Uno dei due o tre consigli basilari per contrastare gli effetti di un ransomware è di eseguire regolarmente il backup dei dati, ma compiere questa operazione non è sempre così semplice e immediato come potrebbe apparire a prima vista. Gli esperti di Kaspersky hanno voluto approfondire proprio questa pratica e fornire altri utili consigli per difendersi dai ransomware.

I backup devono essere recuperabili facilmente

I backup, ovviamente, sono necessari. Ma avete mai provato a ripristinare l’infrastruttura della vostra azienda a partire da un backup? Potrebbe non essere così facile come sembra, e più i computer e le infrastrutture sono eterogenei, più il compito diventa difficile. Tutti i professionisti IT probabilmente si sono ritrovati di fronte un backup dove non era possibile ripristinare tutto, o non come ci si aspettasse. Il processo non è certamente mai così veloce come si spera. E a volte i backup non funzionano affatto.

Chiunque abbia mai avuto a che fare con i backup, sa di dover controllare regolarmente la loro integrità, di dover fare un po’ di pratica eseguendo il ripristino del server in un ambiente di staging e, in generale, di fare in modo che, se necessario, il ripristino non richieda troppo tempo. E chi non ha mai provato a eseguire il ripristino dell’attività a partire da un backup non dovrebbe stare tranquillo: è abbastanza probabile che i backup non aiutino quando il danno ormai è fatto.

Ecco un altro problema nel fare affidamento su un backup: se il server di backup si trova all’interno del perimetro della rete, allora il ransomware lo cifrerà insieme a tutti gli altri computer della rete, il che significa: addio ai piani di ripristino.

Recupero = interruzione dell’attività

Per le grandi aziende con diversi dispositivi e infrastrutture, è improbabile che il ripristino avvenga in tempi rapidi. Anche se il backup funziona perfettamente, e ci si rimbocca le maniche per ripristinare il tutto, sarà comunque necessario un bel po’ di tempo.

Durante le settimane di lavoro per il ripristino (sì, probabilmente stiamo parlando di settimane, non di giorni), l’azienda sarà inattiva. Qualcuno ipotizzerà che il costo di tali tempi di inattività sarà inferiore a quanto richiesto dagli estorsori (non pensate mai di pagare il riscatto, lo sconsigliamo vivamente). In ogni caso, i tempi di inattività dopo un attacco ransomware sono inevitabili; è impossibile decifrare e far ripartire subito tutti i sistemi e i servizi, anche se i criminali informatici sono così gentili da fornirvi un decryptor. Nel mondo reale, i cybercriminali non sono così educati, e anche se lo fossero, il decryptor potrebbe non funzionare come previsto.

ransomware

I ransomware moderni non sono semplici encryptor

I ransomware un tempo si rivolgevano principalmente agli utenti privati, chiedendo a cambio circa 300 dollari in criptomonete. Ora, però, i cybercriminali hanno scoperto i vantaggi di attaccare le aziende, che possono pagare (ed è più probabile che paghino) riscatti molto più ingenti. E alcuni cybercriminali non si fanno scrupoli nel dare la caccia alle organizzazioni in prima linea in campo medico: quest’anno sono stati attaccati molti ospedali e, di recente, è stata colpita un’azienda della supply chain del vaccino contro il coronavirus.

Il moderno ransomware non si limita a cifrare, ma si annida nelle reti e sottrae ogni bit di dati che riesce a fiutare. I dati vengono poi analizzati e utilizzati per ricattare le aziende con dati cifrati, fughe di informazioni o entrambi. Il mancato pagamento, si evince dal messaggio di ricatto, porterà alla pubblicazione dei dati personali dei clienti o dei segreti commerciali dell’azienda. Anche se non si tratta di un colpo fatale, macchierebbe la reputazione dell’azienda, forse in modo permanente. Inoltre, una fuga di dati di questo genere porterà a una chiacchierata molto sgradevole con i regolatori del GDPR e organismi simili per la protezione dei dati.

Se un intruso decide di divulgare segreti aziendali o dati personali degli utenti, i backup non vi salveranno. Inoltre, se si memorizzano i backup in un luogo, come sul cloud, che è relativamente facile da raggiungere da parte di un insider, quest’ultimo potrebbe fornire ai cybercriminali le informazioni necessarie per ricattarvi.

I tre pilastri per difendervi dai ransomware

Ancora una volta, poiché non esiste un soluzione a prova di bomba per respingere i rasomware, il nostro consiglio rimane lo stesso: il backup è assolutamente necessario, ma deve essere fatto correttamente, con diligenza e prove di recupero. Parte di tale diligenza implica conoscere i dettagli dei vostri backup: con quanta frequenza la vostra azienda esegue il backup dei dati e dove vengono custoditi. Tutti i dipendenti interessati devono anche sapere esattamente come riavviare rapidamente le operazioni.

Anche la protezione è d’obbligo, non solo reattiva, ma anche proattiva, che impedirà alle minacce di farsi strada nella rete. La formazione dei dipendenti sulle basi della sicurezza informatica e il controllo regolare delle loro conoscenze è altrettanto importante.

In breve, la vostra sicurezza è racchiusa in queste tre parole: backup, protezione, consapevolezza. Tutte e tre devono essere sempre presenti e, se lo sono, potete dire con certezza che state portando avanti una strategia di sicurezza anti-ransomware ottimale.