domenica 18 marzo 2018

Allerta ransomware, Stormshield: come difendersi in caso di attacco


A fronte del rapido incremento dei ransomware per le aziende è di vitale importanza difendersi e sapere cosa fare in caso di attacco. Il primo passo è non cadere nella trappola del ricatto. Se ad un furto di dati segue un attacco ransomware, è buona cosa non seguire l’esempio di Uber. La nota società americana non ha solo confermato oltre un anno dopo il misfatto di essere stata vittima di un furto di dati ma ha persino pagato agli hacker $100.000 di riscatto. La violazione dei dati includeva nomi, indirizzi e-mail e numeri di telefono di circa 50 milioni di utenti Uber e le informazioni personali di 7 milioni di conducenti, inclusi i numeri di patente di 600.000 automobilisti statunitensi.

Uber ha garantito che non sarebbero stati trafugati altri dati come numeri delle carte di credito, dati di social security, ovvero l’equivalente del codice fiscale da cui si possono ottenere dati sensibili sull'identità di una persona, e nessun particolare sui viaggi effettuati. Secondo Bloomberg, Uber ha pagato un riscatto di 100.000 dollari al gruppo di hacker per mantenere la violazione (avvenuta  nell’ottobre 2016) nascosta oltre ad ottenere la cancellazione dei dati rubati. Ciò che ha fatto Uber è sicuramente l’esempio migliore di cosa non fare nel caso in cui si dovesse subire un attacco soprattutto a fronte della crescita esponenziale del malware. Basta tornare agli avvenimenti dello scorso maggio. Il ransomware WannaCry aveva infettato diverse centinaia di migliaia di computer di tutto il mondo rendendo i file illeggibili. 

Per poterli ripristinare, un messaggio sullo schermo intimava il pagamento di un riscatto pari a $300 in Bitcoin, che sarebbe raddoppiato nel giro di qualche giorno in caso di mancato pagamento. Tra i ransomware in circolazione i più noti sono Cryptowall, TeslaCrypt, Locky Ransomware, Cerber Ransomware, CTB-Locker e Petya / Not Petya. L’incremento significativo della diffusione dei ransomware negli scorsi anni è altresì indice dell’accresciuto livello di rischio per gli utenti. A ciò si aggiunge quanto rilevato da Symantec negli Stati Uniti in uno studio pubblicato nell’aprile dello scorso anno: anche le aspettative degli hacker tendono ad aumentare, nel 2015 i ransomware esigevano un riscatto medio di $294 per dispositivo, nel 2016 si superava la soglia dei $1000, un importo medio confermato di recente anche da McAfee

Rischio ransomware: grossa preoccupazione per il mondo business. Un rischio di questo calibro non può restare incontrollato. Secondo uno studio di Intermedia, questo tipo di cyberattacco viene considerato dalle aziende come la seconda minaccia più temibile (29%), preceduto solo dal malfunzionamento dell’hardware (30%). Una ricerca condotta da Osterman Research ha evidenziato che il 54% delle aziende operanti nel settore finanziario teme estremamente questo genere di minacce, mentre le aziende di trasporti figurano all’ultima posizione con un 26%. Non meraviglia che comunque che i ransomware spaventino le aziende a livello globale: il costo annuale di questi ransomware è salito dai 325 milioni di dollari del 2015 ai 5 miliardi del 2017. In che modo proteggere la propria azienda dai ransomware?


Esistono misure di sicurezza di base, tra cui aggiornare regolarmente i sistemi nel tempo, impiegare software antivirus di nuova generazione, non aprire allegati sospetti o messaggi da sconosciuti, e fare di tanto in tanto back-up verso un disco esterno, che sia rimovibile o cloud. Qualora queste precauzioni non vengano messe in atto o si rivelino insufficienti: non pagare! Cedere ai ricatti degli hacker non fa altro che incentivare queste pratiche illegali. Sfortunatamente non tutti prendono a cuore questa raccomandazione. La ricerca Intermedia rivela che il 59% degli impiegati di società con oltre 1000 dipendenti vittima di ransomware, pagano loro stessi il riscatto. Tuttavia, nonostante il pagamento, una vittima su cinque non riesce a recuperare i dati cifrati. Cosa fare nel caso di un attacco ransomware.

In presenza di un ransomware le aziende possono applicare diverse misure: • Disconnettere i sistemi dalla rete per limitare la contaminazione; • Lasciare accesi i computer e non cercare di riavviarli; si potrebbero perdere informazioni utili all’analisi dell’attacco; • Informare il responsabile della sicurezza della società; • Scoprire il nome del ransomware (una versione datata potrebbe avere un antidoto per recuperare i file). Per riuscire a farlo bisogna andare sul sito nomoreransom.org e scaricare lo strumento di decriptazione disponibile per alcuni tipi di ransomware; • Tentare di ripristinare i dati utilizzando sistemi di back-up automatici di qualche sistema operativo o tramite il proprio sistema di back-up; • Recuperare i file da un servizio di stoccaggio dati come Dropbox nel caso in cui il computer fosse stato sincronizzato con questo genere di servizio

Gli attacchi ransomware spesso bypassano tipologie convenzionali di protezione impiegate sulle singole postazioni di lavoro e possono andare a buon fine nonostante in azienda si tengano corsi sulle best practice di sicurezza. Stormshield Endpoint Security (SES), con i suoi meccanismi di hardenizzazione dei sistemi operativi, offre una protezione proattiva di alto livello contro le attuali minacce digitali. La soluzione tiene costantemente a bada le minacce grazie non solo a una suite completa di moduli per la sicurezza generale delle workstation, ma anche a una tecnologia esclusiva che protegge da attacchi mirati e APT noti e sconosciuti. Perfettamente adatta per implementazioni su larga scala, SES integra tutti i servizi di sicurezza necessari per proteggere workstation e server, dal controllo dei dispositivi periferici alla crittografia dei dischi, in un unico agente.

Un modulo Core Defense copre tutte le esigenze di sicurezza basilari come controllo delle applicazioni, firewall, HIPS, NIPS, ecc. Le policy di sicurezza si adattano dinamicamente al contesto di ogni singola workstation. Stormshield sviluppa soluzioni di sicurezza end-to-end innovative per la tutela di reti (Stormshield Network Security), workstation (Stormshield Endpoint Security), e dati (Stormshield Data Security). Certificate ai più alti livelli in Europa (EU RESTRICTED, NATO, e ANSSI EAL4+), queste soluzioni affidabili di nuova generazione assicurano la massima protezione delle informazioni strategiche. Le soluzioni Stormshield sono commercializzate attraverso una rete commerciale costituita da distributori, integratori e operatori di canale o telco e sono implementate presso aziende di qualsiasi dimensione, istituzioni governative e organizzazioni preposte alla difesa in tutto il mondo. Via: Sab Communication


Nessun commento:

Posta un commento