Come salvare l’Azienda dal Ransomware

Attaccp Ramsomware

E’ sempre difficile da quantificare in termini economici un evento disastroso, come la perdita dei dati dovuta ad un ransomware.
In alcuni casi potrebbe bloccare la produttività dell’azienda, in altri addirittura comportare ulteriori danni economici dovuti a penali o multe.

Ieri pomeriggio, sono stato contattato telefonicamente da un nostro cliente abituale: mi segnalava la presenza sul file server di diversi file rinominati con estensione “.micro”.

Abbiamo intuito subito che qualche utente avesse lanciato qualche nuova variante di uno dei vari ransomware che stanno infestando la rete, crittografando i documenti aziendali e rendendoli quindi inaccessibili.

Piano d’azione per il ripristino dei dati

Per poter agire con efficacia in situazioni di Disaster Recovery è necessario aver precedentemente fatto un piano.

Nell’infrastruttura del cliente sono attivi ben 3 livelli di sicurezza per consentirgli il recupero dei dati:

  • le Shadow Copies
  • un File Server sincronizzato al giorno prima, per garantire la continuità del servizio
  • i backup tradizionali giornalieri.

Arginare l’attacco

Mentre ero in viaggio verso la loro sede, abbiamo concordato lo spegnimento immediato del file server e dei Terminal Server sui quali lavoravano gli utenti.

Una volta arrivato dal cliente abbiamo analizzato la situazione.
Per prima cosa abbiamo individuato l’origine del malware: una mail arrivata a tre utenti. Successivamente abbiamo individuato e ripulito completamente i profili dei due utenti infettati.

Il ransomware, una nuova variante di TeslaCrypt uscita dopo la metà di gennaio 2016, aveva compromesso solo una piccola parte del file server.

Key takeaways dall’attacco ransomware

Grazie alla pronta reazione del cliente all’attacco, gli utenti sono potuti ripartire in meno di un’ora e mezza. Contemporaneamente, abbiamo iniziato il ripristino dei file aggiornati alle ore 12.00 del giorno stesso grazie alle Shadow Copies.
La copia dei file risaliva a circa 4 ore prima dell’inizio dell’attacco, riducendo al minimo la perdita del lavoro degli utenti.

I nuovi ransomware, quando vengono lanciati, cercano di cancellare immediatamente le copie shadow mediante il comando “vssadmin delete shadows /all”.

L’infrastruttura implementata presso il cliente, prevede diritti minimali per gli utenti. L’operazione di cancellazione delle shadows non è quindi riuscita, grazie alle restrizioni sui Client ed i Terminal Server del cliente.
Restrizioni che si traducono sia in limitazioni nel lancio di script che a livello di diritti degli utenti.

Quanto hanno risparmiato?

E’ difficile stimare dall’esterno i danni che può arrecare la perdita di dati aziendali.
Oltre al valore del dato in sè, è necessario valutare altri costi, come, ad esempio:

  • la mancata produttività del personale
  • i danni di immagine verso i clienti che non ricevono i servizi a causa del fermo
  • il mancato profitto (se vengono bloccati i sistemi di vendita)

Questi sono i parametri che ogni azienda dovrebbe utilizzare per valutare nel proprio caso quali sarebbero i costi di un’emergenza di questo genere.

Un’eventuale infezione nella tua azienda, quanto costerebbe? Per quante ore (o giorni) i tuoi utenti rimarrebbero bloccati?

teslacrypt

Come proteggerti dai ransomware (e non solo)

Le nuove varianti di ransomware sono sempre più aggressive. Le mail con cui cercano di spingere l’utente a fare click sono studiate con attenzione. Le ultime varianti sono sicuramente più difficili da individuare rispetto alle solite mail di phishing scritte in italiano improbabile.

Anche avere un antivirus aggiornato, per quanto fondamentale, può non essere sufficiente a proteggerti dalle ultimissime varianti.

Come agire allora?

Pianificazione per la protezione dei dati

I 3 punti fondamentali per poter prevenire danni irreparabili alla tua azienda sono:

  1. Informazione: è importante formare gli utenti. L’utente deve sapere come viene diffuso il malware: così sarà in grado di individuare mail sospette anche quando queste a priva vista sembrino legittime. Allo stesso tempo, l’utente deve essere in grado di individuare la presenza di file crittografati per avvisare prontamente il responsabile IT. Quest’ultimo dovrà essere istruito sulle procedure da seguire.
    L’informazione è fondamentale sia per prevenire che per isolare prontamente un’eventuale infezione.

  2. Infrastruttura: una rete ben progettata deve prevedere sia soluzioni che garantiscano la continuità del servizio che soluzioni di backup che consentano il ripristino dei dati. Devono essere inoltre presenti e testate con regolarità le procedure per gestire le eventuali emergenze.
    Penso sia inutile aggiungere che le stesse procedure devono prevedere una verifica periodica dei backup e più in generale dell’efficacia delle soluzioni implementate.

  3. Ridurre l’esposizione: dare agli utenti i diritti minimi per poter lavorare consente di elevare il livello di protezione anche in caso di infezione. Diritti minimali consentono, come nel caso riportato, di evitare che il malware riesca a lanciare comandi automatici. Riduce, inoltre, la superficie d’attacco ai soli file su cui l’utente ha diritti di modifica.

Con i miei colleghi progettiamo da anni le reti secondo questi principi. Così facendo, garantiamo ai clienti la documentazione e le procedure adeguate per poter gestire in maniera efficace ed efficiente la gestione di qualsiasi emergenza possa capitare.

Spesso queste situazioni sono sottovalutate. Tuttavia, eventi come un’infezione, la rottura di un server possono causare danni enormi qualora non sia stato previsto un adeguato piano di emergenza.