Difesa dagli attacchi ransomware

Gli attacchi ransomware destano ancora molta preoccupazione nell’ambiente ICT. Dal report sulle minacce informatiche redatto da Trend Micro riferito al primo semestre 2018 emerge un dato preoccupante: l’Italia è il paese più colpito d’Europa ed è nella top ten mondiale dei paesi aggrediti da attacchi di tipo ransomware.

Si tratta di di un attacco che mira a crittografare tutti i file presenti nei sistemi e nei volumi di rete ad esso connessi. Agisce in modo silente finché non si palesa con una richiesta di riscatto in bitcoin.

Difesa dal ransomware

Pagare il riscatto non aiuta

In teoria, ma non vi è alcuna certezza, pagando l’importo richiesto si dovrebbe ricevere la chiave per decriptare i file e ripristinare la situazione. In realtà è possibile che l’aggressione si sia verificata da una variante del ransomware non più attiva e monitorata dai cybercriminali quindi nessuno spedirà mai nulla in cambio del pagamento del riscatto, lasciandoci i file criptati e inaccessibili.

Molte varianti ransomware sono rilevate dagli antivirus (purché aggiornati) ma spesso è lo stesso utente a compiere l’azione infettante, ad esempio aprendo l’allegato di una e-mail dal contenuto sospetto. Dunque come proteggersi?

Volumi di rete a rischio

Questo tipo di attacco aggredisce principalmente i file memorizzati sul disco rigido della macchina infetta ma, successivamente, passa ad aggredire anche i file accessibili tramite i volumi locali USB e di rete, questi ultimi molto utilizzati in ambito aziendale e SOHO.

Si presume che tali volumi di rete siano sottoposti a regolari procedure di backup ma il rischio è che l’infezioni si propaghi anche a tali volumi, se accessibili dalla macchina infetta, distruggendo di fatto anche le copie di sicurezza.

Il versioning

Una possibile protezione dei dati sottoposti a backup è il versioning, ovvero una particolare tecnica di backup che conserva anche le versioni precedenti dei file e non soltanto l’ultima versione modificata.

In questo modo, anche in seguito all’azione crittografica del ransomware, sarà comunque possibile ripristinare la versione precedente del file interessato e tornare rapidamente alla piena operatività. In questo modo è possibile applicare una strategia efficace di difesa dal ransomware.

Tuttavia applicare un processo di backup non significa necessariamente essere sicuri di avere tale funzionalità di versioning attiva.

Il NAS come soluzione al ransomware

Tra i dispositivi di rete più adatti agli scenari aziendali riveste un ruolo di particolare importanza il NAS, ovvero un dispositivo in grado di archiviare in modo sicuro grandi quantità di informazioni. Per maggiori informazioni sul ruolo e le funzioni del NAS puoi consultare questo post: http://www.adacom.it/2010/06/nas-dati-al-sicuro/

Tra i numerosi NAS disponibili in commercio utili per la difesa dal ransomware segnaliamo il QNAP TS-251+, un modello entry-level ma ricco di caratteristiche interessanti, basato su soli due dischi rigidi ma in grado di gestire in modo efficiente il backup con versioning.

Il modello in questione è disponibile su Amazon a questo indirizzo https://amzn.to/2CLUM4q ed è in vendita a poche centinaia di Euro, ai quali va aggiunto il costo dei due dischi rigidi da inserire.

Il “fratello maggiore”, basato su 4 dischi, è il modello TS-451+ disponibile qui: https://amzn.to/2CLYL0X

Avendo 4 dischi a disposizione si presta ad configurazioni più avanzate (ad es. RAID-5 e RAID-6).

Caratteristiche dettagliate del QNAP TS-251+

Il modello preso in considerazione, con due dischi, è un NAS quad-core Intel ad alte prestazioni con supporto HDMI, transcodifica e virtualizzazione per privati e aziende.

Come riporta la stessa QNAP con questa unità è possibile:

  • Centralizzare l’archivio file, condividere ed eseguire il backup con prestazioni eccellenti
  • Eseguire più macchine virtuali basate su Windows®, Linux®, UNIX® e Android™ con Virtualization Station
  • Utilizzare più sistemi Linux® isolati e scaricare app con container con Container Station
  • Sfruttare la migliore esperienza audio-video con l’uscita HDMI e il telecomando gratuito
  • Transcodifica di video Full HD immediata o offline*
  • Trasmettere file multimediali tramite DLNA®, AirPlay®, Chromecast™ e Bluetooth® con il controllo multimediale multi-zona
  • Ricercare rapidamente file specifici mediante una ricerca naturale, in tempo reale con Qsirch
  • Scalabile fino a 10 unità con unità d’espansione UX-800P QNAP

NetBak Replicator di QNAP supporta il backup dei dati pianificato e in tempo reale su Windows inclusa l’archiviazione delle e-mail Outlook. Apple Time Machine® è supportata anche per fornire agli utenti Mac® OS X una soluzione di facile backup dei dati su TS-251+.

La porta USB 3.0 nel pannello anteriore di TS-251+ offre la funzione copia immediata per eseguire istantaneamente il backup dei dati da unità esterne a TS-251+ o da TS-251+ a unità esterne con un solo clic. Sono supportati numerosi software di backup di terzi come Acronis® True Image e Symantec® Backup Exec.

Disaster recovery e difesa dal ransomware

In merito alle funzioni di disaster ricovery e versioning, anche in difesa dal ransomware, la stessa QNAP riporta che il TS-251+ offre diverse opzioni di ripristino dei dati. RTRR (Real-Time Remote Replication) supporta il backup di dati pianificato e in tempo reale su QNAP NAS o server FTP remoti e sincronizza i file in cartelle remote da cartelle locali con maggiore efficienza.

È possibile usare la versione di backup per conservare una determinata quantità di versioni, con opzioni di versioning semplice, per pianificare quante versioni conservare e per quanto tempo, oppure di versioning intelligente, con uno schema di rotazione che sostituisce automaticamente le versioni di backup meno recenti. TS-251+ supporta inoltre il protocollo rsync per il backup dei dati su server remoti secondo una pianificazione, il tutto utile per una efficace difesa dal ransomware.

I dati possono anche essere sottoposti a backup e ripristinati da una serie di servizi di archiviazione cloud, compresi Amazon® S3, Amazon® Glacier, Microsoft® Azure, ElephantDrive®, Dropbox®, Google Drive™, Google Cloud Storage™, e molto altro per una difesa dal ransomware completa e ben articolata.