Ransomware nel 2021: Come Proteggere la Tua Azienda

Ransomware: la minaccia che paralizza le aziende

Nel 2021, gli attacchi ransomware hanno raggiunto livelli senza precedenti. Colonial Pipeline, il più grande oleodotto degli Stati Uniti, è stato bloccato per giorni. Il sistema sanitario irlandese è rimasto paralizzato per settimane. E migliaia di PMI italiane, meno visibili ma altrettanto colpite, hanno perso dati, tempo e denaro. Il ransomware non è più un problema che riguarda solo le grandi aziende: è una minaccia concreta per qualsiasi organizzazione connessa a Internet.

Ma cosa succede esattamente durante un attacco ransomware? Come ci si protegge? E cosa fare se si è già stati colpiti? Vediamolo nel dettaglio.

Come funziona un attacco ransomware

Il ransomware è un tipo di malware che, una volta infiltrato in un sistema, cifra tutti i file rendendoli inaccessibili. L’attaccante chiede poi un riscatto (in inglese “ransom”), generalmente in criptovalute, in cambio della chiave di decifratura. Senza la chiave, i file restano inutilizzabili.

Le fasi tipiche di un attacco:

1. Infiltrazione: il ransomware entra nel sistema attraverso un’email di phishing con un allegato infetto, un link malevolo, una vulnerabilità non corretta nel software o credenziali rubate. Saper riconoscere un attacco informatico nelle sue fasi iniziali è spesso l’unica possibilità di fermarlo.
2. Propagazione laterale: una volta dentro, il malware si diffonde nella rete aziendale, cercando di raggiungere il maggior numero possibile di computer, server e dispositivi di backup.
3. Cifratura: tutti i file vengono cifrati con algoritmi crittografici praticamente impossibili da forzare. Documenti, database, email, backup locali: tutto diventa inaccessibile.
4. Richiesta di riscatto: appare un messaggio con le istruzioni per il pagamento, generalmente in Bitcoin, con un timer che minaccia la cancellazione permanente dei dati o la pubblicazione online.

Doppia estorsione: la nuova frontiera

Nel 2021 si è diffusa la tecnica della doppia estorsione: oltre a cifrare i dati, i criminali li rubano prima dell’attacco. Se l’azienda non paga, minacciano di pubblicare i dati sensibili (clienti, dipendenti, dati finanziari) su forum pubblici. Questo rende il backup insufficiente come unica difesa: anche ripristinando i dati, resta il rischio di un data breach.

Perché le PMI sono un bersaglio privilegiato

Contrariamente a quanto si potrebbe pensare, le PMI sono bersagli più attraenti delle grandi aziende per i gruppi ransomware:

• Budget IT limitato: difese meno sofisticate, software non aggiornato, assenza di un team di sicurezza dedicato.
• Minore consapevolezza: i dipendenti non ricevono formazione sulla sicurezza informatica e cadono più facilmente nelle trappole di phishing.
• Alta propensione al pagamento: senza backup adeguati e con l’attività ferma, molte PMI preferiscono pagare piuttosto che affrontare settimane di blocco.
• Volume: attaccare centinaia di PMI con riscatti da 5.000-50.000 euro è spesso più redditizio che attaccare una grande azienda con difese sofisticate.

Come proteggersi: la difesa in profondità

Non esiste una singola soluzione che garantisca protezione totale. La strategia efficace è la difesa in profondità: più livelli di protezione sovrapposti, così che anche se uno viene superato, gli altri continuano a proteggere.

Livello 1: prevenzione

• Aggiornamenti regolari: mantenere aggiornati sistema operativo, browser, applicazioni e firmware dei dispositivi di rete. Le vulnerabilità note sono la porta d’ingresso più comune. Questo vale anche per i siti web: la sicurezza di WordPress dipende fortemente dagli aggiornamenti tempestivi.
• Antivirus e anti-malware: soluzioni professionali con protezione in tempo reale, non solo scansioni programmate.
• Firewall perimetrale: protezione della rete aziendale con regole di filtraggio del traffico.
• Email security: filtri anti-phishing avanzati e sandboxing degli allegati sospetti.

Livello 2: accesso e autenticazione

• Password robuste: password uniche e complesse per ogni account, gestite con un password manager.
• Autenticazione multi-fattore (MFA): secondo fattore obbligatorio per email, VPN, accessi remoti e pannelli di amministrazione.
• Principio del privilegio minimo: ogni utente ha accesso solo alle risorse strettamente necessarie per il proprio ruolo.
• Disabilitare RDP esposto: il protocollo di desktop remoto (RDP) esposto su Internet è uno dei vettori di attacco più sfruttati. Se necessario, proteggerlo con VPN e MFA.

Livello 3: backup

Il backup è l’ultima linea di difesa e la più importante. Ma un backup non è utile se il ransomware lo raggiunge e lo cifra. La regola d’oro è il 3-2-1:

1. 3 copie dei dati: l’originale più due copie di backup.
2. 2 supporti diversi: ad esempio disco locale e cloud.
3. 1 copia offline: disconnessa dalla rete, inaccessibile al ransomware. Un disco esterno scollegato fisicamente o un backup su nastro.

Fondamentale: testare regolarmente il ripristino. Un backup che non si riesce a ripristinare non è un backup, è una falsa sicurezza.

Cosa fare se sei stato colpito: incident response

Se il ransomware ha già colpito, ogni minuto conta. Un piano di incident response predefinito fa la differenza tra un’interruzione di ore e una di settimane.

1. Isola immediatamente i sistemi infetti: scollega i computer dalla rete (stacca il cavo Ethernet, disattiva il Wi-Fi) per impedire la propagazione. Non spegnere i computer: la memoria RAM potrebbe contenere informazioni utili per l’analisi forense.
2. Documenta tutto: fotografa i messaggi di riscatto, annota l’ora dell’evento, registra quali sistemi sono stati colpiti.
3. Non pagare il riscatto (se possibile): il pagamento finanzia i criminali e non garantisce la restituzione dei dati. Secondo le statistiche, circa il 20% delle aziende che pagano non riceve la chiave di decifratura o riceve una chiave non funzionante.
4. Contatta le autorità: in Italia, la Polizia Postale gestisce i reati informatici. La denuncia è importante anche per le statistiche e le indagini sui gruppi criminali.
5. Verifica la disponibilità di decryptor: il progetto No More Ransom (nomoreransom.org), supportato da Europol, mette a disposizione strumenti gratuiti di decifratura per decine di varianti di ransomware note.
6. Ripristina dai backup: se disponi di backup puliti e verificati, procedi al ripristino dopo aver bonificato i sistemi.

Formazione dei dipendenti: la difesa più efficace

La tecnologia da sola non basta. Il 95% degli incidenti di sicurezza coinvolge un errore umano. Formare i dipendenti a riconoscere email di phishing, link sospetti e allegati pericolosi è l’investimento con il miglior ritorno in ambito sicurezza.

Una formazione efficace include:

• Sessioni periodiche: non una tantum, ma almeno trimestrali, con esempi concreti e aggiornati.
• Simulazioni di phishing: email di test inviate ai dipendenti per misurare la capacità di riconoscimento e intervenire con formazione mirata dove serve.
• Procedure chiare: ogni dipendente deve sapere cosa fare (e cosa non fare) quando riceve un’email sospetta o nota un comportamento anomalo del computer.

Se vuoi proteggere la tua azienda dal ransomware con un piano di sicurezza completo, G Tech Group può aiutarti con l’analisi delle vulnerabilità, la configurazione dei backup e la formazione del personale. Contattaci a su*****@********up.it oppure via WhatsApp al 0465 84 62 45.