Cryptolocker: non esiste soluzione?

" class="img-responsive"/>

Il pensiero di non avere nulla di valore all'interno dei propri sistemi infonde un senso di falsa sicurezza che porta a pensare "perchè mai dovrebbe succedere a me?".

Per quanto monotono possa sembrare l'argomento, il fatto che le infezioni da questo virus si reiterino in continuazione fa chiaramente trasparire che ci sia qualcosa che non va. In tutti i casi (più di venti) di infezione e gestione dell'incidente che ho avuto seguire l'infezione è stata accidentale. Perchè diciamo la verità: non è pensabile che un utente finale possa verificare se un dominio sia legittimo o meno. Per cui se ci si trova sulla pagina di SDA per scaricare una bolla di trasporto è plausibile che l'utente si convinca a scaricare il file. Perchè, invece, sulla pagina di ENEL era invece sufficiente aprire quella pagina per essere infetti.

Scaricare la colpa sull'Antivirus che non va non fa bene a "noi" del settore. Lo sappiamo, gli antivirus contro le varianti di questi virus sono inefficaci, almeno al punto di permettere un'infezione parziale prima che il sistema blocchi il virus. Non c'è prodotto che tenga, e se ne parla un po' di tempo. I sistemi di intercettazione di virus basato su firme (o "pattern matching") non sono più efficaci, ed è un dato di fatto. Basta qualche minima modifica al codice del virus e la sua "firma" cambia completamente. E siamo punto e a capo.

Questo virus fa emergere che da più di due anni di circolazione di questo genere di virus ("Ransomware") sia cambiato poco e nulla nelle Aziende (tenendo ben presente che non solo le Aziende possono soffrire dei danni derivanti). Un anno fa, circa in questo periodo, ho scritto un blog sugli 8 elementi che rendono Cryptowall (ma anche i cugini Cryptolocker, CTB Locker, TorrentLocker, ecc.) un pericolo per i dati digitali. Eppure dopo due anni si continua a fallire.

In aggiunta ai danni che questa piaga - destinata a crescere - provoca come la grandine, lo scherno di chi fornisce lo strumento per decifrare i dati corrotti: pagato il riscatto per ottenere il programma di decifrazione dei dati per una somma non irrisoria (250 EUR o 500 EUR) lo strumento è in grado di decifrare i dati solo per un limitato periodo di tempo (5 giorni). Passato il tempo, se ci si accorge che altri dati sono stati vittima del virus bisogna pagare nuovamente il riscatto, stavolta nell'ordine dei 1.000 EUR (o più). Sempre rigorosamente in Bitcoin (BTC). Ma anche così non si risolve il problema. Nei casi in cui abbiamo seguito la procedura per ottenere il programma, si è recuperato circa il 40% dei dati. Il resto è rimasto cifrato, inutile. Conservato da parte nella speranza che un giorno si abbia uno strumento in grado di recuperare quei dati. Database di gestionali e applicazioni, posta elettronica, immagini, archivi compressi (.zip), documenti di office, file di AutoCAD, file PDF... inutilizzabili. C'è stato chi, di fronte al danno, ha cominciato a pensare se valesse la pena di continuare la propria attività.

Non si tratta di un problema privo di soluzione. Si tratta sicuramente di un problema diffuso, e trattandosi di un meccanismo di Ingegneria Sociale (o "Social Engineering") è destinato ad essere efficace. Per non parlare del fatto che, secondo le analisi di Trend Micro il fenomeno sembra si stia già orientando a prendere di mira sempre più le Piccole e Medie Imprese (SMB): rilevano infatti che il 67,23% dei click fatti su link che riportavano a malware nel periodo di Giugno-Luglio 2015 provenivano da Aziende di questo segmento.

Il pensiero di non avere nulla di valore all'interno dei propri sistemi infonde un senso di falsa sicurezza che porta a pensare "perchè mai dovrebbe succedere a me?". Quanto valore ha la vostra proprietà intellettuale per voi? Nella maggioranza dei casi, se non totalità, è l'esistenza stessa della vostra Azienda, perderla equivale verosimilmente a perdere tutto. Gli incidenti informatici capitano, non è questione di "se" ma di "quando".

Quindi riassumendo: non esiste soluzione? Esiste, ma la stiamo evitando. E perseveriamo nel farlo.

Il primo pensiero a tutela ultima delle informazioni è una efficace (e funzionante) procedura di Backup. Non la "copia dei dati" su un disco USB esterno o su Dropbox, ma un processo di archiviazione dei dati, verificato e controllato periodicamente, simulando ripristini dei dati e appurando che funzioni. Il sistema di backup sarà l'ultima frontiera per un eventuale contagio o danneggiamento dei dati (e non solo), che consentirà il loro ripristino in caso estremo. Sia esso fatto in Cloud con una soluzione come Cloud Backup, sia esso gestito con una soluzione software opportunamente configurata o su nastro, il backup deve essere alla base di ogni processo di gestione dei Sistemi Informativi (oltre che essere un adempimento normativo in vigore).

Il secondo pensiero, nell'ordine, è quello di avere una protezione perimetrale che controlli quello che facciamo in Rete. Il Firewall è quello strumento che - se opportunamente configurato - riduce il rischio che un utente, cliccando accidentalmente (o meno) su un link "malizioso", possa dare origine ad un problema. Può capitare: ma se possiamo limitare il rischio non è meglio? Le soluzioni Watchguard affiancate da un servizio di gestione ed affiancamento offrono un elevato livello di protezione e minimizzazione del rischio di contagio o perdita di informazioni. Basti solo menzionare WebBlocker che limita la possibilità di un utente di andare "accidentalmente" su un sito che diffonde malware o il Application Control in grado di fermare l'attivarsi di minacce dall'interno della rete (come Cryptowall o TorrentLocker che usano, rispettivamente, meccanismi come TOR o Torrent rispettivamente per eludere la sicurezza). Ma non c'è solo questo: APT Blocker è una soluzione che tipicamente solo le grandi Aziende possono permettersi di implementare, ed è disponibile per tutti i sistemi XTM. Con un investimento minimo è possibile ottenere un aggiuntivo sistema di protezione di classe superiore anche all'interno della PMI.

I pericoli in Internet sono in aumento, e non si ridurranno di certo. Piccole ma importanti regole di buon senso, affiancate dalla tecnologia giusta nel punto giusto, possono aiutare le Aziende, gli Imprenditori e i Professionisti a dormire più sereni la notte e pensare al proprio Business, invece di sperare che un riscatto pagato possa consentire loro di lavorare ancora.

Pensare che un'Azienda si faccia carico di gestire le proprie politiche di Gestione dei Sistemi Informativi e della Sicurezza è un'utopia. La complessità degli argomenti è talmente vasta che difficilmente se ne vedono gli orizzonti. Evitare il problema perchè si ritiene che la probabilità di essere coinvolti è bassa equivale spesso al mettere un cartello con scritto "siamo qui", nell'attesa che accada. Il rovescio della medaglia di questo pensiero apparentemente pessimista è che oggi le tecnologie a supporto della Sicurezza delle Informazioni sono davvero a portata di mano e accessibili con investimenti (e non costi) contenuti. Perchè una efficiente gestione del Sistema Informativo non solo lo rende più sicuro e produttivo, ma riduce anche considerevolmente i costi derivanti da guasti che possono avere un impatto parziale o, come è accaduto di recente, da fermi totali della produttività Aziendale per due giorni a seguito di un'infezione invasiva di Cryptolocker.

Disclaimer: per quanto possa sembrare pessimistica o tragica la visione, il confronto con colleghi e altre aziende di servizi fanno trasparire che questi incidenti si verifichino con una frequenza allarmante, con decine di casi ogni singolo giorno.