Molti utenti pensano a OneDrive come a uno spazio di archiviazione cloud per il backup. Tendono a pensare che i file memorizzati in OneDrive siano invulnerabili alla perdita e alla corruzione. In altre parole, alcuni credono che i file memorizzati in un cloud pubblico non possano essere danneggiati da ransomware, a differenza dei file memorizzati sui dischi rigidi dei computer locali e dei server in locale. Non è completamente vero! I file memorizzati in OneDrive possono essere attaccati da ransomware, crittografati e persi come risultato.
La popolarità degli attacchi ransomware cresce ogni anno. Tuttavia, se segui le raccomandazioni e osservi le politiche di sicurezza, puoi mantenere i tuoi dati al sicuro anche quando li archivi in OneDrive. Questo post del blog illustra le strategie per proteggere i dati in OneDrive e spiega come proteggerti dagli attacchi ransomware.
Informazioni su OneDrive e ransomware
Il ransomware può infettare OneDrive? Sì, i file memorizzati su OneDrive possono essere infettati e crittografati con ransomware in questi casi:
- OneDrive è montato su una cartella locale su un computer locale e i file memorizzati in OneDrive vengono sincronizzati con la cartella locale associata. Se un computer locale è infettato da ransomware, ransomware crittografa tutti i file accessibili, inclusi i file memorizzati nella cartella sincronizzata con OneDrive. Di conseguenza, se accedi a OneDrive tramite un’interfaccia web, vedrai file crittografati (in altre parole, corrotti). Il ransomware può iniziare a crittografare One Drive, quindi il ransomware crittografa altri dischi e tutte le posizioni di archiviazione accessibili.
- Se un attaccante ottiene le tue credenziali, i file accessibili dal tuo account utente possono essere crittografati con ransomware.
- Cliccando sui link di phishing si causa il download ed esecuzione di virus, malware e ransomware sul computer della vittima. Il ransomware corrompe i file ai quali accede.
- Gli add-on e le estensioni maligne che ti chiedono di concedere autorizzazioni per accedere a OneDrive sono pericolosi e possono essere punti di ingresso per un’infezione da ransomware. Leggi attentamente la descrizione degli add-on e delle estensioni e controlla il fornitore prima di installarli.
Quanto è sicuro OneDrive? OneDrive è sicuro? Quanto è sicuro OneDrive? Queste domande sono popolari tra i nuovi utenti di Microsoft 365. OneDrive è abbastanza sicuro. Tuttavia, dovresti sapere come proteggerti dagli attacchi ransomware, seguire le raccomandazioni di sicurezza e sapere cosa fare se noti che OneDrive è stato compromesso. Microsoft ha presentato una nuova funzione integrata di rilevamento del ransomware, che individua attività sospette come eliminazioni di massa o crittografia di file memorizzati in OneDrive. L’utente viene avvisato con un messaggio di allerta sul dispositivo dell’utente e via email. Viene anche visualizzata una lista di raccomandazioni. Ma ciò che vuoi è evitare che il ransomware di OneDrive corrompa i tuoi file. Leggi come proteggere le cartelle dal ransomware nella sezione successiva di questo post del blog.
Come Proteggere OneDrive da un Attacco Ransomware
In questa sezione, spiego come proteggerti dal ransomware e definisco strategie di protezione dal ransomware per OneDrive. Seguire queste raccomandazioni riduce il rischio di essere infettati da ransomware e di perdere dati.
Proteggi le credenziali
Proteggi le credenziali dell’amministratore di Microsoft 365. Rubando le credenziali di un amministratore, un attaccante può rubare e danneggiare tutti i dati di un’organizzazione memorizzati nell’archivio OneDrive (compresi tutti i dati di tutti gli utenti dell’organizzazione).
Proteggi le credenziali degli utenti. Rubare gli account degli utenti consente agli aggressori di accedere ai loro dati personali e condivisi, distribuire ransomware e infettare file. Quando i file memorizzati nell’archivio OneDrive condiviso sono infettati, anche altri utenti che accedono all’archivio condiviso possono essere infettati.
Abilita l’autenticazione a due fattori. Microsoft 365 supporta l’autenticazione multi-fattore. Questo passaggio di sicurezza aggiuntivo può aiutare gli utenti a proteggere i propri account dall’essere compromessi e dalle credenziali rubate. Si consiglia di utilizzare l’autenticazione multi-fattore o la verifica in due passaggi per proteggere gli account Microsoft 365 con permessi amministrativi. Ecco un post di blog su autenticazione a due fattori per Microsoft 365.
Proteggi ogni computer
Proteggi i computer nella tua organizzazione. Installa e configura software antivirus e antimalware. Seguire questa raccomandazione riduce il rischio di ransomware che infetta i computer degli utenti e i file memorizzati nelle cartelle OneDrive sincronizzate su questi computer (archiviazione OneDrive mappata su cartelle locali). Non dimenticare i server e le macchine virtuali.
Blocca l’esecuzione di file memorizzati in %appdata%, %localappdata%. Per impostazione predefinita, queste directory vengono utilizzate dalle applicazioni in Windows per memorizzare dati. I file temporanei e i dati scaricati possono essere situati qui. Quando vengono scaricati file ransomware, possono essere mascherati e nascosti in queste cartelle, e poi possono essere eseguiti.
Blocca le macro nei documenti di Microsoft Office. Le macro sono raramente utilizzate per compiti aziendali, ma sono una fonte di seri problemi. Un metodo di infezione ampiamente utilizzato è distribuire documenti con macro dannose, che avviano un attacco ransomware per infettare un computer e quindi diffondersi su una rete per infettare altri computer.
Aggiorna il software e installa patch di sicurezza per correggere le vulnerabilità software note che possono essere utilizzate da ransomware per penetrare ed infettare un sistema. Puoi abilitare gli aggiornamenti automatici del software per Windows e le applicazioni. Se la tua configurazione di sicurezza è imperfetta, gli aggressori possono utilizzare vulnerabilità del software non aggiornate per avviare un attacco ransomware. Ecco perché installare le patch è importante.
Educa gli utenti
Educa gli utenti a riconoscere gli attacchi di phishing. Gli aggressori presumono spesso che gli utenti non siano esperti e che scarichino tutti i file allegati alle email, aprano i file e clicchino su tutti i link. Il nostro compito è informare gli utenti sulle minacce e insegnare loro come identificare contenuti sospetti.
Il vettore di attacco ransomware più diffuso è l’invio di email di phishing agli utenti. Un link maligno è progettato per sembrare un link legittimo ma reindirizza l’utente al download e all’installazione del ransomware. Passa sopra il link e controlla l’ortografia nell’indirizzo URL. Se anche un solo carattere è errato, evita di fare clic sul link. L’indirizzo email di un mittente, analogamente ai link, può essere contraffatto. Se non conosci un mittente e non desideri ricevere messaggi da questo mittente, è meglio saltare o rifiutare l’email da questo mittente. Non scaricare e aprire file allegati ai messaggi di posta elettronica. Ricorda la minaccia dell’apertura di documenti Word/Excel con macro.
I link dannosi nei messaggi di posta elettronica e le pagine web false sono pericolosi. Gli aggressori possono creare pagine false e inviare link in messaggi di posta elettronica a queste pagine false. Una pagina falsa assomiglia alla pagina originale, ma fare clic sugli elementi sulla pagina o inserire credenziali può portare alla perdita di un account o all’infezione da ransomware.
Anche se l’indirizzo del sito web è reale e legittimo, sii consapevole che gli aggressori possono hackerare i siti web e fare iniezioni dannose in quel sito. Dopo aver visitato un sito web del genere, un utente può essere infettato da ransomware. Un buon software antivirus aggiornato può prevenire l’infezione in questo caso.
Un aggressore può utilizzare tecniche di ingegneria sociale e etichette come “urgente”, “importante”, ecc. nei messaggi di posta elettronica per spingere una vittima e deviare la loro attenzione dal controllare il contenuto. Stai attento quando ricevi messaggi da Skype e altri servizi. Tieni presente che un aggressore può hackerare un account utente e inviare messaggi da quell’utente. In questo caso, un account utente è reale, ma un link o un file inviato dall’account hackerato può costituire una minaccia.
Quando gli utenti sono formati per riconoscere contenuti sospetti, i rischi di un attacco ransomware tramite email di phishing sono significativamente inferiori. È sempre meglio prevenire gli attacchi ransomware su OneDrive piuttosto che ripristinare file corrotti.
Utilizzare sistemi di protezione email
Utilizzare Exchange Online Protection. Questo strumento nativo di Microsoft 365 consente di configurare filtri di protezione aggiuntivi, come il filtro dei collegamenti sicuri e il filtro degli allegati sicuri.
Configurare le politiche anti-phishing. Exchange Online Protection può individuare mittenti fidati, mittenti sospetti, file allegati che costituiscono una minaccia e collegamenti contraffatti e maligni verso siti infetti. I mittenti contraffatti e le email indesiderate possono essere bloccati nelle impostazioni.
Bloccare i contenuti attivi nei file allegati come macro in documenti Word/Excel, VBScript e JavaScript. Leggere il post sul blog su Exchange Online Protection per ulteriori informazioni su questa funzione.
Utilizzare sistemi di protezione cloud
Abilita Microsoft 365 Defender nel tuo ambiente Microsoft 365. Microsoft 365 Defender è il nuovo nome di Office 365 Advanced Threat Protection (Microsoft Defender per Office 365). Questa funzionalità ti aiuta a ridurre il rischio di infezione da ransomware per gli utenti di Microsoft 365 nella tua organizzazione. Le principali caratteristiche di Microsoft 365 Defender sono la rilevazione intelligente delle minacce, l’indagine automatizzata e la protezione integrata contro sofisticati attacchi di ransomware. Microsoft 365 Defender può essere configurato nel centro sicurezza di Microsoft 365. Quando gli utenti vengono istruiti e il software intelligente è abilitato, il livello di protezione è molto più elevato.
Utilizza il versioning
Abilita il versioning (cronologia delle versioni) nelle impostazioni di OneDrive. Se il ransomware crittografa gli oggetti archiviati in OneDrive, solo l’ultima versione dei file viene crittografata. Puoi selezionare una versione precedente del file e recuperare i file necessari. Non dimenticare che prima di procedere al recupero dei file, è necessario rimuovere il ransomware dai computer infetti per evitare di crittografare nuovamente i file. Tieni presente che il recupero di migliaia di file tramite il ripristino delle versioni precedenti dei file richiede tempo, e avere un adeguato backup di OneDrive ti permetterà di risparmiare tempo e risorse in questo caso. La cronologia delle versioni di OneDrive ti consente di recuperare i file archiviati in OneDrive a qualsiasi versione modificata nell’ultimo mese. Verifica le impostazioni di conservazione per i file eliminati (archiviati nel cestino) per OneDrive.
Configura le politiche di conservazione. Le politiche di conservazione di Microsoft 365 definiscono quanto tempo i dati sono conservati dopo averli cancellati prima che questi dati siano eliminati in modo permanente. Notare che l’archiviazione dei dati conservati nel cloud utilizza spazio di archiviazione, che può portare a costi aggiuntivi.
Copia sicura i dati conservati in OneDrive
Copia sicura i dati conservati in OneDrive. Alcune delle opzioni indicate sopra potrebbero non essere disponibili per tutti i piani di abbonamento Microsoft 365 e probabilmente sono disponibili solo per i piani di abbonamento di punta. Microsoft consente di richiedere supporto e di ripristinare tutti i dati negli archivi cloud di Office 365 entro due settimane da un incidente di perdita di dati, ma non esiste un’opzione per il ripristino granulare e non è possibile selezionare gli oggetti necessari da ripristinare.
Conserva i backup nel cloud o sul territorio in un posto sicuro. Un repository di backup deve essere ben protetto e non condiviso con altri utenti (deve essere accessibile solo dal software di backup e dagli amministratori).
Copia i dati con NAKIVO Backup & Replication.
Utilizza NAKIVO Backup & Replication per proteggere OneDrive. NAKIVO Backup & Replication supporta il backup dei dati di Microsoft 365, inclusi i dati presenti in OneDrive, Exchange Online e SharePoint Online. Puoi eseguire il backup dei dati di OneDrive e creare fino a 4.000 punti di ripristino, per successivamente ripristinare le versioni necessarie dei file utilizzando questi punti di ripristino. Il ripristino granulare ti consente di recuperare file e cartelle personalizzati degli utenti nella posizione originale o in una posizione personalizzata. Un’istanza di NAKIVO Backup & Replication può proteggere migliaia di account utente di Office 365. I dati di OneDrive vengono salvati in repository di backup in loco memorizzati su server locali. La configurazione viene effettuata nell’interfaccia web intuitiva.
Leggi altri articoli sul recupero da ransomware, gli attacchi ransomware ai dispositivi NAS per saperne di più sul principio di funzionamento e sulla protezione contro i ransomware.
Come recuperare i file di OneDrive.
Se i tuoi file sono stati crittografati da ransomware, non pagare un riscatto. Pagare un riscatto incentiva gli attaccanti a lanciare ulteriori attacchi per ottenere più soldi. Se paghi il riscatto, non hai alcuna garanzia di recuperare completamente o parzialmente i tuoi file. Se ti rendi conto che i tuoi file di OneDrive sono stati crittografati dopo un attacco ransomware, dovresti recuperare i dati utilizzando gli strumenti nativi di Microsoft o da un backup utilizzando un software di protezione dati di terze parti.
In primo luogo, rimuovere il ransomware installato su tutti i computer dell’organizzazione. Se le funzionalità native di Microsoft 365 sono abilitate per gli account degli utenti nell’organizzazione, recuperare i file di OneDrive da versioni precedenti o dal Cestino (compreso il Cestino di secondo livello). In caso di backup, ripristinare i dati da esso.
Maggiori informazioni sul backup e sul ripristino di OneDrive con NAKIVO Backup & Replication sono disponibili in questo post.
In conclusione
, in questo post sono state illustrate le strategie per proteggere OneDrive dagli attacchi ransomware e sono state fornite alcune raccomandazioni di alto livello che possono aiutarvi a prevenirli. È necessario proteggere i dati a livello tecnico – configurare le impostazioni di sicurezza per tutti i software utilizzati su tutte le macchine e configurare il backup dei dati. Inoltre, è opportuno educare gli utenti su come riconoscere le possibili richieste di avviare attacchi ransomware, poiché gli attaccanti spesso usano uno dei pochi metodi per avviare gli attacchi ransomware su OneDrive tramite utenti regolari.
Il backup è il metodo più affidabile per ripristinare i dati in caso di corruzione da parte del ransomware. Usare NAKIVO Backup & Replication per proteggere i dati memorizzati in OneDrive.
Source:
https://www.nakivo.com/blog/protecting-onedrive-against-ransomware/