I ransomware, trojan che cifrano i file, rendono inutilizzabili i documenti presenti nei computer. Questi sette consigli vi aiuteranno a proteggere la vostra PMI dagli attacchi e a minimizzare la perdita di dati in caso infezione da ransomware.
Si chiamano, ad esempio, Lockbit, Babuk, Play o ALPHV/Blackcat. Quando compaiono, dopo di solito non funziona più niente. Se uno di questi ransomware penetra nella rete aziendale, crittografa tutti i dati e li restituisce (forse) previo pagamento di un riscatto. Da qui le denominazioni «software con pagamento di riscatto» o «trojan crittografici». Gli attacchi sono diffusi e automatizzati, le bande di ransomware sono ben organizzate e professionali. Questi virus rappresentano un rischio elevato per la sicurezza delle aziende, dal momento che possono colpire chiunque indiscriminatamente.
I documenti vengono prima rubati, poi crittografati
Nel 2023 l’Ufficio federale della cibersicurezza (UFCS), ex Centro nazionale per la cibersicurezza (NCSC), ha ricevuto quasi 100 segnalazioni di attacchi ransomware, un po’ meno rispetto all’anno precedente. Alcune di esse hanno destato notevole scalpore. Ma questa battuta d’arresto delle segnalazioni è ingannevole: da un lato è probabile che vi sia un grande numero di casi non segnalati, dall’altro, un nuovo attore può entrare in scena e scatenare un’ondata di ransomware in qualsiasi momento.
Inoltre, gli attacchi sono diventati più pericolosi e non si limitano più alla sola cifratura dei dati. Come ulteriore strumento di pressione, i documenti aziendali vengono preventivamente rubati con la minaccia di pubblicare i dati nella darknet qualora la vittima non volesse pagare. Nel rapporto annuale 2023, l’UFCS sottolinea che questo è accaduto in quasi tutti gli attacchi ransomware segnalati. Di conseguenza, sui cosiddetti siti leak, destinati ai dati rubati dalle bande di ransomware, si trovano continuamente dati confidenziali di aziende e organizzazioni svizzere.
La pubblicazione di dati aziendali riservati può comportare danni alla reputazione, interruzioni dell’attività e conseguenze finanziarie e legali. Per questo, per le PMI vale la pena proteggere preventivamente il sistema informatico, in modo tale che un eventuale attacco provochi una perdita di dati nulla o tollerabile e che il danno sia così minimizzato. La migliore protezione combina misure tecniche e organizzative con la sensibilizzazione dei collaboratori e delle collaboratrici sulle e-mail di phishing e gli attacchi informatici.
Sette consigli per la protezione contro i ransomware
Con questi accorgimenti potete ridurre al minimo i rischi e la perdita di dati in caso di attacco ransomware riuscito:
1. Aggiornamento continuo del sistema e delle applicazioni
La maggior parte dei ransomware sfrutta vulnerabilità note. Dovreste quindi affidarvi agli aggiornamenti automatici o manuali per colmare tali lacune in Windows e nelle applicazioni il più rapidamente possibile. Particolarmente esposti in quanto punti di attacco preferiti sono i browser web, le applicazioni Office e Windows stesso. E, se state ancora lavorando con Windows 7 che non è più aggiornato, considerate il pericolo del ransomware come un’opportunità per passare a Windows 10 (o 11) il più presto possibile.
2. Utilizzate un software antivirus e la protezione ransomware di Windows («accesso controllato alle cartelle»)
Microsoft Defender o un software antivirus di terze parti possono almeno proteggere il sistema da malware conosciuti. Anche in questo caso è importante aggiornare regolarmente sia il software che le definizioni dei virus. Qui gli aggiornamenti automatici sono obbligatori.
Windows offre anche una protezione aggiuntiva dalla versione 10 in poi con «accesso controllato alle cartelle» nelle impostazioni «Sicurezza di Windows», negando ai malware come i ransomware l’accesso a certe directory. Tuttavia, se attivate questa protezione, all’inizio dovrete fare i conti con alcuni «falsi positivi», perché spesso anche alle applicazioni legittime viene impedito di accedere alle cartelle protette. In questo caso potete autorizzare l’accesso manualmente (con diritti da amministratore) per il futuro.
3. Utilizzate un firewall in azienda
Per le PMI esistono soluzioni firewall di diversi produttori, come Managed Security di Swisscom, che possono essere utilizzate anche senza conoscenze specialistiche approfondite. Il firewall collega la rete locale (Ethernet e WLAN) con internet, protegge dagli accessi non autorizzati e può bloccare gli indirizzi internet conosciuti come «piattaforme di diffusione dei virus». Ha anche senso avere un firewall che può scansionare il traffico di rete per il malware e quindi rilevare il ransomware.
4. Utilizzare una memoria online sicura con versioning
Con un cloud storage che mantiene diverse versioni di un documento (il cosiddetto versioning o snapshot a intervalli di tempo), è possibile reagire rapidamente in caso di cifratura da ransomware e «tornare indietro» all’ultima versione memorizzata dei file prima dell’attacco. Idealmente, in questo modo occorrerà sacrificare solo alcuni minuti di lavoro. SharePoint e OneDrive (for Business) di Microsoft 365 for Business offrono questo tipo di versioning.
Se molti collaboratori e collaboratrici lavorano da casa, il firewall dell’azienda è poco utile. Assicuratevi che i documenti aziendali non siano memorizzati localmente sul computer, ma nel cloud. Questo aumenta significativamente le possibilità di recuperare i documenti dopo un attacco ransomware. Inoltre, così semplificherete la collaborazione e lo scambio di documenti all’interno dell’azienda.
5. Proteggete gli accessi remoti (VPN, webmail, ecc.) con l’autenticazione a due fattori (2FA)
Tutte le applicazioni accessibili tramite Internet dovrebbero essere protette non solo con una password, ma anche con un secondo fattore. A seconda dell’applicazione, questo può avvenire tramite Mobile ID o tramite un’app di autenticazione sullo smartphone, ad esempio di Google o Microsoft.
Con l’autenticazione a due fattori (2FA) rendete difficile per i criminali informatici accedere a un account aziendale, poiché gli hacker dovranno procurarsi non solo la password, ma anche il secondo fattore.
Dovreste assolutamente proteggere con l’autenticazione a due fattori i seguenti accessi:
- Account Microsoft e Google (Microsoft 365 e Google Workspace)
- Accesso remoto alla rete aziendale tramite VPN (Virtual Private Network)
- Accessi al desktop remoto
- Account webmail
- Applicazioni aziendali basate sul web (ERP, CRM ecc.)
- Account sui social media
6. Creare un backup
Questo è particolarmente vero per i server locali e il cloud storage: facendo una copia dell’intero sistema, in caso di attacco potrete almeno tornare allo stato precedente l’azione del virus. Questo procedimento facilita il ripristino del sistema, ma protegge solo in maniera limitata dalla perdita dei dati, a causa della lunghezza dell’intervallo tra un salvataggio e il successivo (normalmente quotidiano).
È anche importante proteggere il backup stesso da un possibile attacco ransomware. Per farlo, dovreste almeno proteggere il backup dalla modifica, per esempio con una protezione di scrittura o di accesso. Tuttavia, è ancora meglio scollegare i supporti di backup una volta effettuato il salvataggio e assicurarsi che non siano accessibili attraverso la rete (il cosiddetto backup offline). Una variante moderna è rappresentata dal backup su cloud, che può anche proteggere i dati salvati dai ransomware.
7. Sensibilizzate i vostri collaboratori!
Questo consiglio è fondamentale perché molti attacchi ransomware di successo sono innescati da un clic di una persona. Poiché questo malware si diffonde spesso tramite e-mail di phishing, si attiva dopo aver cliccato su un link o aperto un allegato nella posta. Rendere i vostri collaboratori consapevoli di questa situazione vi fornirà un ulteriore scudo di protezione.
Testate la vostra sicurezza informatica
Circa il 35% di tutte le PMI svizzere sono già state vittime di un attacco informatico. Quanto siete protetti? Con il nostro Security Check informatico, potete esaminare il livello di sicurezza della vostra azienda e scoprire quali misure potreste attuare.
Suggerimento bonus: segmentate la vostra rete
Questo consiglio esula dallo scopo di questo articolo e dipende dalle dimensioni dell’azienda: dividere la rete aziendale locale in diverse aree (zone). Con tale segmentazione, è possibile evitare che il ransomware si diffonda in tutta la rete. In ogni caso, è una buona idea impostare una WLAN per gli ospiti e un accesso alla rete separato per i visitatori e il personale.
Cosa fare in caso di un attacco ransomware?
Se rilevate un attacco ransomware nonostante tutte le misure di sicurezza, disconnettete immediatamente i computer dalla rete e da tutti i supporti di archiviazione collegati per prevenire ulteriori danni. Interrompete eventualmente la connessione Internet per fermare una perdita di dati in corso, nel caso in cui questa non sia già avvenuta. Nella maggior parte dei casi di attacco malware è consigliabile riconfigurare i computer da zero e modificare tutte le password. Se è stato creato un backup dell’intero sistema, lo si può utilizzare per eseguire il ripristino.
E se, nonostante tutte le precauzioni, un ransomware si è annidato nel vostro sistema informatico, in questo articolo troverete consigli utili su come reagire a un attacco informatico riuscito.
Versione aggiornata e ampliata di un articolo esistente.