È più facile difendersi dai ransomware di quanto si possa pensare
Ransomware:software dannoso che si insinua nel tuo computer, crittografa i tuoi dati in modo che tu non possa accedervi e richiede un pagamento per sbloccare le informazioni:è diventata una minaccia informatica emergente. Diversi rapporti negli ultimi anni documentano la diversità degli attacchi ransomware e i loro metodi sempre più sofisticati. Recentemente, attacchi ransomware di alto profilo a grandi aziende come ospedali e dipartimenti di polizia hanno dimostrato che le grandi organizzazioni di tutti i tipi sono a rischio di conseguenze significative nel mondo reale se non si proteggono adeguatamente da questo tipo di minaccia informatica.
Lo sviluppo della tecnologia di crittografia avanzata ha reso più semplice la codifica dei dati in modo che non possano essere letti senza la chiave di decrittazione. L'emergere di servizi di anonimato come la rete Tor e bitcoin e altre criptovalute ha attenuato le preoccupazioni sul fatto che le persone che ricevono pagamenti possano essere identificate attraverso il monitoraggio finanziario. Queste tendenze sono probabilmente fattori trainanti nella recente ondata di sviluppo e attacchi di ransomware.
Come altre classi di software dannoso, spesso chiamato "malware", il ransomware utilizza una gamma abbastanza ampia di tecniche per intrufolarsi nei computer delle persone. Questi includono allegati o collegamenti in messaggi di posta elettronica non richiesti, o pubblicità fasulle sui siti web. Però, quando si tratta della parte centrale dell'attacco, ovvero la crittografia dei file delle vittime per renderli inaccessibili, la maggior parte degli attacchi ransomware utilizza metodi molto simili. Questa comunanza offre l'opportunità di rilevare gli attacchi ransomware prima che vengano eseguiti.
La mia recente ricerca ha scoperto che i tentativi dei programmi ransomware di richiedere l'accesso e crittografare i file sui dischi rigidi sono molto diversi dai processi benigni del sistema operativo. Abbiamo anche scoperto che diversi tipi di ransomware, anche quelli che variano ampiamente in termini di sofisticatezza, interagire con i file system del computer in modo simile.
Muoversi velocemente e colpire forte
Uno dei motivi di questa somiglianza tra l'apparente diversità è la comunanza delle mentalità degli aggressori:l'attacco di maggior successo è quello che crittografa i dati di un utente molto rapidamente, rende inaccessibili i file del computer e richiede denaro alla vittima. Più lentamente avviene questa sequenza, maggiore è la probabilità che il ransomware venga rilevato e spento dal software antivirus.
Ciò che gli aggressori stanno cercando di fare non è semplice. Primo, hanno bisogno di crittografare in modo affidabile i file della vittima. I primi ransomware utilizzavano tecniche di base per farlo. Per esempio, in passato un'applicazione ransomware avrebbe utilizzato una singola chiave di decrittazione, indipendentemente da dove si fosse diffusa. Ciò significava che se qualcuno fosse stato in grado di rilevare l'attacco e scoprire la chiave, potrebbero condividere la chiave con altre vittime, che potrebbe quindi decodificare i dati crittografati senza pagare.
Gli odierni aggressori ransomware utilizzano sistemi crittografici avanzati e connettività Internet per ridurre al minimo la possibilità che una vittima possa trovare un modo per riavere i suoi file da sola. Una volta che il programma si fa strada in un nuovo computer, invia un messaggio su Internet a un computer utilizzato dall'aggressore per controllare il ransomware. Per quel computer compromesso viene generata una coppia di chiavi univoca per la crittografia e la decrittografia. La chiave di decrittazione viene salvata nel computer dell'aggressore, mentre la chiave di crittografia viene inviata al programma dannoso nel computer compromesso per eseguire la crittografia dei file. La chiave di decrittazione, che è necessario per decrittografare i file solo su quel computer, è ciò che la vittima riceve quando paga la tassa di riscatto.
La seconda parte di un attacco ransomware "riuscito", dal punto di vista dell'attaccante, dipende dalla ricerca di modi affidabili per essere pagati senza essere scoperti. Gli operatori di ransomware si sforzano continuamente di rendere i pagamenti più difficili da tracciare e più facili da convertire nella loro valuta preferita. Gli aggressori tentano di evitare di essere identificati e arrestati comunicando tramite la rete anonima Tor e scambiando denaro in criptovalute difficili da tracciare come i bitcoin.
Difendersi da un attacco ransomware
Sfortunatamente, l'uso di sistemi di crittografia avanzati nelle moderne famiglie di ransomware ha reso quasi impossibile il recupero dei file delle vittime senza pagare il riscatto. Però, è più facile difendersi dai ransomware che combattere altri tipi di minacce informatiche, come gli hacker che ottengono l'accesso non autorizzato ai dati aziendali e rubano informazioni segrete.
Il modo più semplice per proteggersi dagli attacchi ransomware è avere, e segui, una politica affidabile di backup dei dati. Le aziende che non vogliono finire come vittime paganti del ransomware dovrebbero far eseguire ai propri dipendenti backup incrementali in tempo reale (che eseguono il backup delle modifiche ai file ogni pochi minuti). Inoltre, nel caso in cui i propri server di backup vengano infettati da ransomware, queste aziende dovrebbero disporre di un archivio di backup cloud offsite protetto dai ransomware. Le aziende attaccate possono quindi ripristinare i propri dati da questi backup invece di pagare il riscatto.
Gli utenti dovrebbero anche scaricare e installare aggiornamenti regolari al software, inclusi plug-in di terze parti per browser Web e altri sistemi. Questi spesso collegano vulnerabilità di sicurezza che, se lasciato aperto, fornire agli aggressori un modo semplice per entrare.
In genere, essere infettati da ransomware ha due messaggi importanti per un'organizzazione. Primo, è un segno di vulnerabilità nell'intero sistema informatico di un'azienda, il che significa anche che l'organizzazione è vulnerabile ad altri tipi di attacchi. È sempre meglio sapere prima di un'intrusione, piuttosto che essere compromesso per diversi mesi.
Secondo, essere infettati da ransomware suggerisce anche che gli utenti si stanno impegnando in comportamenti rischiosi online, come fare clic su allegati di posta elettronica non identificati da mittenti sconosciuti, e seguendo link su siti web poco affidabili. Insegnare alle persone la navigazione sicura in Internet può ridurre drasticamente la vulnerabilità di un'organizzazione a un attacco ransomware.
Bitcoin
- Il caffè è ancora più magico di quanto pensi
- I pagamenti e-commerce B2B flessibili sono più facili che mai. Che cosa state aspettando?
- Come calcolare il tuo patrimonio netto (è più semplice di quanto pensi)
- Quanto sei ricco? Più ricco di quanto pensi
- Che cos'è l'assicurazione GAP su un'auto? È qualcosa di cui potresti aver bisogno
- Tre grafici sullo stress dei mutui:non è così male come potresti pensare
- Perché è più facile di quanto pensi passare da NESSUN credito a un buon credito
- Pensi che l'oro sia un rifugio sicuro? Potresti anche provare le slot machine
- Perché un crollo del mercato azionario è più vicino di quanto pensi
- Come ottenere il rimborso delle commissioni di scoperto (non è così difficile come pensi)
-
Due Diligence efficace:spesso più difficile di quanto pensi!
di Peter Lorange Per intraprendere la due diligence (DD) quando si considera di investire in un nuovo progetto è fondamentale. Tuttavia, in realtà, farlo bene spesso può essere più difficile di qua...
-
3 motivi per cui potresti aver bisogno di un fondo di emergenza più grande della maggior parte delle persone
Tutti abbiamo bisogno di risparmi di emergenza, ma alcuni di noi hanno bisogno di più di altri. Proprio laltro giorno stavo per riempire daria le mie gomme, perché la mia macchina indicava che la l...