Vai al contenuto

Ransomware: che fare ?

Se non piove, pioverà...

diceva lo slogan che negli anni '70 invitava ad acquistare un impermeabile tascabile. Cosa può servire oggi per far fronte alle conseguenze di un attacco RANSOMWARE?

Le NUVOLE del RANSOMWARE incombono su di noi

Non passa giorno senza la notizia di un nuovo episodio di RANSOMWARE ai danni di una Azienda, di un Comune, di una Scuola o di una Utility.

Inutile ormai chiedersi SE capiterà a noi.
Bisogna solo pensare a QUANDO capiterà...

Si può cercare di prevenire questa evenienza mettendo in atto tutta una serie di misure di protezione, come suggerito da numerosi articoli che sono apparsi recentemente sulla stampa specializzata.
Ci si può anche tutelare stipulando una adeguata copertura assicurativa.
Ci si può addirittura preparare a ripristinare tempestivamente i dati persi, a partire dalle copie di BACKUP, fino ad attivare - se necessario - i piani di Disaster Recovery.

Ma cosa fare QUANDO capita ?

Essere pronti a gestire gli incidenti di sicurezza non basta

Le Organizzazioni che hanno predisposto piani e procedure per la gestione degli incidenti di Cyber Security sono preparate a far fronte alle conseguenze di un attacco alle proprie infrastrutture IT e sono in grado di attivare tempestivamente una task force di tecnici (l'Incident Response Team) in grado di analizzare la situazione ed intervenire per ripristinare i sistemi colpiti.

Analizzando i casi di RANSOMWARE recentemente capitati, ho però pensato che sarebbe stato utile prevedere alcune attività specifiche che avrebbero aiutato le Aziende colpite a reagire meglio a questo particolare tipo di attacco.

Vorrei condividere con voi queste mie riflessioni.

1. "Spegnere" la Rete Locale

In caso di attacco RANSOMWARE, la prima cosa da fare è contenere l'infezione.

Per far questo occorre isolare i sistemi colpiti dal resto della Rete Aziendale, in modo da evitare che il RANSOMWARE si propaghi ad altri sistemi.

Tutte le moderne architetture LAN prevedono l'impiego di apparati di rete "gestiti", ovvero provvisti di una apposita interfaccia di amministrazione e configurazione.

La gestione può essere effettuata:

  • "in-band", ossia utilizzando una qualsiasi tra le porte di accesso che forniscono la connettività di rete ai Client Aziendali;
  • "out-of-band", ovvero attraverso una porta di rete dedicata e separata dalle altre porte di accesso, oppure attraverso la porta seriale RS-232.

Dal punto di vista della Network Security, la soluzione migliore è certamente quella che prevede la gestione "out-of-band" mediante una rete separata.

Utilizzando l'interfaccia di gestione, gli Amministratori di Rete sono in grado di gestire la configurazione dell'apparato ed in particolare di "spegnere" (shutdown) o "accendere" (no shutdown)  ciascuna delle porte di accesso:

Non sarebbe quindi complicato realizzare uno SCRIPT in grado di "spegnere" immediatamente tutte le porte di accesso di una Rete Locale o di porzioni di essa.

Questo SCRIPT potrebbe essere utile proprio per isolare dalla rete i sistemi colpiti dal RANSOMWARE o, in caso di emergenza, per disconnettere l'intera Rete Locale.

Gli Amministratori di Rete avrebbero così a disposizione una sorta di pulsante di arresto di emergenza della Rete Locale, pronto per essere premuto in caso di attacco RANSOMWARE !

La disattivazione a livello LOGICO della Rete Locale ha il vantaggio di essere certamente più immediata ed efficace della disattivazione a livello FISICO, come invece qualcun altro propone:

2. Avvertire tutti i Dipendenti

Se capita un attacco RANSOMWARE occorre avvertire tempestivamente tutti i nostri Dipendenti, indicando loro cosa fare e cosa non fare.

Per avvertirli però non possiamo pensare di utilizzare i canali di comunicazione consueti (es. la mail) in quanto i relativi servizi potrebbero essere compromessi dall'attacco in corso !

Anche qualunque altro sistema di contatto basato sulla connettività di Rete (ad es. un avviso sul Portale Intranet Aziendale) non è adatto.

L'intera Rete Locale potrebbe essere stata resa inutilizzabile dal malware stesso o dagli Amministratori di Rete, che magari l'hanno "spenta" di proposito, proprio per evitare la propagazione del contagio.

Moltissime Aziende rendono disponibili ai propri Dipendenti il cellulare Aziendale. Si tratta in genere di uno smartphone su cui possono essere installate anche alcune APP Aziendali, da utilizzare per effettuare alcune operazioni in mobilità.

Si potrebbero pertanto utilizzare i Cellulari Aziendali per comunicare coi Dipendenti, anche quando la Rete Aziendale è fuori uso.

Se possibile, però, sarebbe meglio evitare l'utilizzo di servizi di messaggistica basati su Internet, quindi perchè non usare gli SMS ?

Gli SMS non hanno bisogno di Internet per funzionare. Utilizzano la rete cellulare e sono in grado di raggiungere tempestivamente un gran numero di utenti. Basta il numero di telefono e si può inviare un breve messaggio di 160 caratteri a chiunque.

Le Aziende che forniscono ai propri Dipendenti un cellulare Aziendale conoscono certamente i loro numeri di telefono, in quanto assieme al cellulare viene fornita la relativa scheda SIM e i costi di telefonia vengono addebitati all'Azienda.

Da qualche parte quindi è certamente presente un elenco aggiornato di tutte le SIM Aziendali e dei corrispondenti numeri di telefono.

Dovrebbe perciò essere relativamente facile inviare rapidamente un SMS a tutti i cellulari Aziendali, semplicemente componendo il testo e inserendo la lista di tutti i numeri a cui deve essere inviato.

Le uniche 2 cose di cui abbiamo bisogno per mettere in piedi questo servizio di comunicazione di emergenza sono:

  • la lista dei numeri di telefono da contattare (meglio se organizzata per Reparto e mansione dei destinatari, in modo da poter inviare comunicazioni "mirate", se necessario...);
  • una piattaforma software per l'invio massivo di SMS, che può essere installata su un PC dedicato oppure realizzata attraverso appositi servizi in CLOUD.

...ma anche i cartelloni possono essere utili !

In aggiunta agli SMS può essere utile predisporre anche un sistema di comunicazione più "diretto", come ad esempio dei cartelloni posti agli ingressi:

3. Pagare o non pagare il riscatto ?

In caso di attacco RANSOMWARE andrebbe messa in conto - tra le altre - anche l'eventualità di essere costretti a pagare il riscatto per tentare di rientrare in possesso dei dati Aziendali cifrati.

Questa eventualità dovrebbe essere valutata in anticipo dai Vertici Aziendali, definendo una apposita Politica Aziendale in merito.

Questa Politica dovrebbe:

  • essere coerente con le altre Politiche Aziendali relative alla gestione dei rischi e sulla Responsabilità Sociale;
  • stabilire anticipatamente un livello di soglia di rischio al di sopra del quale si potrebbe decidere di optare per il pagamento del riscatto;
  • definire chi in Azienda ha l'autorità per decidere in merito;
  • indicare eventuali limiti operativi (es. l'importo massimo del riscatto che l'Azienda sarebbe disposta a pagare);
  • individuare le possibili modalità di pagamento e dare indicazioni in merito alla predisposizione delle operazioni necessarie (es. "come ci procuriamo i Bitcoin necessari a pagare l'eventuale riscatto ?").

E' importante evitare di farsi trovare impreparati:

4. Definire una strategia di comunicazione

Per evitare che l'attacco RANSOMWARE possa avere un impatto devastante sulla reputazione dell'Azienda, è necessario definire in anticipo una strategia di comunicazione verso gli stakeholder e i media.

Tentare di nascondere i fatti di solito peggiora le cose, quindi chi si occupa di Relazioni coi Clienti, di Relazioni Esterne e di Relazioni con gli Investitori dovrà farsi carico di comunicare quello che sta accadendo.

E' importante che questa strategia di comunicazione:

  • stabilisca in modo chiaro il "taglio" e la tempistica delle comunicazioni, indicando se l'Azienda intende optare per una piena divulgazione, ispirata al principio della massima trasparenza, o se invece prevede di limitare le comunicazioni verso l'esterno allo stretto indispensabile;
  • sia condivisa tra tutte le Funzioni Aziendali coinvolte;
  • sia attuata in modo coordinato tra di esse.

Insomma, in 2 parole...

«Estote Parati

Cordialmente vostro,
Autostoppista Cyber Galattico.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.