Tag
Storage

Come gestire un attacco ransomware

Illustrazione grafica di un'impronta digitale che consente l'accesso a un sistema digitale

È la notizia che nessuna organizzazione vuole sentire: sei stato vittima di un attacco ransomware e ora ti chiedi cosa fare dopo. 

La prima cosa da tenere a mente è che non sei solo. Oltre il 17 percento di tutti gli attacchi informatici riguarda il ransomware, un tipo di malware che mantiene bloccati i dati o il dispositivo della vittima a meno che non paghi un riscatto all'hacker. Delle 1.350 organizzazioni intervistate in un recente studio, il 78 percento ha subito un attacco ransomware andato a buon fine.

Gli attacchi ransomware utilizzano diversi metodi, o vettori, per infettare reti o dispositivi, compreso ingannare le persone facendole cliccare su link dannosi tramite e-mail di phishing e utilizzare vulnerabilità in software e sistemi operativi, come l'accesso remoto. I criminali informatici solitamente richiedono il pagamento di un riscatto in Bitcoin e altre criptovalute difficili da tracciare, fornendo alle vittime, dietro pagamento, le chiavi di decrittazione per sbloccare i loro dispositivi.

La buona notizia è che in caso di attacco ransomware, ci sono passaggi di base che qualsiasi organizzazione può seguire per contribuire a contenere l'attacco, proteggere le informazioni sensibili e garantire la continuità aziendale riducendo al minimo i tempi di inattività.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Risposta iniziale

Isolare i sistemi interessati 

Poiché le varianti di ransomware più comuni scansionano le reti alla ricerca di vulnerabilità che si propaghino lateralmente, è fondamentale che i sistemi interessati vengano isolati il più rapidamente possibile. Scollega l'ethernet e disattiva Wi-Fi, Bluetooth e qualsiasi altra funzionalità di rete per qualsiasi dispositivo infetto o potenzialmente infetto.

Altri due passaggi da considerare: 

  • Disattivare le attività di manutenzione. Disattiva immediatamente le attività automatiche, ad esempio l'eliminazione dei file temporanei o la rotazione dei registri, sui sistemi interessati. Queste attività potrebbero interferire con i file e ostacolare l'indagine e il recupero del ransomware. 
  • Disconnettere i backup. Poiché molti nuovi tipi di ransomware prendono di mira i backup dei dati per rendere il recupero più difficile, tieni offline i data backup. Limita l'accesso ai sistemi di backup finché non hai rimosso l'infezione.

Fotografare la richiesta di riscatto

Prima di procedere con qualsiasi altra cosa, scatta una foto della lettera di riscatto, idealmente fotografando lo schermo del dispositivo interessato con un dispositivo separato come uno smartphone o una fotocamera. La foto accelererà il processo di recupero e aiuterà nella presentazione di una denuncia alla polizia o di un eventuale reclamo alla compagnia assicurativa.

Avvisare il team di sicurezza

Una volta scollegati i sistemi interessati, avvisa il tuo team di sicurezza IT dell'attacco. Nella maggior parte dei casi, i professionisti della sicurezza IT possono consigliare i prossimi passi e attivare il piano di risposta agli incidenti dell'organizzazione, ovvero i processi e le tecnologie per rilevare e rispondere agli attacchi informatici.

Non riavviare i dispositivi interessati

Quando si tratta di ransomware, evita di riavviare i dispositivi infetti. Gli hacker sanno che questo potrebbe essere il tuo primo istinto, e alcuni tipi di ransomware notano tentativi di riavvio e causano ulteriori danni, come danneggiare Windows o cancellare file criptati. Il riavvio può anche rendere più difficile indagare sugli attacchi ransomware: indizi preziosi vengono memorizzati nella memoria del computer, che viene cancellata durante un riavvio. 

Invece, metti i sistemi interessati in ibernazione. In questo modo tutti i dati in memoria verranno salvati in un file di riferimento sul disco rigido del dispositivo, conservandoli per analisi future.

Mixture of Experts | 28 agosto, episodio 70

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda gli ultimi episodi del podcast

Eliminazione

Ora che ha isolato i dispositivi interessati, probabilmente sei ansioso di sbloccare i dispositivi e recuperare i dati. Sebbene l'eliminazione delle infezioni da ransomware possa essere complicata da gestire, in particolare per i ceppi più avanzati, i seguenti passaggi possono avviarti verso il percorso di ripristino. 

Determinare la variante di attacco

Diversi strumenti gratuiti possono aiutare a identificare il tipo di ransomware che infetta i dispositivi. Conoscere il ceppo specifico può aiutarti a comprendere diversi fattori chiave, tra cui come si diffonde, quali file blocca e come puoi rimuoverlo. Basta caricare un campione del file criptato e, se ne disponi, una nota di riscatto e le informazioni di contatto dell'aggressore. 

I due tipi più comuni di ransomware sono gli screen locker e gli encryptor. Gli screen locker bloccano il sistema ma mantengono i file al sicuro finché non paghi, mentre gli encryptor sono più difficili da gestire perché trovano e crittografano tutti i dati sensibili e li decrittografano solo dopo aver pagato il riscatto. 

Cerca strumenti di decrittazione

Una volta identificato il ceppo del ransomware, valuta la possibilità di cercare strumenti di decrittazione. Esistono anche strumenti gratuiti per aiutare in questo passaggio, inclusi siti come No More Ransom . Basta inserire il nome del ceppo di ransomware e cercare la decrittazione corrispondente. 

Ripristino

Se hai avuto la fortuna di rimuovere l'infezione dal ransomware, è il momento di avviare il processo di recupero.

Inizia aggiornando le password del sistema, quindi recupera i dati dai backup. Dovresti sempre puntare ad avere tre copie dei dati in due formati diversi, con una copia memorizzata fuori sede. Questo approccio, noto come regola 3-2-1, consente di ripristinare rapidamente i dati ed evitare il pagamento di un riscatto. 

Dopo l'attacco, dovresti anche considerare di effettuare un audit di sicurezza e aggiornare tutti i sistemi. Mantenere i sistemi aggiornati aiuta a prevenire che gli hacker utilizzino vulnerabilità riscontrate in software più vecchi, mentre l'applicazione regolare di patch mantiene le macchine aggiornate, stabili e resistenti alle minacce malware. Inoltre, sarebbe bene affinare il piano di risposta agli incidenti con le lezioni apprese e assicurarti di aver comunicato l'incidente in modo adeguato a tutti gli stakeholder necessari. 

Notifica alle autorità

Poiché il ransomware è un'estorsione e un reato, dovresti sempre segnalare gli attacchi ransomware alle forze dell'ordine o all'FBI. 

Se i tuoi tentativi di recupero non dovessero funzionare, le autorità potrebbero aiutarti a decrittare i tuoi file. Tuttavia, anche se non possono salvare i dati, è fondamentale per loro catalogare l'attività dei criminali informatici e, si spera, aiutare altre persone a evitare simili destini. 

Alcune vittime di attacchi ransomware potrebbero anche essere legalmente obbligate a segnalare le infezioni ransomware. Ad esempio, la conformità all'HIPAA richiede generalmente che le entità sanitarie segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Department of Health and Human Services.

Decidere se pagare

Decidere se effettuare un pagamento di riscatto è una decisione complessa. La maggior parte degli esperti consiglia di prendere in considerazione il pagamento solo se si sono provate tutte le altre opzioni e se la perdita di dati sarebbe significativamente più dannosa del pagamento stesso.

Indipendentemente dalla tua decisione, dovresti sempre consultare le forze dell'ordine e i professionisti della cybersecurity prima di procedere.

Pagare un riscatto non garantisce che riuscirai a riottenere l'accesso ai tuoi dati né che gli aggressori manterranno le loro promesse; spesso le vittime pagano il riscatto, per poi non ricevere mai la chiave di decrittazione. Inoltre, il pagamento del riscatto perpetua l'attività dei criminali informatici e può finanziare ulteriormente la loro attività.

Prevenzione di futuri attacchi ransomware

Gli strumenti di sicurezza e-mail e i software antivirus e anti-malware sono le prime linee di difesa critiche contro gli attacchi ransomware.

Le organizzazioni si affidano anche a strumenti avanzati di sicurezza degli endpoint, come firewall, VPN e autenticazione a più fattori, come parte integrante di una più ampia strategia di protezione dei dati, per difendersi dalle violazioni.

Tuttavia, nessun sistema di cybersecurity è completo senza le funzionalità all'avanguardia di rilevamento delle minacce e risposta agli incidenti per individuare i criminale informatico in tempo reale e mitigare l'impatto di attacchi informatici di successo.

Strumenti come i sistemi di Security Information and Event Management (SIEM) possono applicare il machine learning e l'analytics del comportamento dell'utente (UBA) al traffico di rete insieme ai log tradizionali, per un rilevamento delle minacce più intelligente e una correzione più rapida.

 

Autore

Annie Badman

Staff Writer

IBM Think
Soluzioni correlate
Servizi di gestione delle minacce

Prevedi, previeni e reagisci alle minacce moderne aumentando la resilienza aziendale.

 

 Esplora i servizi di gestione delle minacce
Soluzioni di rilevamento e risposta alle minacce

Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

 Esplora le soluzioni di rilevamento delle minacce
Soluzioni di difesa dalle minacce ai dispositivi mobili (Mobile threat defense, MTD)

Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.

 Esplora le soluzioni di difesa dalle minacce ai dispositivi mobili
Fai il passo successivo

Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.

 Esplora i servizi di gestione delle minacce Prenota un briefing sulle minacce