Sicurezza
Si chiama “CryptoLocker” ed è un malware di tipo ransomware, comparso per la prima volta nel 2013, capace di infettare gravemente i sistemi Microsoft Windows, criptando i dati della vittima e richiedendo come “riscatto” (ransom in Inglese) un pagamento per la decriptazione.
Tra le vittime anche il sistema di archiviazione dati di un noto studio legale di Bari (Studio Polis Avvocati – Laforgia, Castellano, Di Cagno, Milani, Bello e Associati). L’unica alternativa a questo “dilemma del prigioniero” 2.0 tra pagare il riscatto e non pagare, perdendo così i dati, è difendersi con un sistema informatico di backup e recovery evoluto e dinamico come BIT (Back In Time Remote Backup).
L’ATTACCO
CryptoLocker generalmente si diffonde come allegato di posta elettronica, apparentemente lecito, che sembra provenire da istituzioni legittime. Avvalendosi del comportamento di default dei sistemi Microsoft Windows che non mostrano di default le estensioni dei file, un file ZIP allegato alla e-mail contiene un file eseguibile celato da una icona ed una estensione pdf.
Dopo essere stato scaricato e avviato da un utente ignaro, il malware entra in azione cominciando a criptare i dati presenti sulle unità disco locali del computer vittima, e diffondendosi a tutti i documenti compresi quelli raggiungibili tramite le condivisione di rete.
E’ appunto questo ciò che è successo allo Studio Polis, dove l’inaccortezza di un solo utente ha permesso al malware di compromettere i documenti di lavoro accessibili dalle cartelle condivise mappate localmente su ogni postazione informatica.
DOPO L’ATTACCO, IL RICATTO
Nonostante la presenza di una suite di sicurezza è molto probabile che CryptoLocker non sia individuato del tutto, o solo dopo che la cifratura è iniziata o è stata completata. Questa situazione è dovuta, in particolar modo, al fatto che il malware viene distribuito in nuove varianti/versioni differenti l’una dall’altra, che risultano essere sconosciute ai normali sistemi antivirus.
Se un attacco è ai primi stadi (occorrono diversi giorni perché sia completata la cifratura) la rimozione immediata del malware può significativamente ridurre la perdita di dati.
In assenza di backup, pagare risulta essere l’unico modo per riavere i file. Infatti, a causa della lunghezza della chiave crittografica utilizzata, si considera praticamente inefficace un attacco a forza bruta volto ad ottenere la decifratura dei dati. Il pagamento del riscatto consente all’utente di scaricare un software di decifratura con la chiave privata dell’utente già precaricata.
IL SALVATAGGIO DI BIT (by SER&P)
Dal momento che non è possibile prevenire in maniera deterministica un attacco di questo tipo, l’unico modo per recuperare i dati è di disporre di un piano di salvataggio dati implementato con sistemi di backup offline inaccessibili da rete.
E’ questo il caso di BIT (Back In Time Remote Backup), il servizio di backup remoto erogato dalla SER&Practices ed in uso presso lo Studio Polis, le cui caratteristiche di sicurezza (connessione cifrata su HTTPS, protezione dei dati con crittografia AES 256-bit) e flessibilità hanno permesso di creare delle copie consistenti e di tornare indietro nel tempo per risalire al momento precedente all’inizio dell’infezione recuperando così, in un colpo solo, tutti i dati prima che questi venissero criptati.
Un recupero del genere non sarebbe stato possibile con backup effettuati tramite software/servizi di sincronizzazione dati quali Dropbox, a meno di una notevole difficoltà operativa nell’individuare i singoli file non criptati.
AZIONE RAPIDA E INDOLORE
I tempi di ripristino dipendono esclusivamente dalla banda del cliente. Nel caso dello Studio Polis, una banda di appena 2 Mbits ha permesso di recuperare 10 GB di dati in circa 9 ore (dalle 06:14:01PM alle 03:16:43AM). L’operazione è stata effettuata nelle ore notturne, garantendo la continuità dell’operatività di tutto il personale dello studio legale.
Quanta sicurezza vorresti per i dati della tua azienda? Chiedici una soluzione su misura per te, CONTATTACI