Se ti stai chiedendo come mai parliamo di nuovo del malware Cryptolocker, la risposta è purtroppo molto semplice. Avevamo individuato nel Cryptolocker una delle principali minacce informatiche del 2016 e in effetti il Cryptolocker è ancora in circolazione. Sempre più spesso riceviamo telefonate di nostri clienti che sono incappati in questo virus.
E ti assicuro che assistere al blocco di tutti i propri file nell'arco di pochissimo tempo e vedere la schermata con la richiesta del riscatto fa venire veramente il panico!
Settimana scorsa si è registrata un nuova fase di attacchi con il virus Cryptolocker, alcuni con versione Locky altre con versione Teslacrypt.
La prima volta in cui abbiamo trattato di questo argomento risale ormai a più di un anno fa. Il virus Cryptolocker si celava dietro una falsa bolletta Enel. Ma abbiamo anche visto che si nasconde in email provenienti da SDA o altri corrieri, da Equitalia, Telecom, etc. Si tratta dunque di email provenienti da mittenti conosciuti che traggono in inganno.
Perchè il Cryptolocker è così diffuso e persistente?
Il Cryptolocker è un virus di tipo ransomware progettato non più da un singolo hacker ma “costruito” in un vero e proprio laboratorio che sviluppa minacce ai fini di lucro. Trattandosi quindi di vere e proprie organizzazioni, per esistere hanno bisogno di un tornaconto economico.
Le minacce sono sempre più standardizzate e sono sempre migliori a livello di social engineering. Ad esempio, le prime email fasulle avevano una grammatica molto discutibile. Ora c'è stata una sofisticazione anche da questo punto di vista e il testo delle email contenenti il virus è molto più curato, così da trarre in inganno l'utente.
Come funziona il virus Cryptolocker?
L’attacco arriva sempre sull'utente, mai sul server. Nella maggior parte dei casi il virus si prende tramite email.
- l’utente apre l’email infetta e scarica in locale il virus, il quale cerca di andare sul server aziendale e lì staziona
- il virus tramite internet contatta il server hacker per scaricare la chiave di cryptazione
- il processo di cifratura ha inizio fino a quando non termina o viene interrotto
- al termine il file di cifratura viene cancellato
Come si prende il Cryptolocker?
I vettori di attacco utilizzati sono:
- il sistema di posta elettronica
- siti internet malevoli
- errore, volontario o inconsapevole, all'interno dell'azienda tramite il collegamento a dispositivi esterni
- attacco diretto e volontario
Quanto costa all'azienda il virus Cryptolocker?
Tanto! Troppo!
Innanzitutto c'è il rischio di dover pagare un riscatto (e la cifra da pagare in BitCoin dipende dalla quantità di dati che sono stati cifrati). Normalmente il riscatto richiesto parte dai 500 euro.
Inoltre, appena il virus viene preso, si rimarrà bloccati per un lasso di tempo variabile -a seconda di come e per quanto tempo ha agito il virus-. La scorsa settimana un nostro cliente, essendosi reso conto tardi di aver aperto una email contenente Cryptolocker, è stato fermo per un'intera giornata. E questi sono costi importanti da sostenere, oltre ovviamente alle ore di assistenza informatica per ripristinare i sistemi.
E c'è di più: non stiamo parlando della varicella, che una volta presa non la si prende più. Il virus Cryptolocker può colpire più e più volte la stessa azienda, persino la stessa persona. Un altro cliente è già stato colpito dal virus ben 3 volte!
L'approccio di Alyfa si basa sui seguenti 4 pilastri:
FORMAZIONE
Sensibilizzare gli utenti sulle email ricevute e sui siti visitati, affinchè vi prestino massima attenzione.
PREVENZIONE
Sistema di prevenzione e di rilevazione (email filterting, web filtering, antivirus locale)
REAZIONE
Backup con la formula 3-2-1 (tre posizione dei dati: 2 all'interno dell'azienda e 1 all'esterno).
CONTROLLO
Verifica e controllo delle misure attuate; verifica delle copie di backup con prove di restore.
La soluzione Alyfa: servizio di sicurezza gestita
Piano sicurezza
Si tratta di moduli minimi, parte dei quali già in possesso di molti clienti che nel tempo hanno fatto evolvere i propri sistemi informatici seguendo i nostri consigli.
- email filtering
- web filtering
- antivirus locale
- backup locale e remoto
- sistema di asset tracking
- sistema di monitoraggio reportistica
- sistema di gestione delle patch
- server di posta di backup per 21 giorni
Piano sicurezza +++
Soluzione centralizzata gestita e monitorata da Alyfa. Il servizio è erogato in modo rapido, controllato e economicamente vantaggioso per i nostri clienti
- email filtering
- web filtering
- antivirus locale
- backup locale e remoto
- sistema di asset tracking
- sistema di monitoraggio e reportistica
- sistema di gestione delle patch
- server di posta di backup per 21 giorni