Ransomware: in Italia il 39% delle vittime paga il riscatto

Tratto da www.bitmat.it

Autore: Redazione BitMAT – 31/03/2021

Il 43% non è comunque stato in grado di recuperare le informazioni rubate

Un recente studio globale di Kaspersky ha mostrato che, nel 2020, il 39% degli italiani vittima di ransomware ha pagato il riscatto per ripristinare l’accesso ai propri dati. Tuttavia, il 43% non ha comunque recuperato le informazioni rubate. Fortunatamente, gli utenti sono sempre più consapevoli in tema di sicurezza informatica e questo è un ottimo segnale per la lotta contro i ransomware.

Il ransomware è un tipo di malware che viene utilizzato per estorcere denaro. In questo tipo di attacchi, viene usata la crittografia per impedire agli utenti di recuperare i propri dati o di accedere al proprio dispositivo.

Guardando ai dati a livello globale e alle fasce di età degli intervistati, nel 2020, gli utenti di età compresa tra 35 e 44 anni si sono dimostrati i più propensi a pagare il riscatto con il 65% di persone che ha dichiarato di averlo fatto. Inoltre, più della metà (52%) degli utenti di età compresa tra i 16 e i 24 anni e solo l’11% di quelli di età superiore ai 55 anni hanno versato denaro ai criminali, dimostrando che gli utenti più giovani sono più propensi a pagare un riscatto rispetto a quelli di età superiore ai 55 anni.

Tra gli italiani intervistati che hanno subito un attacco ransomware, il 33% ha dichiarato di aver perso quasi tutti i suoi dati. Indipendentemente dal fatto che abbiano pagato o meno, in Italia solo l’11% delle vittime è stato in grado di ripristinare tutti i file criptati o bloccati dopo l’attacco. Il 17%, invece, ne ha persi solo alcuni mentre il 22% non è riuscito a recuperarne una quantità significativa.

“Questi numeri mostrano che una percentuale significativa di utenti, negli ultimi 12 mesi, ha pagato un riscatto per recuperare i propri file. Purtroppo, pagare non garantisce nulla, anzi incoraggia i criminali informatici a proseguire con i loro attacchi e consente a questa pratica di prosperare, ha commentato Marina Titova, Head of Consumer Product Marketing presso Kaspersky. Per proteggersi gli utenti dovrebbero prima di tutto investire nella protezione e nella sicurezza dei propri dispositivi e fare regolarmente il backup di tutti i dati. Questo renderebbe l’attacco stesso meno redditizio per i criminali informatici, riducendo la diffusione di queste minacce e garantendo un futuro più sicuro per gli utenti del web.”

Oggi, il 28% ha sentito parlare dei ransomware negli ultimi 12 mesi. È importante che questa percentuale di persone consapevoli aumenti man mano che cresce il lavoro da remoto ed è fondamentale che gli utenti capiscano come comportarsi in presenza di un ransomware.

Kaspersky raccomanda di:

Non pagare il riscatto se il dispositivo è stato bloccato, questo incoraggerebbe i criminali a continuare nelle estorsioni. Si consiglia di contattare le forze dell’ordine locali e segnalare l’attacco
Cercare di scoprire il nome del trojan ransomware. Queste informazioni possono aiutare gli esperti di cybersecurity a decifrare e risolvere la minaccia
Visitare noransom.kaspersky.com per scoprire gli ultimi decryptor, i tool per la rimozione dei ransomware e le informazioni su come proteggersi da queste minacce
Evitare di cliccare sui link presenti nelle email spam o su siti web sconosciuti e non aprire gli allegati delle email inviate da utenti di cui non ci si fida.
Non inserire mai chiavi USB o altri dispositivi rimovibili di archiviazione nel proprio computer se non si è certi della loro provenienza
Proteggere il proprio computer dai ransomware con una soluzione completa di sicurezza online come Kaspersky Internet Security
Eseguire il backup dei dispositivi in modo che i propri dati rimangano al sicuro in caso di attacco

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

Veeam Backup & Replication v11

Tratto da Blog Veeam

Autore: Danny Allan – 24/02/2021

Veeam Backup & Replication v11 è arrivato. Con le sue numerose capacità, è in grado di aiutare i clienti ad accelerare il loro percorso di trasformazione digitale.

Qui di seguito sono elencate le 5 funzionalità peculiari della nuova versione:

1. Continuous Data Protection

Veeam rivoluzionerà il mercato democratizzando completamente gli obiettivi Recovery Point Objectives (RPO) per gli ambienti VMware. La Continuous Data Protection (CDP) di Veeam offrirà una grande resilienza per carichi di lavoro critici con RPO estremamente ridotti, riducendo al minimo la perdita di dati e ripristinando allo stato o al point-in-time più recente. Oltre alla facilità d’implementazione, i clienti Veeam adotteranno questa tecnologia per la flessibilità e la convenienza, e perché è inclusa in un prodotto che molte organizzazioni già utilizzano. Non solo il CDP è incluso in Veeam Backup & Replication, ma è anche integrato in Veeam ONE e Veeam Disaster Recovery Orchestrator.

2. Protezione dal ransomware affidabile

Le minacce ai dati sono numerose. Nell’ultimo anno, tutti abbiamo assistito a un massiccio aumento di attacchi ransomware, minacce informatiche ed eventi malware e questa tendenza non è destinata a diminuire. Veeam sostiene da tempo la necessità di avere almeno una copia dei dati di backup su una copia immutabile, fisicamente isolata o offline come parte integrante della regola 3-2-1 ed è orgogliosa di aver fornito diverse opzioni per la protezione dal ransomware. L’ultima innovazione nella protezione dal ransomware all’interno della V11 offre un ulteriore modo per mantenere i tuoi dati al sicuro. Questa capacità consente a un repository Linux con protezione avanzata di fornire una copia immutabile su qualsiasi sistema Linux, in qualsiasi posizione, on-premises o nel cloud. Questa modalità consente di mantenere i backup al sicuro, prevenendo la crittografia e la cancellazione dannose, ed è ancora un altro strumento nel tuo arsenale di sicurezza.

3. Archiviazione nel cloud

La V11 consentirà ai clienti Veeam di ridurre i costi di storage a lungo termine di oltre 20 volte e di sostituire l’infrastruttura a nastro con una soluzione moderna. Lo storage ad accesso infrequente (“freddo”) di AWS S3 Glacier o Azure Blob Archive è un’ottima integrazione alla gestione basata su policy all’interno del tiering dello storage intelligente di Scale-out Backup Repository di Veeam: Performance, Capacity e ora Archive. Automatizza la gestione del ciclo di vita dei dati.

4. Ripristino istantaneo

La V11 si basa su una delle funzionalità distintive di Veeam, il ripristino istantaneo. Ora i clienti Veeam possono raggiungere gli obiettivi Recovery Time Objectives (RTO) più bassi con il ripristino istantaneo predisposto per la produzione per condivisioni di file SQL, Oracle e NAS con un’incredibile facilità d’uso! Quest’ultima versione include anche la possibilità di ripristinare istantaneamente QUALSIASI backup come una VM Hyper-V, aggiungendo un’incredibile flessibilità di ripristino.

5. BaaS e DRaaS basati su Veeam

Veeam dispone da tempo di molti modi per utilizzare i prodotti come servizio. Che si tratti di backup off-site, Disaster Recovery as a Service (DRaaS), Backup as a Service (BaaS) on-premises, Infrastructure as a Service protetto da Veeam e altre offerte, c’è sempre un servizio per soddisfare le esigenze del mercato. La V11 incorpora il BaaS e il DRaaS come vantaggi per i clienti di alto livello, in combinazione con il rilascio della Veeam Service Provider Console v5.

Oltre 150 funzionalità nuove e migliorate

Queste funzionalità principali sono al centro dell’attenzione, ma in realtà questa release così importante contiene anche molto altro. Oltre ad avere oltre 150 funzionalità nuove e migliorate, la V11 introduce importanti aggiornamenti anche in altri prodotti:

Veeam Backup & Replication v11 – Backup e ripristino
- Veeam Agent for Microsoft Windows v5
- Veeam Agent for Linux v5
- NUOVO Veeam Agent for Mac
- Integrazione con Veeam Backup for AWS e Veeam Backup for Microsoft Azure per la protezione dei carichi di lavoro nativi su cloud
- Plug-in nuovi e aggiornati per applicazioni aziendali come Oracle e SAP
Veeam ONE v11 – Monitoraggio e analisi avanzati
Veeam Backup for Microsoft Azure v2 – Protezione nativa su cloud
Veeam Disaster Recovery Orchestrator v4 (già noto come Veeam Availability Orchestrator) – Orchestrazione e test automatizzati del ripristino del sito
Veeam Service Provider Console v5 – Gestione dei provider di servizi.

Come per tutte le altre release di Veeam, ci sono sicuramente tante funzionalità e caratteristiche essenziali, ma non bisogna trascurare le piccole novità che ne entrano a far parte.

Queste novità comprendono nuove funzionalità come l’integrazione nativa su cloud per AWS e Azure, più protezione dei dati NAS e non strutturati, job ad alta priorità, supporto per l’object storage di Google Cloud all’interno del Capacity Tier, supporto di snapshot storage per Windows Agent e molto altro. Si tratta di una release ad alto contenuto tecnologico, completamente in linea con la missione di Veeam: essere il provider più affidabile delle soluzioni di backup che offrono la gestione dei dati in cloud.

Per ulteriori informazioni: dircom@argonavis.it

Sangfor HCI – Alta Affidabilità Iperconvergente per la Business Continuity – Registrazione Webinar

Iperconvergenza di 3° Generazione – Virtualizzazione server e storage, Alta affidabilità, Disaster Recovery, Networking e Security riuniti in un’unica soluzione e gestiti da un’unica piattaforma

Il 16 febbraio scorso il nostro partner Sangfor ha tenuto una sessione tecnica in DEMO Live della soluzione HCI con lo scopo di dare l’esatta percezione della semplicità di utilizzo in tutte le sue funzionalità:

Unica console di management centralizzata in HTML5,
creazione e gestione di VM e Virtual Storage,
Network virtualizzato e Security,
Backup e ripristino,
integrazione e gestione degli UPS.

E’ possibile accedere alla registrazione del webinar tecnico cliccando qui

Sangfor HCI offre soluzioni di Business Continuity, dalle architetture più semplici, partendo con minimo 2 nodi in direct attach, alle più complesse, contando sulla scalabilità a caldo senza limiti né vincoli di terze parti.

Per ulteriori informazioni o chiarimenti: dircom@argonavis.it

Hanno cifrato i vostri dati: e adesso?

Tratto da: Blog Kaspersky

Autore: Chris Connell – 18/02/2021

Ecco come ridurre al minimo le conseguenze di un attacco ransomware aziendale

A volte, nonostante tutte le precauzioni, un’infezione riesce a insinuarsi nella vostra rete. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuirà a determinare se l’incidente diventerà un enorme grattacapo per l’azienda o sarà il suo fiore all’occhiello grazie a un’eccellente gestione della crisi.

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.

Step 1: individuare e isolare

Il primo passo è quello di determinare la portata dell’intrusione. Il malware si è diffuso in tutta la rete? In più di un ufficio?

Cominciate a cercare i computer e i segmenti di rete infetti nell’infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.

Se l’azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR e dei file log firewall. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all’altro e controllate.

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM. Questo non eliminerà tutto il lavoro successivo di passaggio da un dispositivo all’altro, ma è un buon inizio per delineare il quadro generale.

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell’indagine (se l’azienda non può permettersi il tempo di inattività dei computer, create comunque le immagini, e salvate il dump della memoria per l’indagine).

Step 2: analizzare e agire

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, più le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano più una minaccia. Si potrebbe iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.

Ora è il momento di analizzare il ransomware, capire come è entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper, un RAT, un Trojan loader o qualcosa di simile lo ha installato. È necessario sradicare quel qualcosa.

Per farlo, conducete un’indagine interna. Scavate nei log per determinare quale computer è stato colpito per primo e perché quel computer non è riuscito a fermare l’assalto.

Sulla base dei risultati dell’indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.

Step 3: fare pulizia e ripristinare

A questo punto, avrete già gestito la minaccia alla rete, così come la relativa falla da cui è passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono più necessari per l’indagine, formattate le unità e poi ripristinate i dati con il backup pulito più recente.

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ciò che si trova sulle unità. Iniziate dal sito No Ransom di Kaspersky, dove potrebbe già esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l’esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un’attività criminale, e comunque, le possibilità di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere più soldi. In alcuni casi, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un’ulteriore somma di denaro, minacciando di pubblicare tutto se non l’avessero ottenuta.

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell’incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onestà sono importanti e saranno sempre qualità apprezzate.

Step 4: prendere misure preventive

Un grande incidente informatico equivale sempre a grossi problemi; perciò, la prevenzione è la miglior cura. Preparatevi in anticipo a ciò che potrebbe andare storto:

Installate una protezione affidabile su tutti gli endpoint della rete (compresi gli smartphone);
Segmentate la rete e dotatela di firewall ben configurati; meglio ancora, utilizzate un firewall di nuova generazione (NGFW) o un prodotto simile che riceva automaticamente i dati sulle nuove minacce;
Guardate oltre l’antivirus e fate uso di potenti strumenti di caccia alle minacce;
Impiegate un sistema SIEM (per le grandi aziende) per ricevere notifiche immediate;
Informate i dipendenti sull’importanza della cybersecurity mediante sessioni regolari e interattive di formazione.

Come creare un cluster di failover in Windows Server 2019

Tratto da Blog Veeam

Autore: Hannes Kasparick – 15/12/2020

Questo articolo offre una breve panoramica su come creare un Cluster di failover di Microsoft Windows (WFC) con Windows Server 2019 o 2016. Il risultato sarà un cluster a due nodi con un disco condiviso e una risorsa di calcolo del cluster (oggetto computer in Active Directory).

Preparazione

Indipendentemente dall’uso di macchine fisiche o virtuali, assicurati che la tua tecnologia sia adatta ai cluster Windows. Prima di iniziare, accertati di soddisfare i seguenti prerequisiti:

Due macchine Windows 2019 con gli ultimi aggiornamenti installati. Le macchine hanno almeno due interfacce di rete: una per il traffico di produzione, una per il traffico del cluster. Nel mio esempio, sono presenti tre interfacce di rete (una aggiuntiva per il traffico iSCSI). Preferisco gli indirizzi IP statici, ma è possibile usare anche il DHCP.

Unisci entrambi i server al dominio Microsoft Active Directory e assicurati che rilevino il dispositivo di storage condiviso disponibile nella gestione disco. Non portare ancora online il disco.

Il passaggio successivo prima di poter davvero iniziare è aggiungere la funzionalità Clustering di failover (Server Manager > Aggiungi ruoli e funzionalità).

Riavvia il server, se necessario. In alternativa, puoi anche utilizzare il seguente comando di PowerShell:

Install-WindowsFeature -Name Failover-Clustering –IncludeManagementTools

Dopo la corretta installazione, Gestione cluster di failover viene visualizzato nel menu Start in Strumenti di amministrazione Windows.

Dopo aver installato la funzionalità Failover-Clustering, puoi portare online il disco condiviso e formattarlo su uno dei server. Non modificare nulla sul secondo server. Sul secondo server, il disco rimane offline.

Dopo un aggiornamento della gestione disco, viene visualizzato qualcosa di simile a questo:

Server 1 Gestione disco (stato del disco online)

Server 2 Gestione disco (stato del disco offline)

Controllo della disponibilità del cluster di failover

Prima di creare il cluster, dobbiamo assicurarci che tutto sia impostato correttamente. Avvia Gestione cluster di failover dal menu start e scorri verso il basso fino alla sezione di gestione, quindi fai clic su Convalida configurazione.

Seleziona i due server per la convalida.

Esegui tutti i test. C’è anche una descrizione delle soluzioni supportate da Microsoft.

Dopo esserti assicurato che tutti i test applicabili siano stati superati con lo stato “riuscito”, puoi creare il cluster utilizzando la casella di controllo Crea il cluster ora utilizzando i nodi convalidati, oppure puoi farlo in un secondo momento. In caso di errori o avvisi, è possibile utilizzare il report dettagliato facendo clic su Visualizza report.

Creare il cluster di failover

Se scegli di creare il cluster facendo clic su Crea cluster in Gestione cluster di failover, ti verrà chiesto di nuovo di selezionare i nodi del cluster. Se utilizzi la casella di controllo Crea il cluster ora utilizzando i nodi convalidati dalla procedura guidata di convalida del cluster, salterai quel passaggio. Il passaggio successivo rilevante è la creazione del Punto di accesso per l’amministrazione del cluster. Questo sarà l’oggetto virtuale con cui i client comunicheranno in seguito. È un oggetto computer in Active Directory.

La procedura guidata richiede il Nome cluster e la configurazione dell’indirizzo IP.

Come ultimo passaggio, conferma tutto e attendi la creazione del cluster.

La procedura guidata aggiungerà automaticamente il disco condiviso al cluster per impostazione predefinita. Se non l’hai ancora configurato, è possibile farlo anche in seguito.

Al termine, vedrai un nuovo oggetto computer di Active Directory denominato WFC2019.

È possibile eseguire il ping del nuovo computer per verificare se è in linea (se consenti il ping sul firewall di Windows).

In alternativa, puoi creare il cluster anche con PowerShell. Il comando seguente aggiungerà automaticamente anche tutto lo spazio di storage idoneo:

New-Cluster -Name WFC2019 -Node SRV2019-WFC1, SRV2019-WFC2 -StaticAddress 172.21.237.32

Puoi vedere il risultato in Gestione cluster di failover in Nodi e nelle sezioni Archiviazione > Dischi .

L’immagine mostra che il disco è attualmente utilizzato come quorum. Poiché vogliamo utilizzare quel disco per i dati, dobbiamo configurare manualmente il quorum. Dal menu contestuale del cluster, scegli Altre azioni > Configurazione impostazioni quorum per il cluster.

Qui vogliamo selezionare manualmente il quorum di controllo.

Attualmente, il cluster utilizza il disco configurato in precedenza come disco di controllo. Le opzioni alternative sono controllo di condivisione file o un account di storage di Azure come controllo. In questo esempio utilizzeremo il controllo di condivisione file. Ecco una guida dettagliata sul sito Web di Microsoft per il cloud di controllo. Consiglio sempre di configurare un quorum di controllo per operazioni corrette. Quindi, l’ultima opzione non è in realtà un’opzione per la produzione.

Basta indicare il percorso e terminare la procedura guidata.

Dopodiché, il disco condiviso è disponibile per l’uso con i dati.

Congratulazioni, hai configurato un cluster di failover Microsoft con un disco condiviso.

Passaggi successivi e backup

Uno dei passaggi successivi consiste nell’aggiungere un ruolo al cluster, un’operazione che non rientra nell’ambito di questo articolo. Non appena il cluster contiene dei dati, è arrivato il momento di pensare a eseguire il backup del cluster. Veeam Agent for Microsoft Windows è in grado di eseguire il backup dei cluster di failover di Windows con dischi condivisi. Consigliamo inoltre di eseguire backup dell’intero sistema del cluster. In questo modo si esegue anche il backup dei sistemi operativi dei membri del cluster, contribuendo ad accelerare il ripristino di un nodo del cluster guasto, poiché non è necessario cercare driver o altro in caso di un ripristino.