Il virus Ransomware.CryptoLocker arriva in Romagna, come mettersi in sicurezza

Alcuni consigli su come prevenire il problema del virus che rapisce tutti i tuoi dati e chiede un riscatto per riaverli, e come comportarsi se si viene colpiti.

In questi ultimi giorni ho ricevuto alcune segnalazioni di conoscenti della zona che hanno subito l’attacco del virus Ransomware.CryptoLocker su cui avevamo dato l’allarme nel precedente post del 6 Dicembre.

Alcuni giornali locali hanno affrontato il caso fornendo alcune indicazioni e consigli, non tutti, a mio parere, utili e corrette; purtroppo le semplificazioni giornalistiche a volte possono essere più pericolose del male stesso.

Articolo uscito su Carlino che descrive il caso del virus che prende in ostaggio i dati e chiede un riscatto
Articolo uscito su Carlino che descrive il caso Ransomware.CryptoLocker, il virus che prende in ostaggio i dati e chiede un riscatto

Procediamo con ordine. In primo luogo su come evitare di prendere, in azienda, questo virus che tipicamente viene installato direttamente dall’utente finale, quando ignaro apre un allegato che gli arriva via email o installa un programma sconosciuto scaricato da internet.

  • Utilizzare un servizio di posta elettronica che sia dotato di un servizio di antivirus integrato, come Google Apps e questo eviterà che il virus arrivi via email.

[su_spacer size=”10″]

  • Installare un buon antivirus (sinceramente non credo molto all’efficacia dei servizi gratuiti) anche se avete un Mac: potreste essere portatori sani del virus e poi attaccare un pc o il server aziendale. In Farnedi ICT usiamo e consigliamo F-Secure Managed, che è sicuramente più costoso di altre soluzioni ma garantisce la supervisione costante del proprio pc da parte di un nostro tecnico, esiste anche per Mac.

[su_spacer size=”10″]

  • Utilizzare un Firewall dotato di filtri antivirus e intrusion detection service che protegga la rete aziendale e fermi anche questo tipo di minaccia. Noi consigliamo SonicWall ed i servizi di sicurezza Deep Discovery (consulta Best Practices to protect against CryptoWall and CryptoLocker).

[su_spacer size=”10″]
Ricordo che tali dispositivi minimi di sicurezza sono obbligatori per legge – Legge 196/2003 Sicurezza e Privacy – in tutte le aziende che dispongano di computer connessi a Internet, esistono sanzioni nel caso non si adempia questa  norma.
[su_spacer size=”20″]
Per saperne di più abbiamo interpellato Massimo Castelli, Privacy & Data Protection Officer | Specialista ICT-TLC & Security che collabora con Farnedi ICT per fornire ai nostri clienti consulenze su questa delicata materia:
[su_spacer size=”20″]
[su_icon_text color=”#4c4c4c” icon=”icon: quote-left” icon_color=”#d8d8d8″ icon_size=”40″]Massimo CastelliRicordo che il trattamento di dati è considerato per il nostro ordinamento giuridico (ex art. 2050 Codice Civile“esercizio di attività pericolose”.

In tutte le aziende che trattano dati personali e/o sensibili con strumenti elettronici (connessi o non connessi ad Internet), è obbligatorio assicurare un livello minimo di protezione mediante l’adozione di idonee e preventive misure di sicurezza (riferimento d.Lgs 196/2003 art. da 33 a 36 del Codice e allegato B) quali, per esempio:

  • adozione di procedure di gestione delle credenziali di autenticazione (da aggiornare ogni 3/6 mesi in base alla tipologia di dati trattati);
  • proteggere da potenziali illeciti e accessi non consentiti, i dati custoditi all’interno degli strumenti elettronici (antivirus, firewall, etc);
  • adottare procedure per la custodia di copie di sicurezza e ripristino dei dati e dei sistemi (back-up, disaster recovery);
  • utilizzare tecniche di cifratura quando si trattano determinati dati sensibili.

Il motivo? Semplice, in primo luogo per proteggere i dati custoditi in azienda che sono, oggi più che mai, dei veri e propri asset aziendali; in secondo luogo per prevenire sanzioni pecuniarie pesantissime (ex art. 161 comma 2-bis d.Lgs 196/2003 minimo € 10.000,00 max € 120.000,00) e talvolta, anche procedimenti penali a carico del Titolare del trattamento dei dati (ex art. 169 d.Lgs 196/2003 punibile con arresto sino a due anni) da parte delle autorità preposte alla vigilanza sul corretto trattamento dei dati personali e/o sensibili (Autorità Garante per la protezione dei dati personali, Nucleo speciale Guardia di Finanza). Oltretutto non dimentichiamoci che i provvedimenti sanzionatori pubblicati sul sito del Garante Privacy, sono un pessimo ritorno di immagine per l’azienda stessa.

Un consiglio da esperto? Prevenire è assolutamente meglio che curare in quanto il “risparmio economico” (se lo vogliamo chiamare così) ottenuto dal non adottare i giusti strumenti, è ampiamente superato dalle previste sanzioni pecuniarie e giudiziarie.[/su_icon_text]

[su_spacer size=”20″]

La prevenzione e la formazione del personale, prima di tutto quando si parla di sicurezza informatica

La prima difesa consiste nella prevenzione e, valutando se si è a norma con la legge sulle misure minime di sicurezza, in secondo luogo consiste nella formazione al personale che opera in ufficio. In passato troppo spesso la norma è stata interpretata come una problematica strettamente amministrativa, affidando la sua gestione a consulenze del commercialista o dell’associazione di categoria (CNA o Confcommercio) che raramente approfondiscono l’aspetto tecnico e pratico della norma.

Quello che risulta tanto più tragi-comico negli episodi che abbiamo incontrato, è il fatto che si sia ricorso poi ad una denuncia alla Polizia Postale che oltre a non poter sortire nessun effetto pratico, vista la mancanza giurisdizionale e l’impossibilità tecnica di intervenire efficacemente, può produrre solo un effetto boomerang in quanto evidenzia da parte dell’azienda una carenza di intervento minimo rispetto alla legge – Legge 196/2003 Sicurezza e Privacy – sopra citata.

Questo potrebbe produrre un’ulteriore denuncia ed un’eventuale ispezione da parte degli organi competenti, ovvero la Guardia di Finanza.

Come mi devo comportare se contraggo il virus?

Si dovrebbe poter ricorrere al backup dei dati, anch’esso obbligatorio secondo la Legge 196/2003 quando tali dati costituiscono strumento di lavoro la cui perdita possa causare danni a persone ed imprese.

Un buon sistema di backup dovrebbe essere progettato per difendersi anche da questo tipo di attacco informatico, i casi di perdita dati:

[su_spacer size=”10″]

[su_spacer size=”10″]

Di norma si esegue su due livelli: una che preveda una copia locale mirror, atta a fornire un’efficace e veloce ripresa dei servizi aziendali (in chiave di business continuity), ed una copia remota incrementale per garantire un restore sicuro nei casi di perdita dati con indice superiore all’8 (vedi l’articolo sul disaster recovery).

Di fatto in taluni casi, il virus attacca anche la copia di backup locale rendendo inutile il backup stesso.

Devo ammettere che quando sento questo tipo di storie, con aziende che rischiano ingenti danni economici a causa della perdita di dati aziendali, e poi scopro che non era presente nessun sistema di sicurezza, firewall, antivirus e backup, non mi sento di compatirli…

Il non rispettare le norme, che ribadisco impongono una corretta policy di sicurezza, è spesso indice di avidità ed ignoranza (tutti deprechiamo le aziende che per fare illeciti guadagni lesinano sulla sicurezza del lavoro, delle attività e dei propri dipendenti solo per risparmiare!).

Una serie di controverse statistiche prese dalla rete afferma che 80% delle società che non dispongono di un disaster recover plan, se dovessero subire un ingente perdita di dati, chiuderebbero entro un anno (personalmente non sono propenso a credere a questi numeri, ma è indubbio che il colpo risulta essere particolarmente pesante per chiunque lo subisca).

Ma se i miei dati sono stati corrotti e non ne ho una copia, come mi posso comportare?

Ammesso che i dati di backup non siano disponibili o leggibili, non appena si scopre di essere vittima di questo tipo di attacco, la cosa principale che bisogna fare è isolare il computer dal resto della rete e spegnere tutti i pc.

Chiamare poi un consulente tecnico esperto ed effettuare una immediata bonifica di tutti i pc.

Il virus utilizza un sistema di codifica che da quanto mi è dato sapere – non ho mai avuto la sfortuna di affrontare personalmente un caso concreto – non è aggirabile, e pertanto una possibilità alternativa alla copia di backup può essere utilizzare un servizio di recupero dati cancellati, iRecovery per farne un esempio.

Ransomware.CryptoLocker in particolare, cancella i dati dopo averne fatto una copia criptata, è pertanto ragionevole pensare che si possano recuperare dal disco, almeno parzialmente, tramite le varie procedure di recupero dati.

Attenzione! La procedura può essere costosa, forse quanto pagare il riscatto – il recupero di un disco da 1Tb costa sui 600 € – ma perlomeno è una procedura legale e lecita.

Il disco infetto deve essere prima estratto dal pc (sul quale si installerà un nuovo disco con programmi sicuri) poi i tecnici di competenza lo spediranno presso un centro di recupero specializzato.

In conclusione

Se temete di essere allo scoperto sotto il punto di vista della sicurezza informatica, richiedete un consulto da parte di un Privacy Officer ed un Risk Manager per fare un audit della vostra azienda.

[su_spacer size=”10″]

[su_button url=”https://www.farnedi.it/contact/” style=”ghost” background=”#c41210″ color=”#7f7f7f” size=”5″ radius=”0″ icon=”icon: mail-forward” icon_color=”#7f7f7f” onclick=”history.back(-1)”]RICHIEDI UN PREVENTIVO[/su_button]

[su_spacer size=”15″]

Se invece siete arrivati su questo articolo cercando una soluzione immediata al problema del Vs pc oggetto di un attacco informatico, vi consiglio di rivolgerVi al più presto ad team di tecnici informatici specializzati (noi della Farnedi ICT siamo a vostra disposizione) e non pagate il riscatto!

 

[su_icon_text color=”#4c4c4c” icon=”icon: camera” icon_color=”#d8d8d8″ icon_size=”15″ url=”http://www.equinux.com/us/products/maildesigner/index.html”]Ransomware illustration Photograph: Jonathan Edwards[/su_icon_text]