Avast Business
Argentina Argentina Brasil Brasil Canada (English) Canada (English) Canada (français) Canada (français) Chile Chile Colombia Colombia EE.UU. (español) EE.UU. (español) México México USA (English) USA (English)
América Latina (español) América Latina (español)
België (Nederlands) België (Nederlands) Belgique (français) Belgique (français) Česká republika Česká republika Danmark Danmark Deutschland Deutschland España España France France Italia Italia Magyarország Magyarország Nederland Nederland Norge Norge
Polska Polska Portugal Portugal România România Schweiz (Deutsch) Schweiz (Deutsch) Slovensko (česky) Slovensko (česky) South Africa South Africa Suisse (français) Suisse (français) Suomi Suomi Sverige Sverige Türkiye Türkiye United Arab Emirates United Arab Emirates
United Kingdom United Kingdom Ελλάδα Ελλάδα ישראל ישראל Казахстан Казахстан Россия Россия Україна (українська) Україна (українська) Украина (русский) Украина (русский) المملكة العربية السعودية المملكة العربية السعودية الدول العربية الدول العربية
Europe (English) Europe (English)
Worldwide (English) Worldwide (English)
Australia Australia India India इंडिया (हिंदी) इंडिया (हिंदी) Indonesia (English) Indonesia (English) Indonesia (Bahasa Indonesia) Indonesia (Bahasa Indonesia) Malaysia (English) Malaysia (English) Malaysia (Bahasa Melayu) Malaysia (Bahasa Melayu) New Zealand New Zealand Philippines (English) Philippines (English) Pilipinas (Filipino) Pilipinas (Filipino) Singapore Singapore
Việt Nam Việt Nam 日本語 日本語 대한민국 대한민국 简体中文 简体中文 繁體中文 繁體中文 ประเทศไทย ประเทศไทย
 
América Latina (español) América Latina (español)
Europe (English) Europe (English)
Worldwide (English) Worldwide (English)
  1. For Business
  2. For Business
  3. Resources
  4. How-to-prevent-ransomware

Che cos'è il ransomware?

Il termine "ransomware" indica un tipo di malware la cui crescente diffusione rappresenta un problema per le aziende. In genere agisce eseguendo il criptaggio di file, sistemi e dispositivi o bloccando schermate, per rendere inaccessibili cartelle, file o anche interi sistemi. Gli utenti vengono quindi informati che il sistema è stato compromesso e resterà inaccessibile fino al pagamento di un riscatto in denaro.

Il ransomware può riuscire a infettare una rete in molti modi. Ad esempio, può approfittare della disattenzione di qualche utente che visita un sito Web compromesso, scarica un file infetto o apre un'email di spam oppure può sfruttare le numerose vulnerabilità presenti in tutta la rete a causa di qualche software privo di patch. A dimostrazione di quanto sia difficile da rilevare e sradicare, il ransomware può anche rimanere a lungo dormiente in una rete o in un dispositivo.

Questo tipo di malware viene spesso utilizzato dai criminali informatici per colpire organizzazioni dei settori sanitario, finanziario e della pubblica amministrazione, che accumulano enormi quantità di dati riservati o sensibili per fornire servizi essenziali.

In questa guida parleremo dei diversi tipi di ransomware, dell'impatto che può avere sulle attività aziendali e di come le imprese possono prevenire questa minaccia.

Ransomware

Tipologie di ransomware

Malware è un termine generico usato per indicare molti tipi di software dannoso. I diversi tipi vengono in genere definiti in base al sistema di distribuzione che utilizzano o al comportamento che assumono una volta ottenuto l'accesso a una rete. Ad esempio, a volte ci si riferisce al ransomware come a un virus e in alcuni casi è così. I virus, tuttavia, sono solo un tipo di software dannoso caratterizzato dalla capacità di replicare il proprio codice.

  • Kit di exploit: i kit di exploit consentono agli aggressori di sfruttare i sistemi vulnerabili o compromessi per ottenere il pieno controllo dei sistemi aziendali.
  • Phishing: negli attacchi di phishing i malintenzionati assumono l'identità di organizzazioni o individui per inviare email contenenti allegati o collegamenti dannosi.
  • Malvertising: il malvertising è un fenomeno che sta via via assumendo dimensioni crescenti e presenta aspetti sempre più sofisticati. In questo tipo di attacco, gli aggressori pubblicano annunci infetti su siti Web legittimi e affidabili. Una volta caricati in una pagina del sito, questi annunci diffondono il malware nelle reti degli utenti, compromettendo in particolare la reputazione dei più popolari siti Web che gestiscono volumi di traffico elevati.
  • Download drive-by: mentre l'attivazione di attacchi di altro tipo dipende da un'azione degli utenti, come il download di un allegato o la visita a un sito infetto, i download drive-by vengono installati in dispositivi e sistemi a insaputa dei proprietari a causa della scarsa protezione garantita dai sistemi di sicurezza in uso.
why-businesses-need-to-remain-vigilant-avast-business-solutions

Perché le aziende devono stare in guardia

Accanto alle forme di ransomware meno recenti, come Phobos, assistiamo continuamente alla comparsa di nuovi ransomware. Di fatto, il numero di attacchi è quasi raddoppiato nei primi sei mesi del 2021. Secondo Cognyte, durante la prima metà del 2021 le organizzazioni colpite da attacchi ransomware sono state 1.097, contro le 1.112 registrate nel corso dell'intero 2020. Il paese maggiormente preso di mira sono gli Stati Uniti, che rappresentano il 54,9% delle vittime totali.

Alcuni fattori possono determinare un aumento del rischio per le aziende, ad esempio:

  • Presenza di software o dispositivi non aggiornati
  • Utilizzo di browser o sistemi operativi privi di patch
  • Assenza o scarsa efficacia dei piani di backup per il ripristino dei dati (con conseguente aumento del rischio di perdite di dati e danni alla reputazione)
  • Mancanza di investimenti in soluzioni per la sicurezza informatica

Impedire al ransomware di accedere ai sistemi aziendali e difendere l'attività nelle fasi iniziali di un attacco può far risparmiare alle imprese migliaia, se non milioni in termini di costi per il ripristino post-attacco. Un esempio lampante è l'attacco del ransomware CryptoLocker, la cui risoluzione ha richiesto più di sei mesi.

Da settembre 2013 a maggio 2014, i criminali informatici hanno sviluppato una nuova botnet, denominata Gameover ZeuS, che ha formato una rete di obiettivi infettati dal malware. Le vittime hanno ricevuto un allegato email contenente uno script che una volta aperto ha attivato il malware. Il ransomware è stato inoltre in grado di identificare altri dispositivi connessi alla rete della vittima, criptando completamente tutti i dati o bloccando i sistemi operativi e interrompendo le operazioni aziendali.

Il malware ha criptato con successo i file e informato le aziende colpite che le loro operazioni sarebbero state tenute in ostaggio fino al pagamento di un riscatto. Con le loro attività, gli aggressori sono così riusciti a estorcere alle vittime milioni di dollari.

Nell'attacco CryptoLocker è stata utilizzata anche una tattica basata sul criptaggio asimmetrico, che consentiva ai criminali di criptare un file impiegando una chiave pubblica, mentre per decriptare il sistema le vittime potevano utilizzare solo una chiave privata. In sostanza, senza una chiave privata, recuperare i file criptati era praticamente impossibile.

how-does-wannacry-infect-networks

Come prevenire il ransomware

In base a uno studio condotto da Verizon, non tutte le vittime del ransomware pagano il riscatto o devono sostenere dei costi. D'altra parte, nel 95% dei casi in cui il ransomware comporta delle spese, la perdita mediana è pari a 11.150 dollari, con perdite effettive comprese in un range da 70 dollari a 1,2 milioni di dollari. Comprendendo come prevenire il ransomware, le aziende possono ridurre in modo significativo la loro vulnerabilità online.

Di seguito descriviamo i passaggi chiave per difendere le operazioni aziendali prevenendo e neutralizzando i potenziali attacchi ransomware.

Informare il personale sui rischi per la sicurezza aziendale

I dipendenti sono la prima linea di difesa per far fronte alle diverse minacce per le operazioni aziendali. Dovrebbero pertanto avere almeno una conoscenza di base dei rischi per la sicurezza informatica, come i tentativi di spam e phishing, oltre ad altre tattiche comuni che includono:

  • Spoofing: un dipendente riceve un'email da un malintenzionato che si spaccia per un conoscente o una fonte attendibile con l'obiettivo di reperire dati riservati o sensibili che possano essere utilizzati ai danni dell'azienda (o di singoli individui).
  • Spear phishing: mentre il phishing colpisce gli indirizzi email in modo massivo, gli attacchi di spear phishing eseguono una ricerca approfondita all'interno dell'azienda per identificare specifici indirizzi o gruppi email da prendere di mira.
  • Social engineering: le tecniche di social engineering possono essere utilizzate per manipolare ad esempio un dipendente e indurlo a compromettere inconsapevolmente la sicurezza IT aziendale.

Per aumentare la consapevolezza del personale sulle potenziali minacce, può inoltre essere utile definire un criterio relativo ai messaggi email sospetti che assicuri che in azienda tutti seguano le medesime procedure per ridurre i livelli di rischio. È importante assicurarsi di testare in anticipo tutti i criteri relativi alla pianificazione di emergenza, in modo da identificare eventuali lacune o problemi e assicurarsi che tutti siano preparati.

Non fornire dati personali a contatti esterni

L'autore di un qualsiasi potenziale attacco ransomware dovrà necessariamente condurre alcune ricerche essenziali sull'attività dell'organizzazione che intende colpire. E per ottenere queste informazioni non esiste fonte migliore del team di gestione e di altri membri del personale. Per proteggere i dati aziendali, è pertanto importante non fornire mai informazioni sensibili a fonti la cui attendibilità non è stata verificata.

Non fare clic su collegamenti, allegati, app o installazioni popup non verificati

Indipendentemente dal mittente, tutti i membri dell'azienda devono maneggiare con estrema cautela i file, gli allegati e i collegamenti che ricevono, poiché possono contenere ransomware, virus o software dannoso. Il criptaggio può fornire un algoritmo per proteggere i dati riservati, che devono essere decriptati dal destinatario usando una chiave di decriptaggio. Per chi non dispone della chiave, i dati sono illeggibili. Le chiavi di criptaggio vengono utilizzate per tradurre il testo cifrato in testo in chiaro leggibile. Senza questa chiave, le informazioni sono pertanto inutilizzabili e si annulla il rischio che i dati finiscano nelle mani sbagliate.

Your-privacy-may-have-been-compromised-message

Per proteggere il computer dal ransomware, è fondamentale non fare clic su collegamenti, allegati, applicazioni o popup non verificati. Se si utilizza un computer desktop, durante la navigazione è possibile posizionare il cursore del mouse sopra un collegamento per controllarlo prima di fare clic: l'indirizzo URL di destinazione verrà visualizzato nella parte inferiore del browser. I siti protetti iniziano con "https" anziché "http" e nella barra degli indirizzi presentano il simbolo di uno scudo o di un lucchetto. Se l'URL di destinazione non è sicuro o sembra sospetto, ad esempio non corrisponde al contesto del collegamento, è consigliabile non fare clic.

Anche il download di app dannose nei dispositivi mobile, sia iOS che e Android, può favorire la diffusione del malware. Per mitigare la minaccia del ransomware, è preferibile visitare solo siti verificati e attendibili, come Google Play Store per gli utenti Android e l'App Store di Apple per gli utenti iPhone. Sebbene non sia un sistema infallibile al 100%, per contrastare la minaccia di attacchi ransomware è utile controllare le recensioni degli utenti e il numero di download prima di installare nuove app, eseguire di frequente la pulizia delle app inutilizzate e installare un'efficace soluzione di sicurezza nei dispositivi mobile.

I criminali sono inoltre in grado di sfruttare le vulnerabilità dei sistemi di sicurezza attraverso le reti Wi-Fi, i collegamenti dannosi inviati tramite SMS o email e i siti Web contraffatti. Il consiglio migliore resta sempre lo stesso: massima cautela e niente rischi.

Utilizzare la scansione e il filtro dei contenuti sul server di posta

Installando nei server di posta un software per la scansione e il filtro dei contenuti è possibile bloccare, rilevare e prevenire il rischio di un attacco ransomware. Questi livelli di protezione aggiuntivi includono:

  • SPF (Sender Policy Framework): in base a questo sistema standard di validazione dei messaggi email, i server di posta elettronica possono bloccare qualsiasi mittente non autorizzato nella rete per prevenire i rischi legati alle email di spam e spoofing.
  • DMARC (Domain Message Authentication Reporting and Conformance): supportando i processi SPF, il complesso sistema di validazione dei messaggi email DMARC può monitorare le procedure esistenti per l'autenticazione email e ridurre il numero dei messaggi di spam e phishing rifiutandoli se non sono autenticati con SPF o con DKIM.
  • DKIM (DomainKeys Identified Mail): DKIM è un sistema di validazione dei messaggi email che utilizza il criptaggio a chiave pubblica. A ogni email viene allegata una stringa di caratteri (o hash), che viene quindi criptata con la chiave privata del dominio di invio per creare una firma digitale univoca. Prima di accettare un'email in arrivo, il server destinatario controllerà l'indirizzo, il dominio, la chiave pubblica e la firma digitale del mittente per verificare il server di invio e assicurarsi che il messaggio non sia stato manomesso. Le email che non superano questo controllo vengono automaticamente rifiutate.
Content Filtering

Limitare le autorizzazioni utente

La limitazione delle capacità degli utenti e la rimozione di determinati privilegi di accesso, download, installazione ed esecuzione di applicazioni software, nota come PoLP (Principle of Least Privilege), è universalmente considerata una best practice per contrastare in modo significativo il rischio che il malware penetri nella rete.

Sebbene questa soluzione non sia in genere apprezzata dal personale, limitare i privilegi degli utenti è un modo efficace per consentire alle aziende di proteggere dati sensibili e riservati, account, programmi e dispositivi connessi alla rete, pur continuando a garantire la protezione delle informazioni associate. Anche il controllo degli accessi in base al ruolo (RBAC, Role-Based Access Control) può essere un modo efficace per limitare l'accesso al sistema variando i livelli di autorizzazione per gli utenti che ricoprono determinati ruoli e appartengono a determinati gruppi all'interno dell'azienda.

Abolire l'utilizzo di dispositivi esterni, come le unità USB

I dispositivi esterni, come le unità USB, possono essere fonte di problemi per le aziende. Le reti possono proteggersi dalle minacce interne. Ma un dispositivo esterno potrebbe essere stato infettato dal malware senza che l'utente ne sia a conoscenza. Una volta connesso il dispositivo personale di un dipendente, l'eventuale malware memorizzato al suo interno potrebbe facilmente diffondersi in tutta la rete aziendale. Per prevenire il rischio di ransomware, la migliore difesa sarà quella di abolire l'utilizzo dei dispositivi esterni sul luogo di lavoro.

Mantenere tutti i software e le applicazioni aziendali sempre aggiornati

Per assicurare all'azienda un ulteriore livello di protezione da ransomware e altri attacchi informatici, è necessario mantenere regolarmente aggiornati tutti i software e le applicazioni, incluse le patch fornite dalle società di sicurezza IT per correggere eventuali vulnerabilità note presenti nella rete.

In un solo giorno, l'attacco WannaCry del 2017 si è diffuso in più di 230.000 PC Windows in 150 paesi, colpendo uffici della pubblica amministrazione, strutture mediche e ospedali. Tra gli attacchi andati a segno, quello al sistema sanitario nazionale del Regno Unito (NHS, National Health Service) ha comportato una prolungata interruzione del servizio principalmente causata dalla presenza di un software non aggiornato e privo di patch che i criminali hanno saputo sfruttare abilmente. A oggi, WannaCry rimane uno dei più famigerati attacchi informatici. Dal 2017 Avast ha bloccato oltre 170 milioni di attacchi di questo ransomware.
Patch management

Le soluzioni antivirus possono automatizzare l'applicazione di patch e aggiornamenti per garantire che i sistemi siano sempre protetti anche dalle più recenti minacce informatiche.

Eseguire il backup di tutti i file importanti

Nell'eventualità che si verifichi un attacco ransomware, l'utilizzo di un sistema di backup può assicurare una significativa riduzione dei tempi di inattività necessari per ripristinare le operazioni. Tra i sistemi di backup disponibili sono incluse le seguenti soluzioni:

  • Archiviazione fuori sede: le aziende eseguono regolari backup, che vengono inviati a una struttura di archiviazione fuori sede. In base alla frequenza di esecuzione dei backup e ai processi di ripristino dell'host, l'utilizzo di questo sistema può comunque comportare la perdita di diverse settimane di dati.
  • Archiviazione elettronica: consente di salvare i backup su un server remoto. La quantità di dati per l'archiviazione e il ripristino potrebbe tuttavia essere limitata in base alla larghezza di banda disponibile.
  • Archiviazione basata su disco: viene effettuata una copia point-in-time che è poi archiviata sia in locale che fuori sede.
  • Archiviazione basata sul cloud: i dati vengono archiviati in remoto e continuamente aggiornati.
Cloud backup disaster recovery

Integrare un piano di ripristino

Le organizzazioni che desiderano non farsi cogliere impreparate dalle future minacce di attacco ransomware dovrebbero implementare un piano di ripristino di emergenza e un piano di continuità aziendale, per definire i processi e i protocolli da seguire nell'eventualità di un attacco. Dovranno inoltre essere verificati i ruoli per ogni membro dell'organizzazione e i contatti per la notifica delle attività di supporto sia per la prevenzione che per il ripristino.

Implementare efficaci misure di sicurezza

Non va assolutamente sottovalutata l'importanza dell'adozione di un potente software di protezione e dell'applicazione di tutti gli aggiornamenti di sicurezza per il sistema. Seguendo un approccio multilivello, che utilizza più strumenti e processi di sicurezza diversi, le aziende possono massimizzare la protezione dal ransomware.

Di seguito sono disponibili alcune indicazioni che possono aiutare le aziende a rafforzare notevolmente la propria strategia di sicurezza:

  • Firewall: un firewall è una base efficace per qualsiasi suite di software di sicurezza, perché blocca gli accessi non autorizzati ai dispositivi dell'azienda. Senza l'uso di un firewall, la rete può diventare sempre più vulnerabile al rischio del ransomware e di altri malware.
  • Software antivirus: un antivirus aziendale è in grado di prevenire, rilevare e neutralizzare le minacce contro la rete e i dispositivi, fornendo una protezione potente e aggiornata.
  • Tecnologia cloud: anziché in un'unica posizione fisica, la tecnologia cloud consente di accedere ai dati aziendali in remoto da qualsiasi luogo, assicurando la massima accessibilità, scalabilità e flessibilità. Offre inoltre funzionalità aggiuntive per il backup dei dati, il controllo dell'accesso ai dati aziendali e il ripristino delle versioni precedenti dei file, nel caso in cui i dati venissero criptati durante un attacco ransomware.
PC Shield Antivirus

Autenticazione a più fattori (MFA, Multi-Factor Authentication)

La popolarità e l'importanza dei sistemi per l'autenticazione a più fattori, detta anche autenticazione a due fattori, di recente sono cresciute notevolmente. Per assicurare un ulteriore livello di protezione, oltre a una password complessa, questi sistemi richiedono agli utenti di fornire una seconda informazione o di completare un'apposita procedura prima di poter accedere al proprio account.

Tra i diversi sistemi MFA disponibili sono incluse le seguenti soluzioni:

  • La risposta a una domanda di verifica precedentemente impostata, che deve fare riferimento a un'informazione di cui nessun altro è a conoscenza
  • Token hardware tradizionali, ad esempio un dispositivo FOB che genera un nuovo codice quando viene attivato
  • Token software, ad esempio un codice univoco ricevuto tramite un messaggio SMS sicuro
  • Un'app di verifica che richiede di confermare l'accesso su un secondo dispositivo
  • Un sistema di rilevamento dei dati biometrici, come la lettura dell'impronta digitale o il riconoscimento facciale
Laptop Password Key

VPN

L'installazione di una rete privata virtuale consente di criptare la connessione e mantenere i dati aziendali sicuri e protetti anche sulle reti pubbliche grazie alla creazione di una connessione sicura tra il dispositivo e Internet, che permette di accedere ai dati in modo privato e senza rischi. Scopri di più sul funzionamento delle reti VPN e sui diversi tipi disponibili.

Sicurezza degli endpoint

Le soluzioni per la sicurezza degli endpoint (termine che indica qualsiasi dispositivo connesso alla rete) garantiscono la protezione dei dispositivi aziendali dal malware e dagli attacchi zero-day, che sfruttano le vulnerabilità causate dalla mancata applicazione delle patch. Nel caso degli attacchi zero-day la vulnerabilità dei sistemi aziendali è maggiore, poiché il tempo a disposizione per correggere eventuali punti deboli prima di un attacco è inferiore a un giorno.

La protezione di tutti gli endpoint, sia fisica che virtuale o basata sul cloud, viene fornita tramite una console di gestione centralizzata, dove gli amministratori possono monitorare e proteggere regolarmente i sistemi in tempo reale.
Endpoint Protection

Sistemi di rilevamento delle intrusioni

I sistemi di rilevamento delle intrusioni monitorano regolarmente la rete per rilevare in tempo reale qualsiasi attività insolita o dannosa, ransomware incluso, e consentire all'azienda di rispondere rapidamente agli incidenti minimizzando i tempi di inattività operativa.

Controllo delle impostazioni delle porte

Molte varianti di ransomware sono in grado di sfruttare una vulnerabilità del protocollo RDP (Remote Desktop Protocol). Impiegato in genere dagli utenti per connettersi in remoto a un dispositivo, questo protocollo costituisce un punto di ingresso molto utilizzato per gli attacchi ransomware, in particolare la porta RDP 3389 aperta per impostazione predefinita.

Ulteriori porte SMB (Server Message Block), come la porta 445, consentono inoltre ai server e alle applicazioni presenti nella rete aziendale di comunicare tra loro e con altri sistemi, per permettere agli utenti di condividere file, eseguire operazioni come la stampa di documenti e completare correttamente altre attività su Internet.
Port scanning

Antivirus software

I software antivirus proteggono la rete aziendale e i dispositivi connessi dalle minacce interne ed esterne, offrendo i seguenti vantaggi:

  • Riduzione degli attacchi di spam, phishing e spear-phishing, oltre che della minaccia del malvertising
  • Prevenzione delle minacce provenienti da unità USB e altri dispositivi esterni
  • Protezione dei dati e degli endpoint presenti nella rete
laptop-small-office-protection

Soluzioni Avast per la sicurezza IT delle piccole aziende

Difendi la tua organizzazione dal ransomware e dagli attacchi informatici avanzati, con le soluzioni complete per la sicurezza informatica Avast Small Business che garantiscono alle piccole imprese una protezione online semplice ma potente a un prezzo conveniente.

Altre informazioni