I creatori di malware Ransomware sono diventati sempre più creativi, sofisticati, agguerriti e aggressivi. Sia nel modo con cui riescono a portare a termine i loro attacchi, sia nell’evitare di essere intercettati, sia nella capacità di allargare e calibrare  i loro attacchi a realtà aziendali e organizzative eterogenee. La consapevolezza della pericolosità e diffusione del Ransomware continua però a non essere adeguata. 

Il 2017 è stato dominato da attacchi cybercriminali noti come Ransomware. Attacchi insidiosi e velenosi perché basati sul sequestro di dati e la richiesta di un pagamento per poterne tornare in possesso. WannaCry, uno dei Ransomware diventato famoso per la sua diffusione e pericolosità, nel 2017 ha infettato 200.000 computer a livello mondiale. Le vittime colpite sono state singoli e semplici cittadini così come piccole, medie e grandi aziende e organizzazioni. Tra le vittime del 2018 si contano anche produttori di chip che servono a far funzionare l’iPhone e che, a causa di un attacco WannaCry hanno dovuto fermare i loro impianti di produzione. 

La diffusione dei Ransomware non è una novità recente. Già nel 2016 gli attacchi erano triplicati rendendo evidente, anche alle aziende che non ne fossero ancora consapevoli, che nessuna organizzazione è immune da attacchi, sia essa privata o pubblica, in particolare quelle che operano in mercati regolamentati come la sanità e la finanza. A aggravare la situazione è il fatto che il Ransomware, solitamente abbastanza prevedibile nelle modalità con cui si manifesta, è diventato sempre più difficile da individuare e prevenire. 

Ransomware: di cosa parliamo? 

Il Ransomware è un tipo di software maligno, abile nell’individuare e sfruttare le vulnerabilità dei sistemi destinatari di un attacco. Viene solitamente introdotto in un personal computer o server attraverso attività di ingegneria sociale o con la complicità e la disattenzione dell’utente (ad esempio attraverso attività di Phishing, tramite ISB, ecc.). Il nome è collegato e spiega cosa accade dopo che l’attacco è riuscito. Il Ransomware, nelle sue varie forme e personalità, prende il controllo di dati, file e contenuti bloccandoli, impedendone l’accesso e l’utilizzo al suo proprietario e chiedendo in cambio un riscatto per sbloccarli. Ovviamente non esiste alcuna garanzia che, a pagamento avvenuto, i dati siano sbloccati e messi a disposizione dell’utente. Senza contare scenari peggiori derivanti dalla presa visione e conoscenza di dati sensibili utilizzabili per altri attacchi e/o altre forme di ricatto. 

La pericolosità del Ransomware è sempre più determinato dalla crescente capacità dei cybercriminali che ne fanno uso di evitare la sua individuazione attraverso approcci subdoli, ingannatori e pensati per impedire prevenzione e interventi rapidi in grado di debellare l’attacco prima che sia portato a compimento. Tra questi approcci ci sono la tempificazione allungata nel tempo del processo di blocco di file e documenti, la randomizzazione dello stesso, gli attacchi lanciato direttamente da documenti e file al posto delle email, l’attacco diretto alle componenti hardware del sistema (ad esempio il sistema di boot del sistema operativo), l’adozione di codice polimorfico capace di cambiare in continuazione per rendere complicata la sua rimozione, attacchi multipli, la scelta di piattaforme di sistema operativo vulnerabili e della rete come target preferenziali, la scelta di rimanere dormiente all’interno di un sistema, ecc. 

Esempi di vulnerabilità in azienda 

Il Ransomware trae vantaggio dalle vulnerabilità spesso presenti in ogni componente di sistema informativo aziendale. Una di queste vulnerabilità consiste spesso nelle operazioni frequenti e necessarie di sincronizzazione e condivisione di file (EFSS) e documenti.  E’ una vulnerabilità che può aggravare la portata e la riuscita di attacchi Ransomware. Le soluzioni EFSS gestiscono grandi quantità di dati e documenti, spesso sensibili e critici per il business, e la capacità competitiva dell’azienda. Spesso queste soluzioni sincronizzano file e documenti tra i dispositivi dell’utente e i sistemi centrali. Banche dati e repository applicativi, oggi quasi sempre collocati in qualche forma di Cloud Computing, destinati a contenere ogni nuova versione di un file o documento e responsabili della sua condivisione con tutti gli altri utenti che hanno i diritti e i privilegi per averne accesso. 

Le attività di sincronizzazione e condivisione in aziende e organizzazioni sono così frequenti e necessarie da essere diventate il target ideale dei cybercriminali del Ransomware. Un target ideale per la facilità e la frequenza con cui vengono scaricati file e  documenti, inviati attraverso una email, senza verificare l’identità del mittente o la validità dei contenuti del messaggio. Se il file scaricato contiene un Ransomware, la sua azione può portare al blocco immediato (anche dilazionato nel tempo) dei dati contenuti sul dispositivo personale. Se il file è però anche sincronizzato nel cloud, a rischio sono messi i sistemi di altri membri dell’organizzazione e l’organizzazione stessa. I danni e le conseguenze di questo tipo di attacchi vanno ben oltre la non accessibilità ai file. Si concretizzano in reazioni di panico per la potenziale perdita di dati, in blocco o calo della produttività personale dei dipendenti con effetti immediati sui processi produttivi e decisionali e suo workflow di lavoro. 

La pericolosità del Ransomware è testimoniata dall’analisi degli attacchi e dei trend emergenti che li caratterizzano. Più del 60% delle aziende colpite avevano un numero di dipendenti maggiore di 100 e il 25% erano aziende con più di 1000 dipendenti. Una realtà che suggerisce l’implementazione di soluzioni e strumenti in grado di prevenire gli attacchi ma anche di intervenire rapidamente a porvi rimedio, nel caso in cui fossero stati portati a termine con successo. 

Le soluzioni BlackBerry per il Ransomware 

Gli attacchi cybercriminali alle aziende, in particolare quelli Ransomware, sono in crescita esponenziale, ovunque nel mondo e anche in Italia. Causano miliardi di dollari/euro di danni a società e organizzazioni, sia private sia pubbliche. Le vulnerabilità possono essere diverse, ma quella più pericolosa deriva da attività frequenti e mission critical di cui l’azienda non può fare a meno, la sincronizzazione di file e documenti e la loro condivisione finalizzata alla collaborazione e alla produttività aziendale. 

Per questo tipo di vulnerabilità BlackBerry ha creato BlackBerry Workspaces, una piattaforma software e una soluzione utili a identificare e isolare eventuali file e documenti infettati da malware e ransomware, di ripulirli creando versione aggiornate, affidabili e tali da non interrompere collaborazione e produttività. Il tutto in pochi e comodi passaggi gestionali. La soluzione contiene in particolare una funzionalità integrata pensata in modo specifico per gli attacchi Ransomware con la quale è possibile operare quanto segue: 

  • Contenere in modo rapido e limitare la diffusione dei documenti infettati nell’organizzazione
  • Mettere a disposizione di amministratori IT e personale qualificato strumenti utili all’intervento immediato, a reagire all’attacco in modo da debellarlo e da ripristinare l’affidabilità dei file coinvolti con il risultato di non interrompere processi e attività di lavoro
  • Attivare controlli granulari per  analizzare, anche in modo selettivo, utenti, file e cartelle coinvolti e ripristinarne l’attività dei primi e l’utilizzabilità dei secondi
  • Intervenire con rapidità senza dover ricorrere a supporti esterni e/o specialistici da parte di un provider 

Per saperne di più sulla soluzione BlackBerry Workspaces di BlackBerry potete scaricare questo PDF  o Visitare il portale di Blackberry.