302016Giu

Se ti stai chiedendo come mai parliamo di nuovo del malware Cryptolocker, la risposta è purtroppo molto semplice. Avevamo individuato nel Cryptolocker una delle principali minacce informatiche del 2016 e in effetti il Cryptolocker è ancora in circolazione. Sempre più spesso riceviamo telefonate di nostri clienti che sono incappati in questo virus. 

E ti assicuro che assistere al blocco di tutti i propri file nell'arco di pochissimo tempo e vedere la schermata con la richiesta del riscatto fa venire veramente il panico

Settimana scorsa si è registrata un nuova fase di attacchi con il virus Cryptolocker, alcuni con versione Locky altre con versione Teslacrypt.

​La prima volta in cui abbiamo trattato di questo argomento risale ormai a più di un anno fa. Il virus Cryptolocker si celava dietro una falsa bolletta Enel. Ma abbiamo anche visto che si nasconde in email provenienti da SDA o altri corrieri, da Equitalia, Telecom, etc. Si tratta dunque di email provenienti da mittenti conosciuti che traggono in inganno. 

Perchè il Cryptolocker è così diffuso e persistente? 

Il Cryptolocker è un virus di tipo ransomware progettato non più da un singolo hacker ma “costruito” in un vero e proprio laboratorio che sviluppa minacce ai fini di lucro. Trattandosi quindi di vere e proprie organizzazioni, per esistere hanno bisogno di un tornaconto economico.

Le minacce sono sempre più standardizzate e sono sempre migliori a livello di social engineering. Ad esempio,  le prime email fasulle avevano una grammatica molto discutibile. Ora c'è stata una sofisticazione anche da questo punto di vista e il testo delle email contenenti il virus è molto più curato, così da trarre in inganno l'utente.

Come funziona il virus Cryptolocker?

L’attacco arriva sempre sull'utente, mai sul server. Nella maggior parte dei casi il virus si prende tramite email.

  • l’utente apre l’email infetta e scarica in locale il virus, il quale cerca di andare sul server aziendale e lì staziona
  • il virus tramite internet contatta il server hacker per scaricare la chiave di cryptazione
  • il processo di cifratura ha inizio fino a quando non termina o viene interrotto
  • al termine il file di cifratura viene cancellato

Come si prende il Cryptolocker?

I vettori di attacco utilizzati sono: 

  • ​il sistema di posta elettronica
  • siti internet malevoli
  • errore, volontario o inconsapevole, all'interno dell'azienda tramite il collegamento a dispositivi esterni
  • attacco diretto e volontario
Come si prende il virus Cryptolocker?

Quanto costa all'azienda il virus Cryptolocker?

Tanto! Troppo!

Innanzitutto c'è il rischio di dover pagare un riscatto (e la cifra da pagare in BitCoin dipende dalla quantità di dati che sono stati cifrati). Normalmente il riscatto richiesto parte dai 500 euro.

Inoltre, appena il virus viene preso, si rimarrà bloccati per un lasso di tempo variabile -a seconda di come e per quanto tempo ha agito il virus-. ​La scorsa settimana un nostro cliente, essendosi reso conto tardi di aver aperto una email contenente Cryptolocker, è stato fermo per un'intera giornata. E questi sono costi importanti da sostenere, oltre ovviamente alle ore di assistenza informatica per ripristinare i sistemi.  

E c'è di più: non stiamo parlando della varicella, che una volta presa non la si prende più. Il virus Cryptolocker può colpire più e più volte la stessa azienda, persino la stessa persona. Un altro cliente è già stato colpito dal virus ben 3 volte!   

90%

Il 90% degli attacchi potrebbero essere impediti con un pacchetto di Email Filtering (sistema antispam e antivirus sulle email in entrata) , Web Filtering (sistema di filtraggio dei siti web con blocco della navigazione verso i siti riconosciuti come malevoli) e Antivirus Locale

L'approccio di Alyfa si basa sui seguenti 4 pilastri:

FORMAZIONE

Sensibilizzare gli utenti sulle email ricevute e sui siti visitati, affinchè vi prestino massima attenzione.

PREVENZIONE

Sistema di prevenzione e di rilevazione (email filterting, web filtering, antivirus locale)

REAZIONE

Backup con la formula 3-2-1 (tre  posizione dei dati: 2 all'interno dell'azienda e 1 all'esterno).

CONTROLLO

Verifica e controllo delle misure attuate; verifica delle copie di backup con prove di restore.

La soluzione Alyfa: servizio di sicurezza gestita

Piano sicurezza

Si tratta di moduli minimi, parte dei quali già in possesso di molti clienti che nel tempo hanno fatto evolvere i propri sistemi informatici seguendo i nostri consigli.

  • email filtering 
  • web filtering 
  • antivirus locale
  • backup locale e remoto
  • sistema di asset tracking
  • sistema di monitoraggio reportistica
  • sistema di gestione delle patch
  • server di posta di backup per 21 giorni

Piano sicurezza +++

Soluzione centralizzata gestita e monitorata da Alyfa.  Il servizio è erogato in modo rapido, controllato  e economicamente vantaggioso per i nostri clienti

  • email filtering 
  • web filtering
  • antivirus locale
  • backup locale e remoto
  • sistema di asset tracking
  • sistema di monitoraggio e reportistica
  • sistema di gestione delle patch
  • server di posta di backup per 21 giorni