Immagina, all’improvviso, di non poter più accedere ai file e alle applicazioni sul computer aziendale e di non riuscire a vedere nulla, se non una schermata di blocco.
In un istante, i tuoi dati vengono criptati, sono indecifrabili. Sei un medico, eppure, non riesci a recuperare le cartelle cliniche dei tuoi pazienti, a visualizzare il calendario degli appuntamenti o a scaricare il programma delle operazioni chirurgiche più delicate.
Mentre tutti i dipendenti ti fissano disperati, il PC si illumina e una scritta lampeggiante ti avverte che c’è solo un modo per riacquistare il controllo del sistema o riportare i dati in chiaro: pagare un riscatto.
No, non è la trama del prossimo colossal americano, ma un episodio di vita reale: e per essere precisi, quello che è successo il 12 maggio 2017 agli ospedali della Gran Bretagna, quando il virus informatico Wanna Cry – ovvero “Voglio Piangere”, una versione evoluta di Cryptolocker – ha infettato centinaia di migliaia di sistemi Microsoft Windows in tutto il mondo, compresi quelli del NHS, il Sistema Sanitario Britannico.
All’improvviso, dirigenti, medici, infermieri e personale amministrativo sono andati in tilt, non sono più riusciti ad accedere ai loro terminali, perdendo più di 90mila sterline, tra danno emergente e supporto IT per il recupero dei dati e (dell’operatività) dei sistemi. Questo è stato il costo sostenuto dal NHS.
Si è trattato di un attacco hacker mondiale di tipo Ransomware che ha messo in ginocchio più di 105 paesi (Italia inclusa), paralizzando più di duecentomila computer e colpendo alla cieca aziende, privati e organizzazioni.
Cosa sono i Ransomware?
Come dice il nome stesso (da ransom, in inglese “riscatto”), si tratta di malware che impediscono l’accesso al dispositivo colpito, bloccando l’operatività o criptando i dati (file, cartelle, archivi, qualsiasi cosa si trovi nell’hard disk).
L’attacco avviene tramite trojan: cioè tramite una mail contenente un link o un allegato “esca”, che una volta cliccato o scaricato, consente al virus di infettare il sistema, propagandosi anche a tutti gli altri PC collegati. Il blocco del sistema o la criptazione dei dati non sono altro che un tentativo di estorsione (c.d. riscatto elettronico): per poter ripristinare l’operatività del sistema o decriptare i dati bisogna infatti pagare un riscatto: cifre esorbitanti, che non garantiscono peraltro l’effettiva consegna della chiave di decriptazione.
Il computer infettato non può essere riavviato, ripristinato o altrimenti recuperato se non pagando la somma richiesta. Non ci sono altri modi. I danni sono incalcolabili: dal fermo aziendale alla perdita di anni di dati (per non parlare degli ordini ricevuti e pagati dai clienti), a cui si aggiungono i costi vivi di un intervento IT nella speranza di debellare il virus e ripristinare dati, applicazioni e sistemi. Il tutto con il rischio di esporsi a richieste di risarcimento danni da parte di eventuali terzi danneggiati o a cause civili (e penali) nelle ipotesi di data breach e diffusione non autorizzata di dati sensibili. Nel caso inglese, l’attacco hacker al NHS ha messo addirittura a rischio vite umane.
Da qui la gravità del virus Ransomware: non si tratta solo di una minaccia molto grave per le aziende (in termini di danni che è in grado di causare), ma di un programma maligno difficile da eliminare, una volta diffuso nel sistema.
I sistemi antivirus più tradizionali infatti non bastano: nè a proteggere contro di esso (occorre una soluzione specifica) né a rallentare la sua diffusione e/o arrestarla, recuperando dati e funzionalità del PC. Essendo una tipologia di minaccia relativamente nuova, i normali sistemi antivirus non la riconoscono in tempo e dunque non riescono a bloccarla.
Come proteggere la tua azienda da attacchi Ransomware
La soluzione ideale per tutelarsi è impedire a questo virus di infettare in primo luogo il sistema.
Per proteggere in modo effettivo la tua attività occorre quindi una soluzione specifica: un anti-Ransomware avanzato, appositamente studiato per questo tipo di minaccia, da aggiungersi a un normale antivirus di livello enterprise.
Ma perché?
Perché il virus Ransomware è una minaccia “nuova” e i sistemi informatici di protezione più tradizionali molto spesso non sono in grado di riconoscerla.
Un software antivirus funziona così: analizza qualsiasi file o programma presente (o in entrata) nel sistema, confrontandolo con le c.d. “virus signatures”, ovvero una sorta di catalogo di tutte le minacce note. Se il file o programma combacia, anche solo in parte, con le “definizioni” presenti, viene prontamente bloccato.
Se però la minaccia è piuttosto recente o specifica – come nel caso del Ransomware – un normale antivirus non può riconoscerla, perché la sua “firma” non è ancora stata inserita nel database. Non è quindi in grado di proteggere un computer da tutte le tipologie di minacce informatiche esistenti, soprattutto se in continua mutazione (esattamente come un vaccino contro l’influenza non è in grado di proteggerti con tutti i ceppi influenzali esistenti, soprattutto se ne spunta uno nuovo).
Software antivirus specializzati a riconoscere questo tipo di minaccia giocano proprio sulla loro capacità di riconoscere i Ransomware, non solo attraverso un database di definizioni molto ampio, ma anche tramite la loro capacità di profiling, cioè di analizzare il comportamento del sistema: se un programma si comporta in modo anomalo (es. inizia a criptare dei file), viene bloccato in via preventiva, in quanto interpretato come possibile minaccia.
È come se il tuo sistema immunitario entrasse subito in azione, anche in presenza di una malattia nuova (che non conosce), perché ha notato che alcune cellule del tuo corpo iniziano a ucciderne altre. E questa è comunque un’anomalia.
Il pacchetto “Sicurezza” MPS Brescia: Sophos Intercept X
Si tratta della soluzione proposta dal nostro team MSP Brescia: un pacchetto sicurezza completo e specifico che include Sophos Intercept X, una soluzione particolare anti-ransomware (che si aggiunge alle tradizionali misure di sicurezza informatica, come Firewall e Spamblocker).
Una soluzione completa, dinamica, sempre aggiornata, indipendente dal tipo di infrastruttura server (cloud, in-house etc.) o dal software di posta elettronica utilizzato: insomma, che si integra facilmente con la tua azienda.
Come per i pacchetti a canone “Firewall” e “Backup”, anche il pacchetto “Sicurezza” è un servizio gestito: oltre a installare il software antivirus su tutti i PC aziendali, tramite una console centrale in Cloud, monitoriamo lo status di tutti i dispositivi e se captiamo la minaccia, la blocchiamo, individuando il trojan. L’obiettivo è impedire al virus di infettare i terminali e, in caso di infezione, individuarne subito l’origine e impedirne il diffondersi. Abbiamo visto come proteggere la tua azienda da attacchi Ransomware, evitando di perdere il lavoro di anni e gravi danni economici: scegliendo un antivirus completo.