La prima volta che ho sentito parlare di qualcosa di simile ad un ransomware, ma senza la richiesta di riscatto, fu molto, molto tempo fa, quando un mio insegnante di manutenzione elettrotecnica industriale si lamentò che tutti i dati del laboratorio sperimentale di elettrotecnica, erano andati persi, perchè per colpa di un virus, erano stati criptati e resi inutilizzabili.
Da allora è passato molto tempo e le tecniche per danneggiare i dati si sono affinate.
Ho incontrato diverse persone che sono state colpite da ransomware di varia natura, ma quello che mi ha più colpito, non è stato il problema in sè. Piuttosto il fatto che quasi tutti erano impreparati a fronteggiare i danni causati e soprattutto privi delle difese più adeguate.
Così, alcuni hanno pagato il riscatto richiesto e hanno riavuto l'accesso in chiaro ai dati, altri hanno pagato e non hanno ottenuto nulla, con il doppio danno (files criptati ed un inutile esborso di denaro), altri che non hanno fatto ricorso al pagamento del riscatto, hanno perso irrimediabilmente i dati in prima battuta perchè privi di protezioni adeguate.
C'era chi aveva sistemi di backup non funzionanti, chi li aveva funzionanti ma incapaci di identificare anomalie sui dati di backup, chi non aveva nessuna copia di backup. Tutti vittime della propria ignoranza, di quella dei tecnici e del senso del risparmio...
La migliore soluzione è una scelta capace di identificare il problema prima che faccia danni. Garantire un sistema di backup adeguato e ben implementato, capace di preservare i dati e di identificare anomalie sui files, nel caso siano stati alterati già prima del backup.
Garantire delle scelte che aumentino in modo efficace la capacità di resilienza dell'attività, permettendo di lavorare anche in condizioni critiche.
Partendo dal fatto che non è possibile identificare una soluzione univoca per tutti, mi permetto però di identificare alcuni punti fondamentali.
- Prevedere l'uso di un buon sistema antivirus capace di identificare anche i ransomware;
- implementare l'utilizzo di un secondo anti-ransomware parallelo all'antivirus;
- implementare un sistema di backup scalabile, adeguato e flessibile, capace di fare il backup di tutte le informazioni utili ed identificare se i files sono stati manipolati da un ransomware;
- mantenere aggiornati sistemi operativi, programmi ed applicativi alle ultime versioni, installare prontamente sempre tutte le patch di sicurezza;
- scansionare abitualmente i files, in particolare quelli scaricati o provenienti da fonti esterne;
- utilizzare ove possibile un account utente con privilegi ridotti;
- mantenere sempre attivi i sistemi di protezione utente, come il UAC di Windows;
- stare molto attenti alle email, ai files allegati ed ai link presenti, le comunicazioni email continuano a rimanere una facile via di attacco;
- nel peggiore dei casi, non pagare il riscatto.
E' chiaro che quanto descritto è solo un punto di partenza, ed invito per questo tutte le persone interessate ad un approfondimento generale...
Andrea Guzzo
