Attacchi Ransomware: recuperare i dati cancellati è possibile

giovedì 29 ottobre 2020 di Mauro Aiello

I numeri non mentono. Basta solo contare fino a 14...ecco ora è stato appena sferrato un attacco ransomware verso un’azienda! 

Alcune stime indicano che i secondi scenderanno a 11 nel 2021.

La domanda che gli esperti ormai si pongono non è “Come possiamo evitare che l’azienda venga attaccata?”, ma “Quando sarà attaccata, saremo pronti per rispondere?”

Nessuna azienda è al sicuro: gli attacchi colpiscono la Pubblica Amministrazione, le grandi multinazionali e le piccole imprese locali.

I principali canali di diffusione dei malware sono le email di phishing, il download del virus all'insaputa dell’utente tramite visite a siti compromessi, software e tool all'apparenza innocui scaricati gratuitamente dalla rete. 

Ransomware - costi e numeri di una epidemia

Gli attacchi ransomware hanno ormai raggiunto una diffusione paragonabile ad una epidemia.

Symantec afferma che gli attacchi aumentano del 12% ogni anno

Secondo alcune stime, i danni causati dai ransomware a livello globale si attesteranno a 11,5 miliardi di dollari nel 2019, per arrivare alla soglia di 20 miliardi nel 2021!

Spesso i server sono il bersaglio principale degli attacchi. In questo modo gli hacker colpiscono le proprie vittime nel loro punto più critico, ovvero i database su cui sono archiviate le informazioni e i dati più importanti per l’operatività dell’azienda stessa. 

Le ripercussioni economiche generate da possibili attacchi non possono essere sottovalutate dalle aziende: troppo spesso si assiste alla completa interruzione delle attività produttive.

È quindi opportuno sapere come difendersi e come rispondere ad un attacco. Per questo ogni business deve pianificare le azioni da intraprendere all’interno del proprio Disaster Recovery Plan.

L’FBI afferma che nel 2018 ha ricevuto 1.493 denunce di attacco e che la somma complessiva del riscatto pagato dalle vittime è pari a $3.621.857, sebbene il consiglio di tutti gli esperti di cyber security sia quello di non pagare mai quanto richiesto dagli hacker.

Chi paga il riscatto infatti non ha alcuna garanzia di poter accedere nuovamente ai dati e che il sistema aziendale possa tornare alla sua normale attività. 

Secondo lo studio annuale condotto da Accenture Security, in Italia il costo medio per azienda per gestire un caso di attacco hacker e violazione della sicurezza dei sistemi ha subito un incremento del 19% nel 2018, con importi pari a 8 milioni di dollari.

A livello globale invece tale costo sale a 13 milioni di dollari, con un aumento pari al 12%.

Oltre ai rischi economici, gli effetti di un attacco possono portare a conseguenze rovinose, come la cancellazione definitiva dei dati aziendali, che potrebbe compromettere seriamente la sopravvivenza dell'azienda stessa.

Le cattive notizie però non sono ancora finite.

Nella peggiore delle ipotesi il malware utilizzato dagli hacker oltre a criptare i dati sul media direttamente infettato potrebbe anche provocare la cancellazione di tutte le copie di backup, come ad esempio i backup Veeam o quelli su tape. 

La notizia positiva è che in questo caso le moderne tecnologie e il dovuto know-how rendono ancora possibile recuperare i dati.

Cosa fare in caso di attacco? Come contenere un attacco e ripristinare i dati

Holger Engelland, Manager Data Recovery Engineering di Ontrack, afferma che “Non si deve perdere tempo quando viene rilevato un attacco. Appena si manifestano i primi segnali” occorre:

  • Spegnere e disconnettere immediatamente il sistema infetto dal network, per mettere quest'ultimo in sicurezza

  • Clonare i dischi più importanti prima di apportare qualsiasi modifica

  • Cercare un tool di decriptazione e verificare che possa essere efficace contro la tipologia di infezione malware subita, sebbene i criminali informatici siano sempre un passo avanti.


Una volta contenuta l’infezione, si passa alla fase di ripristino dei dati. “Se un'azienda ha adottato accuratamente la regola del backup 3-2-1 è semplice ripristinare i dati e reimpostare tutti i sistemi. Tuttavia è necessario assicurarsi che i backup stessi non siano infetti”, conclude Engelland.

Se, come anticipato, l’infezione ha cancellato o corrotto i dati, e non è quindi possibile ripristinarli con un decryption tool o dalle copie di backup, optare per un recupero dati professionale potrebbe essere l’unica soluzione.

Ontrack, grazie a strumenti proprietari e all’esperienza maturata gestendo numerosi casi di recupero dati è in grado di aiutare le aziende a riprendere le proprie attività in tempi rapidi e risolvere con successo anche gli interventi più delicati di perdita dati. 

La regola del Backup 3-2-1:

Crea almeno 3 copie dei tuoi dati.

Conserva questi backup su 2 supporti diversi.

Archivia 1 backup all'esterno dell'organizzazione.

Bisogna però sottolineare quanto segue: 

  1. Se il backup, benché effettuato su una partizione diversa da quella attaccata o su un altro server, si trova all'interno dello stesso network del media bloccato potrebbe essere a sua volta infettato.

  2. I tape, pur essendo considerati la soluzione di backup più sicura, non sono completamente immuni. Gli hacker attraverso semplici console di comando, note come “Command Line”,  riescono a formattare singoli nastri o intere librerie.

Ogni attacco è unico: un caso concreto di recupero dati da ransomware

Ontrack è stata in grado di recuperare i dati di un’azienda farmaceutica persi a causa di un attacco Cryptolocker che aveva colpito un singolo laptop, propagandosi poi in tutta l’infrastruttura aziendale

Il malware ha infettato il volume CIFS impostato come un volume condiviso nel NetApp FAS e poiché il caso non è stato gestito tempestivamente, il virus ha crittografato anche i dati di backup. 

L’attacco ha impattato 46 dischi, 1 aggregato ed 1 volume di un RAID-DP. 

Gli ingegneri di Ontrack, utilizzando tecnologie proprietarie e sfruttando la configurazione stessa del sistema OnTap di NetApp e il file system WAFL, sono riusciti a “tornare indietro nel tempo”, individuando e unificando le copie non crittografate dei dati. 

Ricostruendo i gruppi RAID, l’aggregato e il volume del sistema RAID-DP, è stato possibile recuperare i dati persi.

Questa operazione può essere replicata unicamente su sistemi che utilizzano la stessa modalità di archiviazione dei dati utilizzata NetApp FAS. 

Per approfondire l’argomento e scoprire tutte le opzioni del recupero dati, scarica l’ultimo White Paper Ontrack “Ransomware Data Recovery for the Enterprise” o visita il Sito web Ontrack.


Load more comments
Thank you for the comment! Your comment must be approved first


Nuovo codice