall’urgente necessità di tenere al sicuro queste attività, anzi, hanno visto in tali organizzazioni la possibilità di ricavare massimo ritorno economico con il minimo sforzo.

Per questo essere sufficientemente protetti e sottoporsi a backup continui e frequenti dovrebbe essere una pratica comune per le organizzazioni, sia grandi che piccole.

Come funziona il ransomware?

Il ransomware in genere si diffonde tramite spam o sforzi di ingegneria sociale.

Come funziona il ransomware Help Ransomware

Può anche essere diffuso attraverso siti Web o download drive-by per infettare un endpoint e penetrare nella rete.

I metodi di attacco sono in continua evoluzione quindi sono innumerevoli i modi in cui si può finire vittima di un cyber attacco.

Una volta installato, il ransomware blocca tutti i file a cui potrai accedere soltanto utilizzando una crittografia avanzata; alla fine, ti viene richiesto di pagare un riscatto.

Per decrittare i file e ripristinare le operazioni complete sui sistemi IT interessati, infatti, gli hacker esigono un pagamento in Bitcoin.

La crittografia di ransomware o cryptoware è di gran lunga la varietà recente più comune di ransomware.

Altri tipi che sono:

  • Ransomware non crittografato o lock screan: limita l’accesso a file e dati, ma non li crittografa.
  • Ransomware che crittografa il Master Boot Record (MBR) di un’unità o NTFS di Microsoft, che impedisce l’avvio dei computer delle vittime in un ambiente operativo attivo.
  • Leakware o extortionware: rubano dati compromettenti o dannosi che gli aggressori minacciano di rilasciare se il riscatto non viene pagato.
  • Mobile Device Ransomware: infetta i telefoni cellulari tramite download drive-by o app false.

Passaggi di un tipico attacco ransomware

I passaggi tipici in un attacco ransomware sono:

  • Infezione: dopo essere stato consegnato al sistema tramite allegato e-mail, il ransomware si installa su tutti i dispositivi di rete a cui può accedere.
  • Scambio di password: il ransomware contatta il server di controllo gestito dai criminali informatici per generare le chiavi crittografiche da utilizzare sul sistema locale.
  • Crittografia: il ransomware inizia a crittografare tutti i file che riesce a trovare sui dispositivi locali e sulla rete.
  • Estorsione: una volta completato il lavoro di crittografia, il ransomware ti farà visualizzare le istruzioni per l’estorsione e il pagamento del riscatto, minacciando la distruzione dei dati se non effettuerai il pagamento.
  • Sblocco: puoi pagare il riscatto e sperare che i criminali informatici decrittino effettivamente i file interessati.

In alternativa, puoi tentare il ripristino rimuovendo file e sistemi infetti dalla rete e ripristinando i dati da backup puliti.

Gli attacchi di ransomware sono una delle peggiori minacce legate alla tecnologia moderna poiché prevedono il pagamento in criptomoneta per essere decriptati.

In molte occasioni, poi, oltre al danno la beffa: dopo essere stato vittima del furto di dati, l’utente diventa anche vittima di truffa, perché nella maggior parte dei casi il pagamento non assicura la risoluzione del problema.

Passaggi di un tipico attacco ransomware Help Ransomware

Dati alla mano, le vittime di ransomware hanno pagato agli hacker più di 406 milioni di dollari in Bitcoin Cash, Bitcoin, Ethereum y Tethera a los atacantes.

Gli analisti di chainalysis assicurano che questa cifra è destinata ad aumentare nel momento in cui si scopriranno altri indirizzi ransomware a cui sono legati i pagamenti.

Chi viene attaccato?

Gli attacchi ransomware prendono di mira aziende di tutte le dimensioni (il 5% o più delle imprese che rientrano nei primi 10 settori industriali sono state attaccate).

Nessuna impresa, grande o piccola che sia, può considerarsi immune: gli attacchi sono in aumento in ogni settore.

Il recente attacco ransomware contro la Regione Lazio dimostra che gli hacker non si pongono limiti nel momento in cui scelgono le proprie vittime.

Questi tentativi, d’altra parte, evidenziano le falle di alcune organizzazioni, che dispongono di controlli deboli non sufficienti a proteggere se stesse e i propri dati.

I computer con sistema operativo Windows sono il target principale, ma esistono ceppi di ransomware anche per Macintosh e Linux.

Il ransomware è diventato così diffuso che la maggior parte delle aziende sa già che sarà vittima di un attacco malware di questo tipo.

Le mail e la navigazione sui siti web non sicuri sono stati causa di infezioni, ma ultimamente altre cause sono diventate ancora più comuni.

Le debolezze di Microsoft Server Message Block (SMB) e Remote Desktop Protocol (RDP) hanno consentito la diffusione dei cryptoworm.

Anche le applicazioni desktop e persino Microsoft Office (Dynamic Data Exchange – DDE – di Microsoft) sono stati agenti di infezione.

Recenti ceppi di ransomware come Petya, CryptoLocker e WannaCry hanno incorporato worm per diffondersi attraverso le reti, guadagnandosi il soprannome di cryptoworms.

Per questo motivo è importante capire l’esigenza di fare affidamento su specialisti come quelli di Help Ransomware, che recuperano i tuoi file in modo sicuro, rapido e professionale.

Come sconfiggere il ransomware

Si sente spesso parlare di ransomware, mentre si parla poco di quali sono le soluzioni a questo problema. Da qui la domanda: cosa dovresti fare?

  • Isola l’infezione: impedisci la diffusione dell’infezione separando i computer infetti tra di loro, dall’archivio condiviso e dalla rete.
  • Identifica l’infezione: partendo da messaggi, prove sul computer e strumenti di identificazione, determina con quale ceppo di malware hai a che fare.
  • Denuncia: denuncia l’accaduto alle autorità perché possano agire per contrastare l’attacco.
  • Determina le tue opzioni: hai diversi modi per affrontare l’infezione, il più efficace è contattare i professionisti di Help Ransomware.
  • Ripristina e aggiorna: usa backup sicuri e sorgenti di programmi e software per ripristinare il tuo computer o equipaggiare una nuova piattaforma.
  • Pianifica una strategia per prevenire le recidive: capisci come si è verificata l’infezione e cosa puoi fare per mettere in atto misure che impediscano che si ripeta.

Isolare l’infezione

La velocità e la prontezza nel rilevamento del ransomware sono fondamentali per combattere gli attacchi prima che riescano a diffondersi sulle reti e crittografare i dati vitali.

La prima cosa da fare quando si sospetta che un computer sia infetto è isolarlo dagli altri computer e dispositivi di archiviazione.

Disconnettilo dalla rete (sia cablata che Wi-Fi) e da eventuali dispositivi di archiviazione esterni.

I cryptoworm cercano attivamente connessioni e altri computer, quindi è meglio evitare che ciò accada.

Inoltre, in questo modo eviterai che il ransomware comunichi attraverso la rete con il suo centro di comando e controllo.

Tieni presente che potrebbe esserci più di un paziente zero. Ciò significa che il ransomware potrebbe essere entrato nella tua organizzazione o in casa tramite più computer.

Applica queste misura su tutti i computer connessi e in rete per assicurarti che tutti i sistemi non siano infetti.

Identificare l’infezione

Molto spesso il ransomware si manifesta nel momento in cui viene richiesto il riscatto.

Identificare il ransomware ti aiuterà a capire che tipo di infezione hai, come si propaga, quali tipi di file crittografa e quali sono le tue opzioni per la rimozione e la disinfezione.

Ti consentirà inoltre di segnalare l’attacco alle autorità, cosa consigliata.

Esistono innumerevoli strumenti gratuiti che possono aiutarti, tuttavia ti consigliamo di rivolgerti a dei professionisti in grado di fornirti una soluzione immediata ed efficace.

Help Ransomware conta oltre 20 anni di esperienza e lavoratori in 14 nazioni, con un servizio esteso a livello globale disponibile h24, 7 giorni su 7.

Se sei vittima di ransomware, non perdere tempo e contatta Help Ransomware.

Denunciare alle autorità

Denunciare i fatti alle autorità competenti è un passo fondamentale per evitare che altre persone cadano vittime del ransomware.

La segnalazione fornisce alle forze dell’ordine la possibilità di giungere ad una maggiore comprensione della minaccia e permette di acquisire informazioni sui casi di ransomware in corso.

Sapere di più sulle vittime e sulle loro esperienze con il ransomware aiuterà le autorità a scoprire chi c’è dietro gli attacchi e il modo in cui i criminali stanno identificando o prendendo di mira le vittime.

Determinare le opzioni a disposizione

Le tue opzioni quando infettati da ransomware sono:

  • Pagare il riscatto (non consigliato);
  • Provare a rimuovere il malware attraverso diversi antivirus;
  • Pulire i sistemi e reinstallarli da zero.

Scarta l’opzione di pagare il riscatto, in quanto il pagamento incoraggia i criminali.

Inoltre, questo non ti permetterà di ripristinare i file criptati dal ransomware, perché l’obiettivo degli hacker è solo ricevere denaro.

Ti restano le altre due opzioni: rimuovere il malware e ripristinare selettivamente il sistema o cancellare tutto e installare da zero.

Vediamo di seguito cosa comportano entrambi.

Ripristinare o iniziare da capo

Puoi provare a eliminare il ransomware da Windows oppure pulire il sistema e installarlo di nuovo a partire da backup sicuri e applicazioni e sistemi operativi intatti.

Per sbarazzarsi dell’infezione esistono siti Internet e pacchetti software gratuiti in grado di rimuovere il ransomware dai sistemi.

No more ransom, è una delle opzioni gratuite a tua disposizione. È gestito dall’Europol e altri partner per evitare che si diffondano truffe.

Ripristina o inizia da capo Help Ransomware

Tutto dipende dal tipo di ransomware da rimuovere, motivo per cui ti consigliamo ancora una volta di contattare gli esperti di Help Ransomware.

Il modo più sicuro per assicurarsi che malware e ransomware siano stati rimossi da un sistema è eliminare completamente tutti i dispositivi di archiviazione e reinstallare tutto da zero.

Formattare i dischi rigidi nel sistema garantirà che non rimangano residui del malware.

È bene avere copie di tutti i tuoi documenti, supporti e file.

Assicurati di determinare la data dell’infezione nel modo più accurato possibile, risalendo alle date di file, messaggi e altre informazioni che hai scoperto.

Seleziona uno o più backup eseguiti prima della data dell’infezione da ransomware iniziale.

I ripristini di sistema non sono la strategia migliore per trattare ransomware e malware.

Di solito, infatti, il software dannoso si nasconde in tutti gli angoli del tuo sistema e ciò significa che non puoi fare affidamento sul “Ripristino configurazione di sistema” per sradicare tutto il malware.

Inoltre, questa opzione non salva le vecchie copie dei file personali e non eliminerà o sostituirà nessuno dei tuoi file personali.

In poche parole, non contare su “Ripristino configurazione di sistema” perché funziona come un backup.

Se la tua soluzione di backup è locale e connessa a un computer che viene colpito da ransomware, è probabile che i tuoi backup vengano crittografati insieme al resto dei tuoi dati.

Con una buona soluzione di backup isolati dai computer locali, è più facile ottenere i file necessari a far funzionare nuovamente il sistema.

Come prevenire un attacco ransomware

Come prevenire un attacco ransomware Help Ransomware

Un attacco ransomware può avere conseguenze devastanti per un privato o un’azienda.

File preziosi e insostituibili possono andare irrimediabilmente persi.

Possono essere necessarie decine o addirittura centinaia di ore di lavoro per sbarazzarsi dell’infezione e far funzionare nuovamente i sistemi.

Gli attacchi ransomware continuano ad evolversi e i metodi di attacco diventano sempre più sofisticati.

Cerca di non entrare a far parte delle statistiche e organizzati in modo intelligente.

Per essere preparato, devi conoscere i possibili vettori di attacco, ovvero quali sono i modi in cui il ransomware può entrare nel tuo sistema.

I vettori di attacco possono essere suddivisi in due tipi: vettori di attacco umani e vettori di attacco robotici.

Vettori di attacco umani

Spesso i virus hanno bisogno dell’aiuto degli esseri umani per entrare nei computer, quindi impiegano ciò che è noto come ingegneria sociale.

Nel contesto della sicurezza delle informazioni, l’ingegneria sociale consiste nell’utilizzare l’inganno per manipolare le persone a divulgare informazioni riservate o personali a scopi fraudolenti.

In altre parole, vieni indotto a rinunciare a informazioni sensibili.

I vettori di attacco umano comuni includono:

  • Phishing: utilizza e-mail false per indurti a cliccare su un collegamento o ad aprire un allegato contenente un payload di malware.

L’email potrebbe essere inviata a una o più persone all’interno di un’organizzazione.

Gli aggressori si prendono il tempo per ricercare i singoli obiettivi e le aziende in modo che il messaggio appaia realistico.

Si fa in modo che il mittente sembri noto al destinatario o che l’oggetto sia rilevante per il lavoro del destinatario.

Quando è personalizzata in questo modo, la tecnica è nota come spear phishing.

  • SMSishing: utilizza messaggi di testo per indurre i destinatari a navigare in un sito o immettere informazioni personali sul proprio dispositivo.

Gli approcci comuni utilizzano messaggi di autenticazione o messaggi che sembrano provenire da un fornitore di servizi bancari o di altro tipo.

  • Vishing: il procedimento è simile a quello che riguarda e-mail e SMS, con l’unica differenza che il vishing utilizza la posta vocale per ingannare la vittima.

Al destinatario del messaggio vocale viene chiesto di chiamare un numero che sembra legittimo.

Quando la vittima chiama il numero, vengono intraprese una serie di azioni per correggere alcuni problemi inventati.

Le istruzioni includono che la vittima installi malware sul proprio computer.

I criminali informatici possono apparire professionali e utilizzare effetti sonori e altri mezzi.

Come lo spear phishing, anche il vishing può essere personalizzato sul singolo individuo o azienda.

  • Social media: i social media possono essere un potente veicolo per convincere una vittima ad aprire un’immagine scaricata da un sito o intraprendere qualche altra azione compromettente.
  • Messaggistica istantanea: i criminali informatici possono raggirare i clienti di app di messaggistica istantanea per distribuire malware all’elenco contatti della vittima.

Questa tecnica era uno dei metodi utilizzati per distribuire il ransomware Locky a destinatari ignari.

Vettori di attacco robotici

L’altro tipo di vettore di attacco è da macchina a macchina.

In questi casi gli esseri umani sono coinvolti solo in parte, in quanto potrebbero facilitare l’attacco visitando un sito Web o utilizzando un computer.

Ma il processo di attacco è automatizzato e non richiede alcuna cooperazione umana esplicita per infettare il computer o la rete.

  • Drive-by: il nome deriva dal fatto che l’unica cosa che serve perché la vittima venga infettata è che apra una pagina Web con codice dannoso.
  • Vulnerabilità del sistema: i criminali informatici cercano le vulnerabilità di sistemi specifici e sfruttano tali vulnerabilità per entrare e installare ransomware sul dispositivo.

Ciò accade molto spesso per quei sistemi che non sono stati aggiornati con le ultime versioni di sicurezza.

  • Malvertising: funziona come un drive-by, ma utilizza gli annunci pubblicitari per distribuire malware.

Questi annunci potrebbero essere inseriti sui motori di ricerca o sui social media, per raggiungere un vasto pubblico.

Un host comune per il malvertising sono i siti per soli adulti.

  • Propagazione di rete: una volta che il ransomware entra in un sistema,può eseguire la scansione di file condivisi e computer accessibili e diffondersi così attraverso la rete o il sistema condiviso.

Le aziende senza una protezione adeguata potrebbero avere infettato anche il file server aziendale e altre reti.

Da lì, il malware si propagherà il più lontano possibile finché non esaurirà i sistemi accessibili o incontrerà barriere di sicurezza.

  • Propagazione tramite servizi condivisi: i servizi di condivisione di file o di sincronizzazione possono essere utilizzati per propagare il ransomware.

Se il ransomware finisce in una cartella condivisa su un computer domestico, l’infezione può essere trasferita su altri dispositivi collegati.

Nel caso in cui il servizio sia impostato sulla sincronizzazione automatica quando i file vengono aggiunti o modificati, un virus dannoso può essere propagarsi in pochi millisecondi.

È importante prestare attenzione e considerare le impostazioni che utilizzi.

Best practice per sconfiggere il ransomware

Help Ransomware, in quanto esperto di sicurezza ti suggerisce diverse misure per prevenire un attacco ransomware:

  • Utilizza software antivirus e antimalware o altri criteri di sicurezza per bloccare l’avvio di payload noti;
  • Esegui backup frequenti e completi di tutti i file importanti e isolali dalle reti locali e aperte;
  • Conserva offline i backup dei dati archiviati, in posizioni inaccessibili da qualsiasi computer potenzialmente infetto;
  • Installa gli ultimi aggiornamenti di sicurezza rilasciati dai fornitori di software del tuo sistema operativo e delle tue applicazioni;
  • Considera l’implementazione di software di sicurezza per proteggere dalle infezioni endpoint, server di posta elettronica e sistemi di rete;
  • Pratica la pulizia informatica, ad esempio prestando attenzione quando si aprono allegati e collegamenti e-mail;
  • Segmenta le reti per mantenere isolati i computer critici e per prevenire la diffusione di malware in caso di attacco;
  • Disattiva i diritti di amministratore per gli utenti che non li richiedono;
  • Limita il più possibile i permessi di scrittura su file server.

Conclusioni

Il Ransomware è un tipo di malware che cripta i file di una vittima. Stando a quanto detto finora, possiamo concludere che:

  • Il ransomware, di solito, si propaga attraverso mail di spam, phishing o sforzi di ingegneria sociale;
  • I passaggi tipici in un attacco ransomware sono: infezione, scambio di password, crittografia, estorsione, sblocco;
  • Gli attacchi ransomware colpiscono imprese di qualunque dimensione;
  • Per contrastare il ransomware devi individuare il tipo di infezione, creare copie di backup e informare le autorità;
  • La cosa più importante è rivolgersi a professionisti come Help Ransomware.

Lascia un commento