Come prevenire il ransomware: quale azienda ha imparato a suo agio

Nel mondo reale, il rapimento è un crimine rischioso: farsi pagare di solito significa essere catturati. Nel mondo digitale, tuttavia, chiedere un riscatto per i dati, o il ransomware, è un'epidemia crescente, un crimine popolare che sta lasciando molte aziende e consumatori a rischio di perdere dati.

Una piccola azienda nel New England - un rivenditore con due dozzine di dipendenti - l'hanno imparato nel modo più duro. Un dipendente click-happy ha finito per infettare un sistema con una minaccia prevalente nota come CryptoWall, secondo il comproprietario dell'azienda, John, che ha chiesto che il suo vero nome ei dettagli della sua attività non venissero rivelati.

Ransomware potrebbe vagare inosservato

Tranquillamente, il malware ha raggiunto Internet per ottenere una chiave univoca e quindi, nei prossimi tre giorni, i dati crittografati sul sistema compromesso. Molto peggio per l'azienda, il malware ha crittografato i dati contabili su un'unità mappata sul server dell'azienda.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Il rivenditore ha appreso dell'infezione quando il suo software di contabilità non è riuscito per aprire i dati finanziari sull'unità mappata il lunedì successivo. "La nota di riscatto non è mai spuntata sullo schermo", ha detto John. "Il programma di contabilità ha smesso di funzionare una mattina".

Quando una tecnologia di supporto ha indagato sui problemi del software di contabilità, sono state trovate oltre 200 copie di una richiesta di riscatto sparse nel file system, indirizzando l'azienda a pagare $ 500 in Bitcoin al criminali.

Il ransomware è in aumento. Prendendo il via con Cryptolocker nel 2013, una costante parata di pernicioso software di riscatto ha colpito sfortunate vittime. Cryptolocker probabilmente ha reso i suoi operatori decine di milioni di dollari fino a quando le autorità non hanno interrotto la rete nel maggio 2014, chiudendo i server di comando e controllo di Cryptolocker e l'infrastruttura botnet di GameOver Zeus che diffondeva il malware. Tuttavia, sono sorte altre varianti di ransomware. Tra metà marzo e il 24 agosto 2014, ad esempio, più di 600.000 sistemi sono stati infettati dalla variante CryptoWall del ransomware, secondo una ricerca condotta dalla società di sicurezza gestita SecureWorks.

Anche i napper dei dati stanno diventando mobili ai dati recenti della società di sicurezza mobile Lookout. Nel 2014, quattro dei cinque principali programmi malware incontrati dagli utenti Android negli Stati Uniti erano ransomware, che si proponevano come app legittime e quindi, dopo l'installazione, bloccavano il telefono e chiedevano il pagamento. Mentre la minaccia del malware mobile continua a essere bassa - solo il 7% degli utenti Android ha riscontrato malware-ransomware ha contribuito a quasi tutto il 75% di aumento degli incontri rispetto all'anno precedente, secondo la società.

La tua migliore difesa: Backup, backup, backup

La soluzione per il ransomware è abbastanza semplice, almeno per ora. I consumatori e le piccole imprese con un buon processo di backup saranno in grado di recuperare gran parte dei dati crittografati dagli aggressori. Le aziende che eseguono backup in locale dovrebbero assicurarsi di poter recuperare un'immagine dei dati per mesi in passato e conservare più copie. Qualsiasi backup effettuato tra il momento dell'infezione e quando viene rilevato l'attacco verrà crittografato e quindi non recuperabile senza pagare il riscatto.

Per questo motivo, i backup online con backup incrementali automatici possono essere di grande aiuto, Brian Foster, chief technology ufficiale della ditta di sicurezza della rete Damballa, consigliato. Per lo meno, le aziende dovrebbero mantenere almeno un set di backup offsite.

"Sono un grande fan dei backup online", ha affermato. "Dovresti aspettarti che, se vieni colpito da ransomware, non riavrai il PC."

Un'altra possibile difesa: il Ransomware di solito raggiunge una chiave di crittografia da un server online. Rilevare e bloccare quella richiesta può impedire la crittografia dei dati.

Sfortunatamente per il rivenditore del New England, l'infezione ha rivelato che il programma di backup dell'azienda non funzionava correttamente da più di due anni. La compagnia non aveva altra scelta che pagare. Tuttavia, anche questo non è andato liscio: non riuscendo a gestire l'unità mappata, la routine di decrittazione del ransomware non è riuscita a decodificare più di 100 delle migliaia di file crittografati, lasciando crittografate informazioni finanziarie e sui clienti. Poiché lo schema di ransomware richiede la fiducia che i criminali consegneranno i dati dopo aver ricevuto il pagamento, gli operatori hanno offerto supporto al proprietario della società e persino offerto di provare a decrittografare i dati, se la società ha inviato i file. L'azienda declina.

L'infezione lascia il proprietario in imbarazzo. Mentre i criminali hanno detto che il sistema infetto dovrebbe essere pulito, John non si fida di loro in modo comprensibile.

"La paura, come persona IT, ti fa sentire come se avessi bisogno di formattare ogni unità nella rete", ha detto. "Non mi fido degli altri computer, ma sborseremo $ 10.000 per ricostruire la nostra infrastruttura?"

La società sta ancora valutando le sue opzioni.