Il ransomware è un software dannoso che crittografa i file, impedendo agli utenti di accedere o utilizzare i sistemi informatici. Solitamente accompagnato da una richiesta di riscatto, un attacco ransomware paralizza i computer, i server e i file infetti. Gli attacchi sono comuni: il Report globale sulle tendenze nel ransomware 2023 di Veeam ha rivelato che nei 12 mesi precedenti, l’85% delle organizzazioni ha subìto almeno un attacco informatico. Sebbene l’80% abbia pagato il riscatto, solo il 75% è tornato ad accedere ai propri dati e, in media, ha recuperato solo il 66% dei dati. In particolare, gli hacker hanno preso di mira i repository di backup il 75% delle volte.

D’altro canto, il 16% delle organizzazioni attaccate ha ripristinato i propri dati senza pagare un riscatto. Queste organizzazioni disponevano di backup puliti, immutabili e affidabili e di una strategia di risposta al ransomware integrata che ha funzionato come previsto. Il punto è che è possibile ripristinare da un attacco ransomware se si dispone di un solido piano per gestire gli attacchi ransomware.

Componenti chiave di un piano di risposta al ransomware

Dal momento che gli attacchi sono così comuni, è essenziale sapere come ripristinare rapidamente da un attacco ransomware. Gli aspetti critici del piano di ripristino da ransomware dovrebbero includere sistemi di rafforzamento della protezione, rigorose misure di prevenzione, rilevamento e risposta al ransomware, misure di ripristino e restauro e piani per informare le autorità competenti e le parti interessate. Condurre sempre un’analisi post-incidente per prevenire attacchi futuri.

Fase 1: Misure preventive

È possibile adottare diverse misure per prevenire e mitigare gli attacchi ransomware. Queste includono la formazione dei dipendenti, la valutazione dei rischi, il rafforzamento delle soluzioni hardware e software, la segmentazione della rete e la disponibilità di backup dei dati sicuri:

Istruire i dipendenti: I dipendenti sono la prima linea di difesa contro gli attacchi malware, quindi è necessario formarli a riconoscere gli attacchi, informarli sulle minacce ransomware e su come rilevare i segnali di sistemi compromessi.

Eseguire le valutazioni dei rischi: Utilizzare team di esperti per eseguire valutazioni del rischio e identificare i punti deboli nelle tue difese contro malware e ransomware.

Rafforzare le impostazioni delle porte e degli endpoint: Disabilitare le porte desktop remoto (RDP) inutilizzate e limitare RDP e altre porte del protocollo di accesso remoto agli host attendibili. Allo stesso modo, rafforzare gli endpoint con impostazioni di configurazione protette.

Segmentare le reti e applicare i controlli di accesso: Segmentare le reti utilizzando VPN e strumenti fisici. Tenere separate le parti della rete rivolte al cliente da quelle rivolte all’interno. Adottare il principio zero trust quando si concede l’accesso.

Implementare tutti gli aggiornamenti e le patch del software: Limitare il rischio di intrusione implementando meticolosamente aggiornamenti e patch di sicurezza.

Adottare policy di backup sicuro e ridondanza dei dati: Pianificare attentamente la strategia di backup, poiché rappresenta l’ultima linea di difesa. Eseguire i backup frequentemente, assicurarsi di avere copie immutabili che non possono essere modificate. Mantenere almeno un set di backup completamente offline. Verificare regolarmente l’integrità del backup.

Fase 2: Rilevamento e risposta

È fondamentale reagire prontamente a qualsiasi incidente ransomware. Con gli strumenti di monitoraggio adeguati, è spesso possibile interrompere un attacco mentre è in corso. A tale scopo, è necessario disporre di una copertura 24 ore su 24, 7 giorni su 7 e di strumenti di rilevamento del ransomware online. In questo modo, si mitigano i danni e si possono pulire i sistemi più velocemente, come segue:

Determinare i sistemi interessati: Stabilire quali sistemi sono interessati e isolarli immediatamente dal resto della rete. Se l’attacco ha interessato diversi sistemi e non è possibile verificarne inizialmente la portata, disconnettere la rete. Se non si riesce a portare facilmente i sistemi offline, limitare la portata dell’infezione scollegando i cavi Ethernet e disabilitando il Wi-Fi.

Spegnere le apparecchiature: Se non è possibile scollegare i dispositivi dalla rete, spegnere le apparecchiature interessate. Notare che questo passaggio può rimuovere le prove conservate nella memoria volatile.

Valutare i sistemi interessati: Identificare i sistemi critici per l’organizzazione ed elencarli in ordine di importanza in termini di priorità dell’organizzazione.

Esaminare i registri: Esaminare i log di sistema per identificare precursori come malware dropper, attacchi precedenti e reti compromesse.

Determinare cosa è successo: Stabilire la sequenza degli eventi che hanno portato all’attacco e in che modo l’attaccante è stato in grado di penetrare nella rete.

Individuare la minaccia: Identificare il ransomware, la sua variante e qualsiasi altro malware presente nel sistema.

(continua…)