ItaPFEPlat

Blog dei PFE italiani - Active Directory, Windows Platform e Security

Ransomware: misure di protezione – 2° puntata

Cosa fare se si è colpiti da un Ransomware

È bene chiarire da subito che non è possibile decifrare i file cifrati dal Ransomware, a meno che qualcuno non sia riuscito a prendere il controllo della botnet e della rete di sistemi che generano e distribuiscono il malware, e da qui a risalire alle chiave di cifratura usate per cifrare in modo unico i documenti di ogni singolo utente con chiavi uniche per documento. Ad oggi questo è stato possibile solo in rari casi.

La soluzione migliore per recuperare i dati è quindi quella di avvalersi dei backup. È fondamentale verificare di avere adottato una strategia di backup tale da consentire il recupero del maggior numero di documenti possibili e tale da impedire nel contempo l’infezione dei backup stessi. In quest’ottica risultano molto utili tecnologie di backup che mantengono diverse versioni dei documenti, consentendo così di risalire a versioni non cifrate del documento.

Se sul computer era attiva la File History (in Windows 10 e Windows 8.1) o la System Protection (in Windows 7 e Windows Vista) prima dell’infezione, è possibile recuperare versioni precedenti dei propri file. Occorre però osservare che alcuni Ransomware cifrano o cancellano anche le versioni di backup dei file, per cui spesso non è possibile affidarsi a queste funzionalità per recuperare i file.

Una volta verificata la presenza di un backup valido, la prima azione da fare è comunque quella di sottomettere il sample del malware al proprio fornitore di antivirus, e successivamente fare una scansione completa del sistema per ripulirlo dall’infezione. L’opzione migliore è quella di reinstallare il sistema completamente. Successivamente si può quindi procedere col ripristino da backup dei propri dati.

Se i documenti che sono stati cifrati sono memorizzati su uno strumento come OneDrive o OneDrive for Business, è possibile recuperare eventuali versioni precedenti e non cifrate dei file:

3

Pagare il riscatto è l’ultima delle opzioni, ma essa non fornisce nessuna garanzia di poter effettivamente recuperare i file, rende la vittima un obiettivo preferenziale per ulteriori attacchi, e infatti si è osservato che dopo il pagamento spesso il Ransomware torna ad infettare il sistema.

Soluzioni per prevenire il rischio di Ransomware

Al di là di come recuperare i documenti in caso di infezione, la vera domanda è come fare a prevenire in futuro il rischio di ulteriori infezioni e la conseguente perdita di dati e di operatività.

È necessario adottare un approccio strutturato e una strategia di sicurezza a vari livelli, che darà benefici non solo per ridurre l’impatto di questa particolare minaccia ma che deve rientrare in un piano di sicurezza più ampio volto a ridurre il rischio ad un livello accettabile per la specifica organizzazione.

Le aree di interventi principali sono le seguenti:

  • Formazione degli utenti
  • Misure di sicurezza sulla posta elettronica
  • Application Whitelisting
  • Misure di sicurezza sull’antivirus
  • Aggiornamento dei sistemi
  • Misure di sicurezza sul browser e in Office

Tutto questo deve essere affiancato da opportune politiche di backup tali da garantire la disponibilità del dato anche a fronte di questi attacchi, e deve rientrare in una strategia di sicurezza complessiva. Approfondiamo ora alcune di queste misure.

Formazione degli utenti

Senza alcuna ombra di dubbio, l’azione più efficace per ridurre il rischio di infezioni da Ransomware è la formazione degli utenti attraverso un programma periodico che educhi gli utenti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, soprattutto se provenienti da mittenti non conosciuti e da cui comunque abitualmente non si ricevono messaggi.

Tra le risorse utili in questo senso ricordo il Microsoft Security Awareness Training Toolkit e il sito della Polizia Postale (http://www.commissariatodips.it).

Misure di sicurezza sulla posta elettronica

  • Assicurarsi che le misure minime di protezione della posta elettronica siano correttamente configurate. Tra queste è consigliabile:
    • Bloccare a livello di posta gli allegati che possono contenere codice eseguibile: .exe, .cmd, .scr, .lnk, estensioni di scripting (ad esempio .vbs, .js) e tutte le altre estensioni legate a file che possono includere codice eseguibile.  Bloccare I file zip nel caso l’antivirus per la posta non ne faccia la scansione.
    • Assicurarsi che il sistema anti-spam sia funzionante e aggiornato, avvalendosi di tecnologie come l’uso di Sender Policy framework
  • Utilizzare strumenti avanzati di protezione della posta che siano in grado di impedire che l’allegato contenente componenti malevole o i link a siti malevoli siano verificati ed eventualmente bloccati prima di raggiungere la caselle di posta dell’utente. Un esempio di queste tecnologie è la componente Advanced Threat Protection (ATP) di Exchange Online

 

Application Whitelisting

Usare le funzionalità di Application Whitelisting che sono già presenti nel sistema operativo è una delle misure più efficaci a prevenire l’infezione da Ransomware. Ad esempio questa misura è riconosciuta essere dall’ente di sicurezza del governo australiano (http://www.asd.gov.au/infosec/mitigationstrategies.htm ), come la prima misura in assoluto più efficace per prevenire intrusioni

  • Sulle versioni Enterprise di Windows, è possibile usare delle politiche basate su AppLocker per bloccare l’esecuzione di file dalla cartella c:\users\<username>\Appdata, o ancora meglio, definire quale è il software aziendale che deve essere permesso e bloccare di conseguenza tutte le altre tipologie di software non desiderato.
  • Su Windows 10 è disponibile la funzionalità chiamata Device Guard che permette di definire esattamente il software consentito: si tratta di una misura specialmente utile in quegli scenari dove l’IT ha un buon controllo del software installato sui propri sistemi, e dove siamo in presenza di sistemi su cui è ben definita la pila software necessaria.
  • Su versioni non-Enterprise, usare le Software Restriction Policies.

 

Misure di sicurezza sull’antivirus

È importante utilizzare un antivirus costantemente aggiornato, e, dove possibile, avvalersi di funzionalità che permettano di ottenere delle signature dinamiche da servizi online. Per coloro che usano un antivirus come Windows Defender o System Center Endpoint Protection questa funzionalità si può abilitare come segue:

  • abilitare la funzionalità MAPS “Advanced membership” che migliora del 20% la detection di nuove varianti del virus che vengono rilasciate a decine ogni giorno.
  • Assicurarsi che in SCEP sia abilitata la scansione delle email e degli allegati

 

Aggiornamento dei sistemi

  • Mantenere i sistemi allineati al rilascio degli ultimi aggiornamenti di sicurezza, non solo del sistema operativo ma specialmente di applicazioni terze come Java, Shockwave, Silverlight, che sono quelle maggiormente sfruttare per introdurre il virus grazie alla diffusione dell’ Angler Exploit kit
  • Implementare lo strumento gratuito EMET per limitare gli attacchi sulle applicazioni non aggiornate e gli attacchi zero-day.

 

Misure di sicurezza sul browser e in Office

  • Abilitare in Internet Explorer l’uso del filtro SmartScreen che verifica l’attendibilità del sito visitato e l’assenza di malware noti
  • Abilitare la funzionalità di blocco dell’esecuzione dei controlli ActiveX obsoleti per evitare che vengano sfruttate vulnerabilità note in questi componenti.
  • Bloccare l’esecuzione delle macro negli strumenti Office, consentendo la sola esecuzione di macro a partire da file che risiedono in una locazione affidabile, come il proprio file server o Sharepoint. Anche questa configurazione può essere controllata a partire da politiche centralizzate.

Risorse

 

Formazione

 

Posta elettronica

 

Application Whitelisting

EMET