Giornata mondiale del backup: importanza e la situazione in Italia

Giornata mondiale del backup

Ogni 31 Marzo viene celebrata la Giornata mondiale del backup, che evidenzia l’importanza della protezione dei dati, in Italia e nel mondo.

La perdita di dati è solitamente improvvisa e inaspettata. In particolare, essendo vittime di crimini informatici, come phishing, truffa o frodi, le aziende subiscono la perdita di informazioni piuttosto importanti.

Secondo i risultati di un’indagine Aruba-Bva Doxa su 300 PMI italiane, il 27% delle piccole e medie imprese italiane non possiede un backup, dato che sale fino al 43% tra le sole piccole imprese.

Il dato più significativo è che il 71% non è nemmeno interessato ad introdurne soluzioni neanche nel lungo periodo. Questo è il risultato di una bassa consapevolezza sui rischi: la maggior parte del campione ritiene infatti di avere pochi dati da salvaguardare sminuendo il valore degli stessi e non è in grado di stimare i possibili danni derivanti da un attacco, ad oggi purtroppo sempre più frequenti.

L’importanza del backup, non solo in occasione della giornata mondiale

Nonostante l’opinione di tantissime aziende italiane, i backup sono una misura di sicurezza imprescindibile. Proteggerli e assicurarne la correttezza è una condizione per assicurarne l’efficacia.

Con i backup, proteggi la tua azienda da ransomware e altri malware che possono bloccare i tuoi file o addirittura cancellarli. In caso di violazione dei dati, puoi ripristinarli riducendo al minimo i danni che il cybercriminale può fare. I backup sono fondamentali anche per il ripristino di emergenza: se il tuo supporto di archiviazione principale si guasta, puoi ripristinare i tuoi dati dal backup.

Inoltre, nonostante alcune aziende adottino una politica di ritorno in ufficio, un numero crescente di dipendenti continua a lavorare fuori dall’ufficio o all’interno di un ambiente di lavoro ibrido.

Processi e best practice

Adottando solide best practice di backup, le aziende possono stare un passo avanti rispetto ai cybercriminali.

In troppi attacchi ransomware, uno dei tipi di minaccia più comuni, le vittime avrebbero potuto infatti evitare costi significativi, grazie ad una solida strategia di backup.

Di seguito alcune best practice per il backup dei dati in azienda:

  • Assicurati che i backup siano aggiornati e includano tutti i dati necessari per ripristinare il tuo sistema
  • Segui la regola del 3/2/1: tre copie dei tuoi dati archiviate su due diversi tipi di supporto e una copia remota
  • Archivia i tuoi backup in un luogo sicuro, preferibilmente fuori sede
  • Verifica di eseguire il backup dei dati nelle applicazioni cloud
  • Assicurati che i dati di backup siano crittografati e non possano essere modificati
  • Esegui frequentemente il backup. La frequenza dipende dai reparti e le applicazioni
  • Automatizza quando possibile. I backup devono essere monitorati e testati regolarmente per garantirne l’integrità
  • Archivia tutte le tue password in un gestore apposito.
  • Crea un piano di comunicazione di backup per garantire che le parti interessate siano a conoscenza di procedure, responsabilità e tempi e testa spesso il tuo piano di recupero.

Infine, i backup dovrebbero sfruttare sia il disco che il cloud. Questo tipo di combinazione è probabilmente la strategia di backup più efficace. Quando i dati sono prontamente disponibili su un disco locale, le aziende possono sfruttare tempi di ripristino piuttosto rapidi. Con il cloud, i backup remoti riducono al minimo il rischio di malware, disastri o altre minacce.

Hai bisogno di un aiuto professionale per impostare i backup e aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Bricofer, l’azienda italiana colpita dal ransomware LockBit 2.0

Bricofer LockBit 2.0

Bricofer Italia, azienda specializzata nella vendita al dettaglio di materiali edili, utensileria e hobbistica, è stata di recente vittima di un attacco di hacking: il ransomware LockBit 2.0.

Cosa è successo a Bricofer Italia durante l’attacco di LockBit 2.0

Il gruppo ransomware attaccante, LockBit, ha denunciato l’attacco e fatto partire il conto alla rovescia per la pubblicazione online dei dati rubati. Per capire che cos’è successo bisogna tornare al 28 dicembre 2021, quando i sistemi dell’azienda sono stati attaccati.

I cyber criminali hanno estratto circa 2000 file con dati contabili e informazioni sensibili sui clienti titolari della “carta fedeltà”, fra cui indirizzi email e documenti di identità e non c’è stato accordo fra i titolari dell’azienda e i cyber criminali.

A fare notizia è sicuramente il silenzio dell’azienda colpita. Niente comunicati stampa, aggiornamenti sul sito, niente avvisi ai clienti coinvolti. Una situazione che si ravvisa sempre più di frequente in Italia, man mano che le vittime di attacchi cyber aumentano.

Un atteggiamento in contrasto con una normativa che impone la denuncia dell’accaduto entro 72 ore. Una best practice, operata da aziende mature e responsabili, prevede invece un aggiornamento tempestivo di clienti e fornitori di quanto accade, con la massima trasparenza.

Cos’è e in cosa consiste il LockBit

Si è trattato di un attacco ransomware con la tecnica del doppio ricatto. LockBit 2.0 è un ransomware relativamente nuovo, ma divenuto molto popolare e conosciuto in poco tempo. Un RaaS particolarmente famoso in Italia per il suo coinvolgimento negli attacchi contro la Regione Lazio e Accenture. A livello internazionale è stato il gruppo più attivo nel terzo trimestre 2021, con oltre 200 vittime.

Lo scopo primario di un’infezione da LockBit è quello di impattare quanto più possibile il business delle organizzazioni che colpisce, al fine di spingerle strategicamente verso una trattativa dove il pagamento del riscatto risulti sempre la via più facile e sicura per garantire il ripristino delle attività.

Quasi la totalità delle vittime sono infatti imprese commerciali alle quali viene chiesta una cifra media che varia fra gli 80 ed i 100 mila dollari di riscatto.

Tale cifra può cambiare di molto in base alla tipologia ed al settore in cui opera la vittima.

Come proteggersi da simili minacce?

Il ransomware che si diffonde attraverso i criteri di gruppo rappresenta l’ultima fase di un attacco.

L’attività dannosa dovrebbe diventare evidente molto prima, per esempio quando i criminali informatici entrano per la prima volta nella rete o tentano di hackerare il controller di dominio.

Per raggiungere lo scopo i cybercriminali usano spesso tecniche di ingegneria sociale ed e-mail di phishing per ottenere l’accesso iniziale.

Nel caso delle imprese, per evitare che i propri dipendenti cadano in questi trucchi, occorre migliorare la loro consapevolezza della sicurezza informatica con una formazione costante ed aggiornata.

LockBit rappresenta una minaccia molto importante per organizzazioni pubbliche e private.

Con moltissima probabilità continuerà a ricevere miglioramenti ed aggiornamenti: pertanto è consigliabile adottare ogni precauzione e pratica per scongiurare un simile attacco ed evitare spiacevoli conseguenze.

Hai bisogno di un aiuto professionale per aumentare la sicurezza dei tuoi device? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.

Attacchi hacker con furto dati: perché sta capitando a tante aziende e come difendersi

attacchi-hacker

Anche Campari Group è stata recentemente colpita da un attacco ransomware con la tecnica del doppio riscatto: due terabyte di dati trafugati e la minaccia di pubblicarli se l’azienda non pagherà 15 milioni di dollari.

Con il riscatto i criminali – il gruppo Ragnar Locker – darebbero anche un decryptor e consigli di sicurezza. Lo stesso gruppo, con tecnica simile, ha colpito Capcom la scorsa settimana, con minaccia di pubblicazione o vendita all’asta dei dati, tra cui documenti fiscali, proprietà intellettuali, dati personali di clienti e dipendenti, inclusi quelli di identità e documenti con accordi e contratti aziendali.

L’attacco è stato tempestivamente notificato alle autorità competenti per la protezione dei dati, alla Polizia Postale italiana e all’FBI.

Ad avere comunicato l’avvenuto è Bleeping Computer.

Ecco perché c’è un boom di attacchi hacker e quali regole deve seguire un’azienda per difendersi.

Attacco del doppio riscatto, i danni per le aziende colpite

Riassumendo, un’azienda colpita da attacchi hacker come crittazione, furto e minaccia di pubblicazione subisce molteplici danni.

  • Perdita di dati e indisponibilità temporanea di servizi a causa della crittografia. Prima, quando i criminali si limitavano a crittografare i dati sulle macchine delle vittime, c’erano solo questi danni.
  • La pubblicazione comporta perdita di: proprietà intellettuali (nelle mani di possibili concorrenti), immagine e reputazione (quindi perdita di clienti e valore in borsa); rischi di sanzioni privacy milionarie ai sensi del Gdpr.

Dato che i danni possibili aumentano, stanno crescendo anche i riscatti, che sono a loro volta milionari. Ma come risulta da un rapporto Coveware, non è detto che i criminali cancellino i dati dopo il pagamento e quindi il ricatto può continuare.

Se i dati riguardano inoltre le infrastrutture critiche di un Paese, dall’attacco derivano anche considerazioni di sicurezza nazionale.

Non solo Campari, boom di attacchi hacker simili nel 2020

Nel 2020, con un crescendo da settembre, abbiamo avuto simili attacchi hacker a Enel, a Geox, uno al gruppo Carraro, a Luxottica e ora appunto Campari, tanto per citare solo grandi aziende italiane.

Questo è avvenuto principalmente a causa del covid-19, che ha un grosso ruolo nella crescita degli attacchi di questo tipo, perché lo smart working amplia la superficie di attacco e rende più difficile controllare la sicurezza del perimetro.

Il fenomeno riguarda tutto il mondo, come registrato nello speciale pandemia che il Clusit presentare a novembre con il loro nuovo rapporto. Per l’Italia, Exprivia calcola invece che nel secondo trimestre del 2020 i crimini informatici sono aumentati di oltre il 250% rispetto ai primi tre mesi dell’anno (171 rispetto a 47).

Perché il doppio attacco è di moda

Ma perché adesso i criminali solo soliti non limitarsi più a crittografare i dati ma a rubarli? Ovvio che conviene di più a loro ma allora ci si può chiedere perché non ci hanno pensato prima. Prima non avevano bisogno di sottrarre i dati; era più semplice crittografarli con un malware direttamente sulle macchine senza fare download e storage in cloud degli stessi. Ma poi le aziende hanno imparato a fare back up, per recuperare i dati senza pagare, e così, per dare un nuovo incentivo al pagamento i criminali stanno anche minacciando la pubblicazione.

In generale gli attaccanti stanno facendo evolvere e specializzare le proprie tecniche.

Che fare contro i nuovi ransomware degli attacchi hacker

Se è evidente che questa forma di attacco è potenzialmente più dannosa del tradizionale ransomware, meno evidente è la ricaduta in termini di azioni che le aziende devono porre in essere per prevenire questi attacchi.

Nel caso di ransomware tradizionale, infatti, gli esperti hanno sempre consigliato il ricorso a buone pratiche di backup e sistemi di disaster recovery aggiornati allo stato dell’arte, così da rendere inefficace la violazione ed evitare di scendere a patti con i criminali. Questa modalità di azione è indirizzata a misure di natura reattiva, volte a mitigare un incidente già avvenuto, riducendo drasticamente (ma non eliminando del tutto) i possibili impatti.

In caso di estrazione di dati, il baricentro dell’azione di cybersecurity dell’azienda deve spostarsi di nuovo sul rafforzamento della capacità di prevenzione ed in particolare in due direzioni:

  • capacità di prevenzione delle infezioni da malware, che deve basarsi sempre più su strumenti in grado di identificare i “comportamenti anomali” del software che opera sui nostri sistemi (i.e. lanciare ad esempio un allarma se un software cifra dei dati, o accede a moltissimi documenti, o invia grandi quantità di dati all’esterno dell’organizzazione). Si tratta quindi di strumenti di analisi da installare su endpoint, server e nei nodi critici della rete, basato non più solo sul rinascimento di pattern di infezioni note, ma su tecniche di machine learning;
  • protezione intrinseca dei dati: negli ultimi mesi abbiamo compreso come la semplice password non sia più sufficiente a proteggere l’identità digitale delle persone, e che l’autenticazione a due fattori è, di fatto, la nuova “misura minima”. Allo stesso modo, dobbiamo considerare che i dati, se in chiaro sui sistemi, sono da ritenere vulnerabili. La cifratura deve diventare il modo “normale” di gestire le informazioni digitali, e quando parliamo di cifratura si intende non tanto quella dei dischi, ma la cifratura applicativa, quella che rende il dato inutilizzabile anche in caso di furto dei dati dal database, o dai file dal nostro computer o terminale mobile. Abbiamo anche un motivo in più per farlo: se i dati sono cifrati, e le persone a cui tali dati si riferiscono non corrono pertanto dei rischi dall’attacco informatico, l’organizzazione non è tenuta a segnalare agli interessati l’incidente informatico (in tal caso il data breach ai sensi del GDPR), assicurando quindi una maggiore tutela della reputazione rispetto al mercato di riferimento.

Vuoi evitare che la tua azienda sia coinvolta in queste spiacevoli situazioni? Contatta Assitech.Net, i tuoi sistemi non saranno più un problema.