Negli ultimi anni le minacce derivanti dai ransomware sono diventate sempre più rilevanti. Con il termine ransomware si intendono tutte le tipologie di malware che richiedono un riscatto per poter ricominciare ad utilizzare il proprio PC oppure per tornare in pieno possesso dei i propri dati.
La tipologia più famosa di questa classe di minacce sono i “cryptovirus”. Il loro scopo è di crittografare i dati presenti nei pc o nelle share di rete per poi richiedere un riscatto in cambio dei dati in chiaro e quindi nuovamente utilizzabili.
Benché si pensi che queste minacce siano rivolte principalmente ai grandi gruppi multinazionali in realtà la maggior parte degli attacchi sono rivolti alle PMI.
La principale ma non unica provenienza dei cryptovirus è la posta elettronica: solitamente la minaccia si presenta sotto forma di allegato oppure, come sempre più spesso accade, nella mail è presente un link che punta al software malevolo.
Premesso che la protezione più efficace verso queste minacce rimane la formazione degli utenti, esistono soluzioni software che permettono prevenire l’infezione o nel peggiore dei casi limitare i danni.
Al fine di avere una protezione adeguata è consigliabile non utilizzare un solo strumento ma diversi tool tra loro complementari al fine di ridurre la superficie disponibile per l’attacco. In particolare il consiglio è quello di utilizzare almeno due tipologie di protezione.
Il primo passo è “proteggere la posta elettronica” analizzando il contenuto delle mail: tutta la posta prima di essere recapitata agli utenti viene analizzata da uno specifico software che esegue in un ambiente protetto gli eventuali allegati presenti nelle mail. L’esecuzione degli allegati, a differenza della semplice analisi della firma, permette bloccare anche le minacce “zero day” (ovvero quelle minacce di cui non si è ancora a conoscenza). Questi software inoltre seguono anche i link presenti nelle mail per verificare se eventualmente puntino a malware.
La seconda forma di protezione prevede il monitoraggio delle cartelle di rete, dove solitamente risiedono i dati più rilevanti per un’azienda, presenti sui server alla ricerca di comportamenti sospetti.
Questa forma di protezione non analizza a priori i potenziali file sospetti ma mantiene monitorate le share di rete presenti sui file server alla ricerca di comportamenti anomali, come a esempio la cifratura di un numero estremamente elevato di file. Quando si rileva un comportamento di viene bloccata l’esecuzione del programma che ha scatenato l’evento.
In questo modo è possibile proteggersi sia dai ransomware provenienti da fonti diverse rispetto alla posta elettronica, come chiavette USB o file scaricati direttamente dalla rete, sia dalle minacce che non sono state identificate dal software dedicato all’analisi della posta.
Si tratta quindi di una protezione che effettua un’analisi comportamentale e non identifica a priori le minacce di conseguenza una parte dei dati potrebbe andare perduta prima che l’esecuzione del malware venga bloccata. D’altra parte una soluzione del genere permette di prevenire attacchi “zero day” e deve essere vista come complementare ad altre soluzioni di protezione come i tradizionali antivirus e la sopra citata protezione della posta.
Un fattore di cui molto spesso non si tiene è che in caso di infezione non ci sarà solamente il costo del riscatto da pagare ma anche un danno di immagine e molto tempo perso. Perché rischiare quando è possibile prevenire tutto ciò?