Il ransomware è un software dannoso che crittografa i file, impedendo agli utenti di accedere o utilizzare i sistemi informatici. Solitamente accompagnato da una richiesta di riscatto, un attacco ransomware paralizza i computer, i server e i file infetti. Gli attacchi sono comuni: il Report globale sulle tendenze nel ransomware 2023 di Veeam ha rivelato che nei 12 mesi precedenti, l’85% delle organizzazioni ha subito almeno un attacco informatico. Sebbene l’80% abbia pagato il riscatto, solo il 75% è tornato ad accedere ai propri dati e, in media, ha recuperato solo il 66% dei dati. In particolare, gli hacker hanno preso di mira i repository di backup il 75% delle volte.
D’altro canto, il 16% delle organizzazioni attaccate ha ripristinato i propri dati senza pagare un riscatto. Queste organizzazioni disponevano di backup puliti, immutabili e affidabili e di una strategia di risposta al ransomware integrata che ha funzionato come previsto. Il punto è che è possibile ripristinare da un attacco ransomware se si dispone di un solido piano per gestire gli attacchi ransomware.
Componenti chiave di un piano di risposta al ransomware
Dal momento che gli attacchi sono così comuni, è essenziale sapere come ripristinare rapidamente da un attacco ransomware. Gli aspetti critici del piano di ripristino da ransomware dovrebbero includere sistemi di rafforzamento della protezione, rigorose misure di prevenzione, rilevamento e risposta al ransomware, misure di ripristino e restauro e piani per informare le autorità competenti e le parti interessate. Condurre sempre un’analisi post-incidente per prevenire attacchi futuri.
Fase 1: Misure preventive
È possibile adottare diverse misure per prevenire e mitigare gli attacchi ransomware. Queste includono la formazione dei dipendenti, la valutazione dei rischi, il rafforzamento delle soluzioni hardware e software, la segmentazione della rete e la disponibilità di backup dei dati sicuri:
Istruisci i dipendenti: I dipendenti sono la prima linea di difesa contro gli attacchi malware, quindi è necessario formarli a riconoscere gli attacchi, informarli sulle minacce ransomware e su come rilevare i segnali di sistemi compromessi.
Eseguire le valutazioni dei rischi: Utilizza team di esperti per eseguire valutazioni del rischio e identificare i punti deboli nelle tue difese contro malware e ransomware.
Rafforzare le impostazioni delle porte e degli endpoint: Disabilita le porte desktop remoto (RDP) inutilizzate e limita RDP e altre porte del protocollo di accesso remoto agli host attendibili. Allo stesso modo, rafforza gli endpoint con impostazioni di configurazione protette.
Segmenta le reti e applica i controlli di accesso: Segmentare le reti utilizzando VPN e strumenti fisici. Tenere separate le parti della rete rivolte al cliente da quelle rivolte all’interno. Adotta il principio zero trust quando concedi l’accesso.
Implementare tutti gli aggiornamenti e le patch del software: Limita il rischio di intrusione implementando meticolosamente aggiornamenti e patch di sicurezza.
Adotta policy di backup sicuro e ridondanza dei dati: Pianifica attentamente la tua strategia di backup, poiché rappresenta la tua ultima linea di difesa. Esegui i backup frequentemente, assicurati di avere copie immutabili che non possono essere modificate. Mantieni almeno un set di backup completamente offline. Verifica regolarmente l’integrità del backup.
Fase 2: Rilevamento e risposta
È fondamentale reagire prontamente a qualsiasi incidente ransomware. Con gli strumenti di monitoraggio adeguati, è spesso possibile interrompere un attacco mentre è in corso. A tale scopo, è necessario disporre di una copertura 24 ore su 24, 7 giorni su 7 e di strumenti di rilevamento del ransomware online. In questo modo, mitighi i danni e puoi pulire i tuoi sistemi più velocemente, come segue:
Determinare i sistemi interessati: Stabilisci quali sistemi sono interessati e isolali immediatamente dal resto della rete. Se l’attacco ha interessato diversi sistemi e non è possibile verificarne inizialmente la portata, disconnettere la rete. Se non riesci a portare facilmente i sistemi offline, limita la portata dell’infezione scollegando i cavi Ethernet e disabilitando il Wi-Fi.
Spegnere le apparecchiature: Se non è possibile scollegare i dispositivi dalla rete, spegnere le apparecchiature interessate. Notare che questo passaggio può rimuovere le prove conservate nella memoria volatile.
Valutare i sistemi interessati: Identificare i sistemi critici per l’organizzazione ed elencarli in ordine di importanza in termini di priorità dell’organizzazione.
Esaminare i registri: Esaminare i log di sistema per identificare precursori come malware dropper, attacchi precedenti e reti compromesse.
Determinare cosa è successo: Stabilire la sequenza degli eventi che hanno portato all’attacco e in che modo l’attaccante è stato in grado di penetrare nella tua rete.
Individuare la minaccia: Identificare il ransomware, la sua variante e qualsiasi altro malware presente nel sistema.
Fase 3: Comunicazione e reportistica
Segnala l’incidente e comunica in modo trasparente l’accaduto con le parti interessate. Comunicazioni tempestive contribuiranno a mitigare le conseguenze a lungo termine, come la perdita di credibilità e i danni punitivi. Le azioni da intraprendere includono:
Comunicare internamente: Informare immediatamente tutti i dipendenti e i reparti interessati e comunicare loro le misure adottate per contenere l’incidente. Emanare periodicamente aggiornamenti.
Informare le autorità competenti: Riportare l’incidente alle forze dell’ordine locali o nazionali come richiesto dalle ordinanze locali. Assicurati di soddisfare tutti gli obblighi legali relativi a specifiche normative sulla privacy e sulla protezione dei dati.
Comunicare con l’esterno: Informare i clienti e i partner commerciali dell’incidente e rilasciare informazioni appropriate sull’entità del danno. Notare che è normale che i criminali minaccino di diffondere informazioni riservate per costringere le vittime a pagare il riscatto.
Essere trasparenti: Se da un lato è naturale che le aziende vogliano nascondere informazioni dannose, dall’altro le notizie di attacchi informatici sono inevitabili. La trasparenza riduce al minimo i danni alla reputazione, aiuta gli investigatori e offre alle parti interessate l’opportunità di adottare misure per proteggere i dati sensibili.
Fase 4: Strategie di contenimento
Prima di intraprendere azioni per sradicare il ransomware dal tuo sistema, acquisisci le immagini del sistema e il contenuto della memoria volatile di tutti i dispositivi infetti. Queste informazioni sono utili durante le indagini forensi per determinare cosa è successo e in che modo i sistemi sono stati compromessi. È fondamentale preservare le informazioni volatili memorizzate nella memoria di sistema, nei registri di sicurezza e nei buffer di registro del firewall.
Rivolgiti alle forze dell’ordine federali, al Multi-State Information Sharing and Analysis Center (MS-ISAC) e al tuo fornitore di servizi di sicurezza per identificare se i ricercatori hanno sviluppato strumenti di decrittazione o identificato difetti di crittografia che puoi utilizzare per decrittografare i tuoi dati. Queste risorse possono anche fornire informazioni aggiuntive sui passaggi per identificare i sistemi interessati e su come disattivare i file binari del ransomware. Altri passaggi includono:
Identificazione dei sistemi coinvolti
Disabilitazione degli endpoint VPN, basati sul cloud ed esposti pubblicamente
Disattivazione della crittografia dei dati lato server
Identificazione dei meccanismi di persistenza interni ed esterni
Fase 5: Strategie di eradicazione
L’obiettivo principale della strategia di estirpazione è la rimozione di tutte le tracce di ransomware e malware dai sistemi (questione distinta dai dati). Sebbene a volte sia possibile disinfettare i sistemi, in genere è più semplice e sicuro cancellarli e ricostruirli da zero utilizzando modelli e immagini pulite. I passaggi includono:
Pulire o sanificare tutti i sistemi infetti
Ricostruire i sistemi aziendali, a partire da quelli critici
Reimposta tutte le password
Gestire e bloccare le vulnerabilità, i siti Web e il malware identificati
Una volta eliminate tutte le tracce del ransomware e ricostruiti i sistemi, far emanare una dichiarazione dall’autorità IT designata per confermare che l’incidente ransomware è terminato
Fase 6: Rispristino e restauro
A questo punto, puoi ripristinare i tuoi dati e tornare al lavoro. È anche il momento in cui si beneficerà della lungimiranza che ha portato a utilizzare soluzioni innovative per ripristinare rapidamente dagli attacchi ransomware. Veeam offre diverse soluzioni, tra cui una replica di backup per creare una macchina virtuale che puoi attivare e utilizzare rapidamente. Le fasi del ripristino e del restauro includono:
Usa backup sicuri per ripristinare i sistemi
Assicurarsi che i backup siano puliti, in modo da non reinfettare i sistemi puliti durante il ripristino
Implementare le lezioni apprese dall’attacco per rafforzare le misure di sicurezza
Implementare soluzioni di monitoraggio continuo del ransomware
Completare una valutazione post-incidente
Best practice per la risposta agli incidenti ransomware
L’incidenza degli attacchi ransomware è tale da giustificare la loro inclusione nella stessa categoria degli altri piani di gestione della continuità aziendale. Questi includono strategie per affrontare incidenti gravi, disastri naturali e disaster recovery.
Il punto di partenza per un piano di risposta agli incidenti ransomware è un piano di ripristino accuratamente studiato e documentato. In genere, questo piano include tutte le parti interessate, una chiara dichiarazione degli obiettivi di ripristino e delle strategie di comunicazione. Il piano identifica i responsabili e definisce chiaramente le azioni da intraprendere in caso di attacco ransomware.
Ecco alcuni aspetti da considerare:
Team di risposta: Identificare tutti i membri del team di risposta, le loro responsabilità e funzioni. Nominare un leader designato responsabile del coordinamento delle attività.
Inventario: Compila un elenco completo di tutte le risorse hardware e software fisiche e cloud, insieme ai diagrammi di come queste si interconnettono, comprese le funzionalità speciali come VPN, cloud privati virtuali, WAN e API.
Funzioni critiche: Elenca e assegna priorità a funzioni aziendali critiche, applicazioni, set di dati e backup.
Elenco dei contatti di emergenza: Includi tutti i dipendenti, i provider di servizi, i fornitori e i clienti che potrebbero essere interessati da un incidente ransomware.
Formazione: Formare i membri del team sui loro ruoli e responsabilità e simulare un incidente con un Kit di Prevenzione Ransomware per assicurarsi che tutti abbiano familiarità e si sentano a proprio agio nel proprio ruolo.
Piano d’azione per il ransomware: Prepara un piano d’azione dettagliato di risposta al ransomware.
Lezioni apprese: Documenta le lezioni apprese durante le simulazioni di addestramento e gli attacchi reali.
La formalizzazione e l’adozione di queste best practice per la protezione dal ransomware aiuteranno l’organizzazione a rispondere in modo rapido ed efficace in caso di attacco e garantiranno di disporre di backup puliti per ripristinare e riconnettere i servizi.
Inizia con Veeam
Sebbene sia sempre possibile ricreare le strutture IT, un’azienda non può sopravvivere a un attacco ransomware se non può accedere a dati puliti. La soluzione di backup online di Veeam risolve questo problema. Veeam offre un’unica soluzione che ti dà il controllo totale sul tuo ripristino con immutabilità multi-livello, monitoraggio completo e automazione. Veeam funziona con le comuni soluzioni basate sul cloud e con le soluzioni on-premises per Windows, Linux e Mac.
Chiama il nostro reparto vendite per saperne di più sulle nostre soluzioni di ripristino dei dati da ransomware o scarica il nostro white paper dedicato Costruire una strategia di ripristino dei dati resiliente al crimine informatico per ulteriori suggerimenti su come raggiungere la resilienza informatica.