Wie sich ein KMU nach einem Ransomware-Befall gerettet hat
4 min

Come sopravvivere ai ransomware: il racconto di una PMI

Il ransomware «WannaCry» fa parlare di sé in tutto il mondo. Ma altri malware sono altrettanto dannosi. Il titolare di una PMI colpita da un virus racconta di aver ricevuto, in risposta a un’inserzione per un posto di lavoro, un file infetto e di aver evitato per poco la catastrofe.

Una volta aperto l’allegato e-mail, l’intero sistema si è bloccato. È successo a Philipp Zollinger, il titolare di TSM Grindel AG a Basserdorf, che gestisce palestre indoor per tennis, squash, minigolf e badminton. «Avevo pubblicato un’inserzione per un posto di lavoro come custode e lo stesso giorno ho ricevuto una candidatura via e-mail con un allegato PDF». Zollinger ha aperto il file prima dal PC della reception, poi sul suo computer personale. Documentazioni di candidatura non ce n’erano, ma entrambi gli apparecchi hanno subito un blocco del sistema. «E questo, nonostante sui nostri PC fosse attivo Microsoft Security Essentials. Evidentemente non è servito a nulla, ma so che anche altri programmi anti-malware avrebbero fallito.»

Evitare il peggio

Zollinger conosce molto bene la sua apparecchiatura informatica e ha reagito tempestivamente staccando i PC dalla rete. In tal modo il virus non ha potuto espandersi ulteriormente e la banca dati centrale sul server NAS è stata salvata. Su entrambi i PC, invece, tutti i dati sono stati criptati: un tipico attacco ransomware, una forma moderna di ricatto digitale. Attualmente soprattutto il virus «WannaCry» fa parlare di sé. Solo pagando un riscatto di 2000 dollari in Bitcoins, Zollinger avrebbe potuto ricevere un codice per decriptare i dati. Ogni volta che cercava di aprire un file, appariva un messaggio che richiedeva il pagamento del riscatto. «Non ho ceduto a questo ricatto: non si è mai sicuri se si otterrà veramente il codice per decriptare i file o se si sta pagando per nulla e non accetto questi giochetti», specifica Philipp Zollinger.

Ecco come proteggersi da ransomware come WannaCry

  • Chiarire con il proprio provider e-mail quali misure vengono adottate per la sicurezza della comunicazione via e-mail.
  • Verificare la propria strategia di backup: Cosa si salva e con quale frequenza? Dove vengono salvati i dati messi sicurezza?
  • Fare un backup regolare su un supporto dati esterno che viene conservato al di fuori dell’azienda. Una soluzione cloud appositamente studiata per i backup offre gli stessi vantaggi, ma solo se i documenti non sono accessibili da Windows Explorer o dal Finder, ma mediante il software di backup.
  • Occorre essere particolarmente prudenti quando si tratta di aprire documenti Word e PDF allegati alle e-mail. Lo stesso vale per i file .zip, che potrebbero contenere documenti con codici maligni. Non aprire mai file eseguibili con estensione .exe o .bat.
  • Non pagare mai riscatti, molto probabilmente non si otterrà nessuna password per decodificare i file. L’unica eccezione: se non si dispone di alcun backup per i dati importanti, si può provare a ottenere il codice di sblocco pagando l’importo richiesto.
  • Fare in modo che l’infrastruttura di sicurezza sia sufficientemente sicura. Ad esempio, che sia presente un moderno Firewall UTM (Unified Threat Management) che si basa su un’intelligenza collettiva su cloud ed è quindi in grado di scongiurare anche pericoli finora ignoti.

Fra i file colpiti dal virus ci sono anche quelli riguardanti i dati contabili che Zollinger tiene sul suo personal computer. Per fortuna lui salva regolarmente i dati, anche quelli relativi alla sua banca dati contabile, su un supporto dati esterno, che si porta sempre a casa. «In tal modo ho potuto accedere a dati abbastanza aggiornati.»

Un dispendioso lavoro di ripristino

Come prima cosa, però, è stato necessario reinstallare nuovamente il PC, come esperti in materia hanno confermato a Zollinger. «L’unica cosa da fare è stata cancellare e reinstallare tutto». Ha potuto svolgere lui stesso il vero e proprio ripristino del sistema, incluso il raggruppamento dei dati centrali e mobili, grazie a buone conoscenze di banche dati informatiche. Calcola di averci lavorato 40 ore, rabbia esclusa. E per gli specialisti esterni ha dovuto pagare circa 2000 franchi. Inoltre in TSM Grindel è stato effettuato un miglioramento delle misure di sicurezza, nello specifico con un nuovo firewall. Zollinger ha automatizzato il backup dei dati sul sistema NAS. Inoltre ha ricordato con enfasi anche alla contabile esterna di effettuare dei backup regolari. «Deve assolutamente esistere un backup separato all’esterno dell’azienda, anche solo perché in caso di un simile attacco potrebbe essere criptato anche il sistema di sicurezza sul NAS».

Maggiore attenzione per il futuro

A parte il dispendio di energie, questo attacco non ha avuto nessuna grave conseguenza per TSM Grindel. Stando al titolare, il traffico e-mail è rimasto bloccato per qualche giorno e Zollinger ha dovuto ritrovare alcuni documenti. Alcune e-mail sono tuttora impossibili da ritrovare. Ma non ha perso alcun cliente. «La cosa peggiore è stata la rabbia. Un’altra azienda che dipende molto di più dai sistemi telematici avrebbe subito un danno maggiore», conclude Philipp Zollinger. Non può escludere tuttavia che in futuro possa avvenire un altro attacco simile, magari proprio a causa di WannaCry. Per questo oggi presta ancora maggiore attenzione rispetto a prima quando si tratta di aprire un file. Ad esempio, evita totalmente di aprire i documenti Word ricevuti via e-mail.

Copertina: Alamy