Cryptolocker

Quando un’azienda viene colpita da un Cryptolocker, si parla di “attacco hacker”. Purtroppo è solo in parte vero.

Come proteggersi da un cryptolocker?

Attacco passivo

Spesso il vettore di infezione per un Cryptolocker è passivo, in quanto la tecnologia degli antivirus rileva il contenuto malevolo. I server di posta elettronica scartano in automatico gli allegati eseguibili.

Rimane solo da sfruttare l’anello più debole della catena. L’utente.

La fonte del problema

Scherzosamente i tecnici sono soliti dire che il problema risiede tra la sedia e la tastiera. Ciò purtroppo sta diventando tristemente vero in quanto siamo tutti abituati a fare più cose in contemporanea e quindi anche il più attento può cadere nel tranello.

Infatti il veicolo di diffusione più diffuso e più semplice da sfruttare è una finta e-mail di un servizio molto diffuso (principale operatore telefonico, principale banca, principale operatore elettrico) che annuncia promozioni, problemi di protezione oppure una bolletta dalle cifre preoccupanti.

L’utente, preso dal panico, di solito non nota che:

  • il mittente vero della mail non è quello che può sembrare;
  • i dati riportati sulla finta fattura non sono del tutto corretti;

a questo punto, entra in ballo la componente emozionale dell’utente che vuole assincerarsi che ci sia un errore o vuole verificare per poi esporre il problema all'”azienda” della comunicazione, o solamente approfittare dell’offerta allettante.

Gli antivirus non sono del tutto efficaci

L’approccio utilizzato per i cryptolocker fa in modo che il codice malevolo non sia mai incluso nelle e-mail che arrivano perché altrimenti verrebbe bloccato dai filtri antivirus (oppure sul tipo di allegato) sul server e-mail, oppure dall’antivirus a bordo del client. Viene infatti allegato un tipo di documento (PDF, Word, Excel, HTML contenente codice js che venga scaricato ondemand, ecc.) che permetta di avere un collegamento esterno, oppure un codice attivo (macro) che permetta di scaricare il codice malevolo.

Come funziona un cryptolocker?

Non è lo scopo di questo articolo fornire una spiegazione dettagliata sul funzionamento ma la parte fondamentale che permette di capirne la portata è che il virus identifica il computer, genera una chiave di codifica (la crittografia è asimmetrica, quindi la chiave per decifrare viene spedita a un server remoto) e inizia la parte di cifratura di tutte le informazioni che il virus riesce a identificare e e raggiungere. Non basta che il server non sia collegato al momento dell’infezione in quanto il cryptolocker è in grado di identificare altri computer e server in rete e crittografare il contenuto delle risorse che riesce a identificare.

Come ci si difende dai cryptolocker?

Le difese sono due per minimizzare i danni:

  • sensibilizzazione degli utenti coinvolti nel perimetro d’attacco;
  • compartimentazione dei dati e accesso in scrittura garantito esclusivamente alla porzione di utenti che ne hanno reale necessità.

L’unica difesa efficace è il backup, ma protegge di giorno in giorno solitamente, quindi è efficace per avere un salvataggio di dati importanti. Esistono però particolari situazioni in cui la perdita dei dati tra un backup e l’altro può essere problematica. Ad esempio la gestione di ordini con pagamento posticipato in un flusso di lavoro che ha eliminato la carta. In questo caso è impossibile risalire alla merce consegnata e al danno da fermo attività e a quello da perdita di dati, si aggiunge anche un potenziale danno che si subisce con l’impossibilità di riconciliare le informazioni della merce consegnata.

Come affrontare il problema?

Il problema si affronta dotandosi di un sistema di backup che permetta di avere i dati aggiornati in tempo reale e in contempo non avere una accessibilità diretta dalla rete come un file system di rete.
Tranquillo Cloud ti aiuta a minimizzare il tempo di fermo di una rete dopo l’infezione da un cryptolocker in quanto è un contenitore che non è attaccabile direttamente dal cryptolocker e si integra con dei software che permettono di salvare sia i dati in tempo reale che lo stato delle macchine per un ripristino automatizzato e completo con, ad esempio, una chiavetta USB che permetta il ripristino da rete di un’intera postazione, fisica o virtuale in ambiente Windows o Linux. In ultimo non utilizza un protocollo di quelli che attualmente vengono ricercati dai cryptolocker. Utilizza una modalità di collegamento che non è immediatamente scopribile da un algoritmo di ricerca generico.

InformatiCH Sagl può aiutarti!

Contattaci per un preventivo e per costruire con noi un piano di protezione dei tuoi dati importanti e un piano di ripristino per permetterti di essere operativi nel più breve tempo possibile dopo un attacco del genere.

Acquista Tranquillo Cloud a partire da 179.- 89.- CHF all’anno per 1 TB di spazio disponibile. L’offerta è valida fino al 31/12/2019 e al rinnovo sarà a prezzo pieno.