Fallire a causa di un ransomware non è una situazione che si presenta raramente. Il ransomware è la tipologia di attacco informatico più diffusa perché porta denaro a chi la diffonde. Cosa fare e a chi rivolgersi per mitigare l’impatto di questo enorme problema.
Siamo abituati a sentir parlare di aziende che hanno subito un attacco informatico a cui è stato richiesto un riscatto. Pensiamo a gravi danni e difficoltà nella ripresa del lavoro. Quello che si sa meno è che alcune aziende sono fallite a causa di un ransomware che le ha private di tutti i dati e che quindi non sono state in grado di riprendersi.
Cosa fa un ransowmware
Per forse i pochi che ancora non conoscono questo tipo di virus, il ransomware è una tipologia di virus che cripta i dati presenti sui computer aziendali e anche sui server. Gli attaccanti a questo punto chiedono un riscatto (ransom significa proprio questo), che se non verrà pagato lascherà l’azienda nell’impossibilità di usufruire di quei dati.
Da diverso tempo, le organizzazioni criminali hanno aggiunto uno step che consiste nella esfiltrazione di quei dati e la minaccia è quella di divulgarli. Ci sono dati riservati o sensibili come informazioni sui clienti e la loro divulgazione mina l’affidabilità dell’azienda attaccata. Questo, serve a far cedere a pagare il riscatto. Tutti gli esperti dicono di non farlo poiché:
- Non vi è certezza che la chiave di decrittazione funzioni. A volte questi ransomware passano di mano in mano e chi lo divulga non è detto che abbia le adeguate conoscenze oppure sono realizzati da non professionisti.
- Se paghi una volta per chi ha effettuato l’attacco risulta disponibile a pagare e quindi c’è da aspettarsi il ripetersi del problema. Diventi un bersaglio preferenziale e tenteranno di farlo di nuovo
- Anche pagando non è detto che inviino la chiave di decrittazione. Potrebbero aumentare il prezzo con una scusa e soprattutto non vi è nessuna garanzia che non divulghino i dati, se ne vale la pena, o che li vendano ad altri.
Quindi, la cosa migliore da fare è investire in sicurezza per aumentare le difese informatiche.
Quali aziende possono fallire a causa di un attacco ransomware
Tra le aziende che debbono chiudere a causa di un attacco ransomware ci sono quelle grandi e medie che non avevano compreso quanto la sicurezza informatica sia una priorità da non sottovalutare. L’investimento in sicurezza è importante quanto il business stesso.
Le piccole aziende invece, spesso chiudono in totale silenzio senza neanche un trafiletto sui giornali.
Come spesso succede, abbiamo più notizie che vengono da oltre oceano. Il National Cyber Security Alliance degli Stati Uniti, rivela un dato impressionante: il 60 percento delle piccole imprese fallisce sei mesi dopo un attacco informatico.
Chi viene attaccato in Italia e nel mondo
Se vogliamo sapere almeno chi sono le aziende che vengono messe in difficoltà da un attacco informatico possiamo avvalerci di una piattaforma che offre un database aggiornato.
È importante ricordare che per non incorrere in reati è obbligatorio comunicare gli attacchi subiti quando vi è una compromissione di dati protetti dalle normative sulla privacy.
Il sito da visitare si chiama Dashboard Ransomware Monitor e offre la lista aggiornata degli attacchi e la puoi trovare a questo indirizzo.
Ci si può meravigliare nel trovare aziende conosciute, anche molto grandi o della pubblica amministrazione. Ovviamente non sappiamo se e quante di queste rischiano la chiusura ma a dare un’occhiata si può capire quanto sia esteso il fenomeno.
Quali misure mettere in atto
Le misure a breve termine possiamo riassumerle così:
- Sottoporre tutti gli indirizzi IP esposti a Internet a scansioni di vulnerabilità infrastrutturali utilizzando uno strumento leader di settore. Una volta eseguite, applicare tutte le correzioni critiche.
- Rimuovere tutti i servizi di amministrazione da Internet (RDP, SSH, SFTP…), non ci sono scuse. Fatelo.
- Impostare password complesse per gli account di amministrazione.
- Sottoporre tutti i punti di ingresso web a scansioni di vulnerabilità web utilizzando uno strumento leader di settore. Per il momento va bene anche senza autenticazione (pre-auth). Una volta eseguite, applicare tutte le correzioni critiche.
- Assicurarsi che tutti i software in esecuzione sulla rete aziendale (e soprattutto sui servizi esposti a Internet) siano aggiornati.
- Eseguire backup giornalieri (o secondo le esigenze) sui server più importanti e scollegare fisicamente i backup dalla rete.
- Implementare sistemi IPS (Intrusion Prevention System) per tutti gli indirizzi IP esposti a Internet, applicando policy predefinite.
Per le misure da implementare a lungo termine invece forse, se non hai personale specializzato all’interno è meglio rivolgersi ad un’azienda esterna.