Come gestire un attacco ransomware – Blog IBM

È la notizia che nessuna organizzazione vuole sentire: sei stato vittima di a ransomware attacco, e ora ti stai chiedendo cosa fare dopo. 

La prima cosa da tenere a mente è che non sei solo. Oltre il 17% di tutti gli attacchi informatici coinvolge ransomware-un tipo di il malware che mantiene bloccati i dati o il dispositivo di una vittima a meno che la vittima non paghi un riscatto all'hacker. Delle 1,350 organizzazioni intervistate in un recente studio, Il 78% ha subito con successo un attacco ransomware (link esterno a ibm.com).

Gli attacchi ransomware utilizzano diversi metodi, o vettori, per infettare reti o dispositivi, incluso indurre le persone a fare clic su collegamenti dannosi utilizzando phishing e-mail e sfruttamento delle vulnerabilità di software e sistemi operativi, come l'accesso remoto. I criminali informatici in genere richiedono pagamenti di riscatto in Bitcoin e altre criptovalute difficili da rintracciare, fornendo alle vittime chiavi di decrittazione a pagamento per sbloccare i loro dispositivi.

La buona notizia è che, in caso di attacco ransomware, esistono passaggi fondamentali che qualsiasi organizzazione può seguire per contenere l’attacco, proteggere le informazioni sensibili e garantire la continuità aziendale riducendo al minimo i tempi di inattività.

Risposta iniziale

Isolare i sistemi interessati 

Poiché le varianti di ransomware più comuni scansionano le reti per individuare le vulnerabilità che si propagano lateralmente, è fondamentale che i sistemi interessati vengano isolati il ​​più rapidamente possibile. Scollega Ethernet e disabilita WiFi, Bluetooth e qualsiasi altra funzionalità di rete per qualsiasi dispositivo infetto o potenzialmente infetto.

Altri due passaggi da considerare: 

• Disattivazione delle attività di manutenzione. Disabilita immediatamente le attività automatiche, ad esempio l'eliminazione di file temporanei o la rotazione dei registri, sui sistemi interessati. Queste attività potrebbero interferire con i file e ostacolare l'indagine e il ripristino del ransomware. 
• Disconnessione dei backup. Poiché molti nuovi tipi di ransomware prendono di mira i backup per rendere più difficile il ripristino, mantieni i backup dei dati offline. Limita l'accesso ai sistemi di backup finché non avrai rimosso l'infezione.

Fotografa la richiesta di riscatto

Prima di procedere con qualsiasi altra cosa, scatta una foto della richiesta di riscatto, idealmente fotografando lo schermo del dispositivo interessato con un dispositivo separato come uno smartphone o una fotocamera. La foto accelererà il processo di recupero e aiuterà nella presentazione di una denuncia alla polizia o di un possibile reclamo presso la compagnia assicurativa.

Avvisare la squadra di sicurezza

Una volta disconnessi i sistemi interessati, avvisa il tuo Sicurezza IT squadra d'attacco. Nella maggior parte dei casi, i professionisti della sicurezza IT possono consigliare i passaggi successivi e attivare quelli della tua organizzazione risposta agli incidenti piano, ovvero i processi e le tecnologie della tua organizzazione per rilevare e rispondere agli attacchi informatici.

Non riavviare i dispositivi interessati

Quando si ha a che fare con un ransomware, evitare di riavviare i dispositivi infetti. Gli hacker sanno che questo potrebbe essere il tuo primo istinto e che alcuni tipi di ransomware segnalano i tentativi di riavvio e causano ulteriori danni, come danneggiare Windows o eliminare file crittografati. Il riavvio può anche rendere più difficile indagare sugli attacchi ransomware: indizi preziosi vengono archiviati nella memoria del computer, che viene cancellata durante il riavvio. 

Metti invece i sistemi interessati in ibernazione. Ciò salverà tutti i dati in memoria in un file di riferimento sul disco rigido del dispositivo, preservandolo per analisi future.

eradicazione 

Ora che hai isolato i dispositivi interessati, probabilmente non vedrai l'ora di sbloccarli e recuperare i tuoi dati. Sebbene eliminare le infezioni ransomware possa essere complicato da gestire, in particolare i ceppi più avanzati, i seguenti passaggi possono avviarti sulla strada del recupero. 

Determina la variante di attacco

Diversi strumenti gratuiti possono aiutarti a identificare il tipo di ransomware che infetta i tuoi dispositivi. Conoscere il ceppo specifico può aiutarti a comprendere diversi fattori chiave, tra cui come si diffonde, quali file blocca e come potresti rimuoverlo. Basta caricare un campione del file crittografato e, se li hai, una richiesta di riscatto e le informazioni di contatto dell'aggressore. 

I due tipi più comuni di ransomware sono gli screen locker e i crittografi. Gli screen locker bloccano il tuo sistema ma mantengono i tuoi file al sicuro finché non paghi, mentre i crittografi sono più difficili da affrontare poiché trovano e crittografano tutti i tuoi dati sensibili e li decrittografano solo dopo aver effettuato il pagamento del riscatto. 

Cerca strumenti di decrittazione

Una volta identificato il ceppo del ransomware, valuta la possibilità di cercare strumenti di decrittazione. Esistono anche strumenti gratuiti per aiutare in questo passaggio, inclusi siti come No More Ransom. Basta inserire il nome del ceppo di ransomware e cercare la decrittazione corrispondente. 

Scarica la guida definitiva al ransomware

Recupero 

Se sei stato abbastanza fortunato da rimuovere l'infezione ransomware, è ora di avviare il processo di ripristino.

Inizia aggiornando le password del tuo sistema, quindi recupera i dati dai backup. Dovresti sempre mirare ad avere tre copie dei tuoi dati in due formati diversi, con una copia archiviata fuori sede. Questo approccio, noto come regola 3-2-1, ti consente di ripristinare rapidamente i tuoi dati ed evitare pagamenti di riscatto. 

Dopo l’attacco, dovresti anche considerare di condurre un controllo di sicurezza e di aggiornare tutti i sistemi. Mantenere i sistemi aggiornati aiuta a impedire agli hacker di sfruttare le vulnerabilità presenti nei software più vecchi, mentre l'applicazione regolare di patch mantiene le tue macchine aggiornate, stabili e resistenti alle minacce malware. Potresti anche voler perfezionare il tuo piano di risposta all'incidente con le lezioni apprese e assicurarti di aver comunicato l'incidente in modo sufficiente a tutte le parti interessate necessarie. 

Autorità notificanti 

Poiché il ransomware è un'estorsione e un crimine, dovresti sempre segnalare gli attacchi ransomware alle forze dell'ordine o all'FBI. 

Le autorità potrebbero essere in grado di aiutarti a decrittografare i tuoi file se i tuoi sforzi di recupero non funzionano. Ma anche se non riescono a salvare i tuoi dati, è fondamentale per loro catalogare le attività dei criminali informatici e, si spera, aiutare gli altri a evitare destini simili. 

Alcune vittime di attacchi ransomware potrebbero anche essere obbligate per legge a segnalare le infezioni ransomware. Ad esempio, la conformità HIPAA richiede generalmente che gli enti sanitari segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Dipartimento della salute e dei servizi umani.

Decidere se pagare 

Decidere se effettuare il pagamento del riscatto è una decisione complessa. La maggior parte degli esperti suggerisce che dovresti prendere in considerazione il pagamento solo se hai provato tutte le altre opzioni e la perdita di dati sarebbe significativamente più dannosa del pagamento.

Indipendentemente dalla tua decisione, dovresti sempre consultare le forze dell’ordine e i professionisti della sicurezza informatica prima di andare avanti.

Il pagamento di un riscatto non garantisce che potrai riottenere l'accesso ai tuoi dati o che gli aggressori manterranno le loro promesse: le vittime spesso pagano il riscatto, solo per non ricevere mai la chiave di decrittazione. Inoltre, il pagamento dei riscatti perpetua l’attività criminale informatica e può finanziare ulteriormente i crimini informatici.

Prevenire futuri attacchi ransomware

Gli strumenti di sicurezza della posta elettronica, i software antimalware e antivirus rappresentano la prima linea di difesa fondamentale contro gli attacchi ransomware.

Le organizzazioni si affidano anche a strumenti avanzati di sicurezza degli endpoint come firewall, VPN e autenticazione a più fattori come parte di una più ampia strategia di protezione dei dati per difendersi dalle violazioni dei dati.

Tuttavia, nessun sistema di sicurezza informatica è completo senza funzionalità all’avanguardia di rilevamento delle minacce e risposta agli incidenti per catturare i criminali informatici in tempo reale e mitigare l’impatto degli attacchi informatici riusciti.

IBM Security® QRadar® SIEM applica l'apprendimento automatico e l'analisi del comportamento degli utenti (UBA) al traffico di rete insieme ai log tradizionali per un rilevamento più intelligente delle minacce e una risoluzione più rapida. In un recente studio di Forrester, QRadar SIEM ha aiutato gli analisti della sicurezza a risparmiare più di 14,000 ore in tre anni identificando falsi positivi, riducendo del 90% il tempo impiegato nell'investigazione degli incidenti e riducendo del 60% il rischio di subire una grave violazione della sicurezza.* Con QRadar SIEM, i team di sicurezza con risorse limitate dispongono della visibilità e dell'analisi di cui hanno bisogno per rilevare rapidamente le minacce e intraprendere azioni immediate e informate per ridurre al minimo gli effetti di un attacco.

Ulteriori informazioni su IBM QRadar SIEM

*Il Total Economic ImpactTM di IBM Security QRadar SIEM è uno studio commissionato condotto da Forrester Consulting per conto di IBM, aprile 2023. Basato sui risultati previsti di un'organizzazione composita modellata da 4 clienti IBM intervistati. I risultati effettivi varieranno in base alle configurazioni e alle condizioni del cliente e, pertanto, non possono essere forniti i risultati generalmente attesi.