Come gestire un attacco ransomware

Written By: Ontrack

Date Published: 09/09/22 0.00

Come gestire un attacco ransomware

Un attacco ransomware è una delle maggiori minacce che gli utenti digitali debbano affrontare. In questo articolo analizziamo cosa accade durante un attacco ransomware, oltre che le misure da adottare per proteggere la tua azienda subito dopo essere stati colpiti.

Come affrontare un attacco ransomware

Gli attacchi informatici di tipo ransomware rappresentano un'enorme minaccia per qualsiasi organizzazione o azienda. Infatti, nel 90% dei casi le aziende dichiarano di aver subito un impatto negativo dopo un attacco ransomware e che in media è necessario un mese per riprendersi. È evidente come i ransomware siano molto pericolosi per qualsiasi business.

Inoltre, essi sono anche un vettore di minacce informatiche in crescita: entro il 2031 si prevede che le aziende saranno vittime di un attacco ransomware ogni due secondi (rispetto agli 11 secondi del 2021).

Che cos'è un attacco ransomware?

Il ransomware è un tipo di malware che cripta i dati di un utente o azienda in modo che non sia più possibile accedervi. Per riaccedere ai dati viene solitamente richiesto un riscatto (in media $ 570.000) e, in seguito al pagamento, vengono rilasciate le chiavi di decrittazione per consentire di visualizzare nuovamente i dati.

Un malintenzionato sceglie in genere di colpire un'azienda in base a due fattori:

Opportunità
Ad esempio, se l'azienda ha un team di sicurezza ristretto, non dispone di adeguate risorse IT o è un'organizzazione che utilizza/genera molti dati.

Potenziale guadagno finanziario
Aziende che necessitano di un accesso immediato ai propri file e sono più propense a pagare un riscatto in tempi brevi, come avvocati o agenzie governative.

I malintenzionati possono accedere ai dati dell'organizzazione tramite varie tattiche, tra cui:

Phishing: utilizzo di tecniche di ingegneria sociale (social engineering) per indurre gli utenti a compiere un'azione, come ad esempio fare clic su un link dannoso in un'e-mail.

Remote access: implica la scansione di Internet alla ricerca di porte aperte, come il protocollo desktop remoto, e l’acquisizione di credenziali di autenticazione valide da remoto.

Compromissione di account privilegiati: si serve degli account di amministrazione per accedere a più sistemi e dati sensibili.

Vulnerabilità note di software o applicazioni: sfruttamento di vulnerabilità note per le quali erano disponibili patch per risolvere il problema, ma non sono state applicate.

Prima di criptare i dati, gli hacker potrebbero anche scegliere di farne delle copie e minacciare di divulgarle se il riscatto non viene pagato entro i termini imposti. Si tratta della cosiddetta "doppia estorsione".

Una volta iniziata la crittografia da parte di un ransomware, il processo di infezione è rapido: mediamente, un ransomware può crittografare quasi 100.000 file per un totale di 54,93 GB in soli 42 minuti e 52 secondi. Per questo la velocità d’azione è fondamentale quando si tratta di agire in seguito a un attacco.

Cosa fare in caso di attacco ransomware

Non appena ci si accorge di essere vittima di un attacco ransomware - appare di solito una notifica sullo schermo - è essenziale isolare il dispositivo infetto. Rimuovi i cavi di rete, le porte USB e i dongle, disabilita il WiFi e il Bluetooth per impedire al dispositivo di effettuare connessioni che potrebbero causare la diffusione della minaccia.

Nei momenti iniziali, è importante non farsi prendere dal panico e rimanere calmi mentre si valuta la situazione, nonostante la tensione e la pressione. Per poter raggiungere questo obiettivo si possono eseguire delle simulazioni di attacco ransomware, con cui l'azienda può esercitarsi a reagire ad una minaccia, in modo che i dipendenti abbiano familiarità con le fasi per contenere l’attacco, in modo efficace e tempestivo.

Di seguito alcuni consigli e best practice da seguire per gestire un attacco ransomware.

Gestione della comunicazione

È importante che tutte le comunicazioni siano orchestrate in modo centralizzato all'interno dell'organizzazione, per evitare di comunicare informazioni errate o creare confusione. Nel piano di comunicazione potrebbe essere utile includere la direttiva di non far trapelare informazioni alla stampa e di non pubblicare nulla sui social media. I comunicati stampa devono essere preparati con cura per evitare di turbare gli azionisti, gli stakeholder e il mercato in generale.

Una volta identificato l'attacco, tutti i dipendenti dell'azienda devono essere avvisati della minaccia. Se qualcuno sospetta che il proprio dispositivo sia infetto, deve adottare misure per isolarlo immediatamente dalla rete. Le best practice dicono anche che gli utenti dovrebbero reimpostare tutte le loro credenziali, soprattutto per gli account amministratore, per evitare che i criminali informatici raccolgano dati preziosi, che potrebbero anche essere utilizzati per lanciare ulteriori attacchi.

Identificazione del tipo di ransomware

Utilizzando il malware scanning tool del dispositivo o tramite il Security Operations Centre aziendale, esegui una scansione del malware per identificare il tipo di ransomware utilizzato per sferrare l’attacco, in modo da determinare le opportune contromisure da intraprendere.

Inoltre, è utile annotare diverse informazioni relative all'attacco, tra cui: la data, l'ora, i dettagli dei file, i primi segnali dell’attacco ransomware, i dispositivi colpiti, cosa facevi immediatamente prima. Inoltre, potresti anche scattare foto di programmi, file e pop-up sospetti.

Tutte queste informazioni saranno utilizzate nel ransomware identification tool per determinare il tipo di attacco subìto dall'azienda e i rimedi da adottare.

Pagamento del riscatto

I professionisti della sicurezza informatica e le agenzie federali concordano: non pagare il riscatto.

Le ricerche indicano che solo 3 organizzazioni su 5 hanno riottenuto l'accesso ai propri dati/sistemi, quindi non c'è alcuna garanzia di ottenere l'accesso ai propri dati o al proprio computer anche dopo pagato il riscatto. Inoltre, anche se i dati vengono recuperati, non c'è garanzia che siano al sicuro: il 18% delle vittime di ransomware che hanno pagato la richiesta ha comunque visto i propri dati sensibili pubblicati dai malintenzionati sul dark web.

Rimozione del ransomware dai dispositivi

Purtroppo, rimuovere il ransomware dai dispositivi infetti non è così semplice come cliccare su un pulsante "elimina". In molti casi, è necessario eseguire un reset di fabbrica completo, che è irreversibile e comporta il rischio di perdita di dati. Pertanto, è sempre meglio rivolgersi a un professionista in grado di utilizzare gli strumenti di decriptazione appropriati e di ripristinare in modo sicuro l'operatività del device.

Recupero dei dati dai backup

Avere a disposizione un backup aggiornato è il modo più efficace per ripristinare i dati dopo un attacco ransomware. La prassi migliore è quella di seguire la "regola del 3-2-1": 3 copie dei dati, archiviate in 2 luoghi diversi, di cui 1 offline.

Quando si passa al ripristino i dati, è bene eseguire prima una scansione dei dati stessi per verificare la presenza di malware e accertarsi che i backup provengano solo da dispositivi sicuri per evitare una nuova infezione.

Segnalazione dell’attacco

Una volta che l'azienda è tornata online, è necessario segnalare l'attacco ransomware alle autorità competenti, ad esempio la Polizia Postale in Italia, il CISA negli Stati Uniti o l'NCSC nel Regno Unito. Queste informazioni sono preziose per aiutare le agenzie a tracciare l'evoluzione degli attacchi ransomware e fermare i criminali informatici, prestare assistenza e prevenire ulteriori diffusioni.

Proteggiti da attacchi ransomware futuri

Il comportamento degli utenti finali può essere uno dei migliori deterrenti a disposizione quando si tratta di affrontare una minaccia ransomware. Forma i dipendenti, fornisci loro nozioni di base e sottolinea continuamente l'importanza della formazione per garantire che i seguenti comportamenti vengano applicati:

  • aggiornare il dispositivo e attivare gli aggiornamenti automatici
  • attivare l'autenticazione a più fattori
  • eseguire backup regolari
  • controllare chi può accedere e a cosa sui propri dispositivi
  • attivare la protezione contro i ransomware

Contatta Ontrack per il recupero dei dati compromessi da ransomware

Ogni attacco ransomware è unico e varia in termini di complessità, sebbene sia sempre possibile valutare il successo di recupero dei dati per ogni specifico caso. In Ontrack abbiamo sviluppato un set di strumenti proprietari per il recupero dei dati: attualmente disponiamo di capacità di crittografia di 138 tipi di ransomware e monitoriamo costantemente 271 varianti diverse.

Disponiamo di laboratori dislocati in tutto il mondo e i nostri specialisti sono disponibili 24 ore su 24, 7 giorni su 7, per fornire aiuto e supporto nel caso di qualsiasi scenario di perdita dati.

Leggi la nostra guida completa sui Ransomware.

Scopri tutti i contenuti relativi ai Ransomware.

Scopri perché oltre 600.000 persone e aziende si sono affidate a Ontrack per il recupero dei propri dati.

Iscriviti

KLDiscovery Ontrack Srl, Via Marsala 34/A, Torre/A, 21013, Gallarate (VA), Italia (Mostra tutte le sedi)