Dopo quasi dieci anni durante i quali i vari tipi di malware non distruggevano i dati, il ransomware ha riportato in auge un vecchio tema di lotta contro i vari tipi di malware.
Il ransomware è quel tipo di software ostile che blocca in qualche modo l’accesso ai file degli utenti per chiedere poi un riscatto (ransom).
Lo scorso anno CryptoLocker è diventato relativamente famoso e in quattro mesi di vita ha già fatto moltissime vittime. Negli ultimi giorni è stato annunciato Prison Locker (originale su Pastebin), un nuovo tipo di ransomware che cripta ogni tipo di file accessibile di un’installazione Windows, con l’eccezione degli eseguibili e dei file di sistema.
Questa nuova famiglia di malware impone una revisione delle politiche di backup.
La proliferazione di NAS e storage removibili a basso prezzo ha provocato negli ultimi anni un mutamento delle strategie di backup. Dal privato fino anche alla media azienda i backup (quando vengono fatti…) sono spesso realizzati copiando i dati dallo storage di produzione (disco locale, server) ad uno storage rimovibile connesso direttamente (USB o similari) oppure ad uno o più NAS dislocati anche in punti lontani dallo storage da proteggere.
Il fattore che accomuna tutte queste strategie è che sia i dati sia i backup sono online, ovvero leggibili e scrivibili a livello di accesso file dal computer che viene protetto. In altre parole, dal computer l’utente può scegliere di aprire sia il file di lavoro sia il backup. In alcuni casi l’accesso è limitato ad alcune finestre temporali perché la procedura di backup monta i dischi di rete solamente durante le operazioni, ma in quel momento i dati nello storage di backup sono accessibili e, ovviamente, scrivibili da un PC.
Se questa strategia di backup è molto efficiente anche per il ripristino dei dati (un utente può essere istruito su come fare un restore per conto proprio), è vulnerabile ad un attacco di ransomware. Quando questo tipo di software ostile si installa in un computer inizia a cifrare i file presenti sul disco locale e poi passa ai dischi di rete. Spesso le persone lasciano il computer acceso, in questo caso un computer infetto ha tutto il tempo di fare il danno che vuole.
L’unica soluzione è tornare ad avere una politica di backup che includa uno storage offline e, quindi, un intervento umano. I NAS avevano abituato bene le persone pigre che vogliono automatizzare tutto a costi addizionali prossimi a zero; purtroppo questo genere di automatismi ha un pericoloso rovescio della medaglia. La buona notizia rispetto ai vecchi DAT a 4mm è che è molto più probabile riuscire a rileggere i dati salvati su un hard disk.
Molti NAS possono automatizzare la sincronizzazione di una parte dei dati su uno storage esterno collegato via USB oppure con un altro NAS, altri NAS hanno un’opzione che avvia la sincronizzazione tramite la pressione di un tasto fisico.
L’importante è comunque avere almeno due set di backup offline, ovvero eseguiti periodicamente (una volta la settimana, ad esempio) su dispositivi che rimangono normalmente spenti e sconnessi dalla rete (meglio se collocati in luoghi diversi, ma questo non influisce sulla protezione da ransomware).
Chi utilizza servizi di backup online potrebbe essere tutelato dall’accesso diretto del malware ai backup, ma potrebbe rischiare di aggiornare il backup con le versioni cifrate dei file. Alcuni servizi online garantiscono un certo storico dei file, ma potrebbe non essere una bella idea affidarsi solamente a questa caratteristica del servizio.
Per quello che si sa fin’ora, i dati a rischio sono quelli accessibili tramite dischi di rete di Windows montati con varie tecnologie, in pratica i file che vedete da File Explorer. I ransomware non riescono per ora a modificare direttamente i file di rete accessibili con tecniche diverse, come rsync o altri protocolli, ma rimane il problema analogo a quello descritto per i backup su servizi online.
Lascia un commento