È la notizia che nessuna organizzazione vuole sentire: sei stato vittima di a ransomware attacco, e ora ti stai chiedendo cosa fare dopo.
La prima cosa da tenere a mente è che non sei solo. Oltre il 17% di tutti gli attacchi informatici coinvolge ransomware-un tipo di il malware che mantiene bloccati i dati o il dispositivo di una vittima a meno che la vittima non paghi un riscatto all'hacker. Delle 1,350 organizzazioni intervistate in un recente studio, Il 78% ha subito con successo un attacco ransomware (link esterno a ibm.com).
Gli attacchi ransomware utilizzano diversi metodi, o vettori, per infettare reti o dispositivi, incluso indurre le persone a fare clic su collegamenti dannosi utilizzando phishing e-mail e sfruttamento delle vulnerabilità di software e sistemi operativi, come l'accesso remoto. I criminali informatici in genere richiedono pagamenti di riscatto in Bitcoin e altre criptovalute difficili da rintracciare, fornendo alle vittime chiavi di decrittazione a pagamento per sbloccare i loro dispositivi.
La buona notizia è che, in caso di attacco ransomware, esistono passaggi fondamentali che qualsiasi organizzazione può seguire per contenere l’attacco, proteggere le informazioni sensibili e garantire la continuità aziendale riducendo al minimo i tempi di inattività.
Risposta iniziale
Isolare i sistemi interessati
Poiché le varianti di ransomware più comuni scansionano le reti per individuare le vulnerabilità che si propagano lateralmente, è fondamentale che i sistemi interessati vengano isolati il più rapidamente possibile. Scollega Ethernet e disabilita WiFi, Bluetooth e qualsiasi altra funzionalità di rete per qualsiasi dispositivo infetto o potenzialmente infetto.
Altri due passaggi da considerare:
- Disattivazione delle attività di manutenzione. Disabilita immediatamente le attività automatiche, ad esempio l'eliminazione di file temporanei o la rotazione dei registri, sui sistemi interessati. Queste attività potrebbero interferire con i file e ostacolare l'indagine e il ripristino del ransomware.
- Disconnessione dei backup. Poiché molti nuovi tipi di ransomware prendono di mira i backup per rendere più difficile il ripristino, mantieni i backup dei dati offline. Limita l'accesso ai sistemi di backup finché non avrai rimosso l'infezione.
Fotografa la richiesta di riscatto
Prima di procedere con qualsiasi altra cosa, scatta una foto della richiesta di riscatto, idealmente fotografando lo schermo del dispositivo interessato con un dispositivo separato come uno smartphone o una fotocamera. La foto accelererà il processo di recupero e aiuterà nella presentazione di una denuncia alla polizia o di un possibile reclamo presso la compagnia assicurativa.
Avvisare la squadra di sicurezza
Una volta disconnessi i sistemi interessati, avvisa il tuo Sicurezza IT squadra d'attacco. Nella maggior parte dei casi, i professionisti della sicurezza IT possono consigliare i passaggi successivi e attivare quelli della tua organizzazione risposta agli incidenti piano, ovvero i processi e le tecnologie della tua organizzazione per rilevare e rispondere agli attacchi informatici.
Non riavviare i dispositivi interessati
Quando si ha a che fare con un ransomware, evitare di riavviare i dispositivi infetti. Gli hacker sanno che questo potrebbe essere il tuo primo istinto e che alcuni tipi di ransomware segnalano i tentativi di riavvio e causano ulteriori danni, come danneggiare Windows o eliminare file crittografati. Il riavvio può anche rendere più difficile indagare sugli attacchi ransomware: indizi preziosi vengono archiviati nella memoria del computer, che viene cancellata durante il riavvio.
Metti invece i sistemi interessati in ibernazione. Ciò salverà tutti i dati in memoria in un file di riferimento sul disco rigido del dispositivo, preservandolo per analisi future.
eradicazione
Ora che hai isolato i dispositivi interessati, probabilmente non vedrai l'ora di sbloccarli e recuperare i tuoi dati. Sebbene eliminare le infezioni ransomware possa essere complicato da gestire, in particolare i ceppi più avanzati, i seguenti passaggi possono avviarti sulla strada del recupero.
Determina la variante di attacco
Diversi strumenti gratuiti possono aiutarti a identificare il tipo di ransomware che infetta i tuoi dispositivi. Conoscere il ceppo specifico può aiutarti a comprendere diversi fattori chiave, tra cui come si diffonde, quali file blocca e come potresti rimuoverlo. Basta caricare un campione del file crittografato e, se li hai, una richiesta di riscatto e le informazioni di contatto dell'aggressore.
I due tipi più comuni di ransomware sono gli screen locker e i crittografi. Gli screen locker bloccano il tuo sistema ma mantengono i tuoi file al sicuro finché non paghi, mentre i crittografi sono più difficili da affrontare poiché trovano e crittografano tutti i tuoi dati sensibili e li decrittografano solo dopo aver effettuato il pagamento del riscatto.
Cerca strumenti di decrittazione
Una volta identificato il ceppo del ransomware, valuta la possibilità di cercare strumenti di decrittazione. Esistono anche strumenti gratuiti per aiutare in questo passaggio, inclusi siti come No More Ransom. Basta inserire il nome del ceppo di ransomware e cercare la decrittazione corrispondente.
Scarica la guida definitiva al ransomware
Recupero
Se sei stato abbastanza fortunato da rimuovere l'infezione ransomware, è ora di avviare il processo di ripristino.
Inizia aggiornando le password del tuo sistema, quindi recupera i dati dai backup. Dovresti sempre mirare ad avere tre copie dei tuoi dati in due formati diversi, con una copia archiviata fuori sede. Questo approccio, noto come regola 3-2-1, ti consente di ripristinare rapidamente i tuoi dati ed evitare pagamenti di riscatto.
Dopo l’attacco, dovresti anche considerare di condurre un controllo di sicurezza e di aggiornare tutti i sistemi. Mantenere i sistemi aggiornati aiuta a impedire agli hacker di sfruttare le vulnerabilità presenti nei software più vecchi, mentre l'applicazione regolare di patch mantiene le tue macchine aggiornate, stabili e resistenti alle minacce malware. Potresti anche voler perfezionare il tuo piano di risposta all'incidente con le lezioni apprese e assicurarti di aver comunicato l'incidente in modo sufficiente a tutte le parti interessate necessarie.
Autorità notificanti
Poiché il ransomware è un'estorsione e un crimine, dovresti sempre segnalare gli attacchi ransomware alle forze dell'ordine o all'FBI.
Le autorità potrebbero essere in grado di aiutarti a decrittografare i tuoi file se i tuoi sforzi di recupero non funzionano. Ma anche se non riescono a salvare i tuoi dati, è fondamentale per loro catalogare le attività dei criminali informatici e, si spera, aiutare gli altri a evitare destini simili.
Alcune vittime di attacchi ransomware potrebbero anche essere obbligate per legge a segnalare le infezioni ransomware. Ad esempio, la conformità HIPAA richiede generalmente che gli enti sanitari segnalino qualsiasi violazione dei dati, compresi gli attacchi ransomware, al Dipartimento della salute e dei servizi umani.
Decidere se pagare
Decidere se effettuare il pagamento del riscatto è una decisione complessa. La maggior parte degli esperti suggerisce che dovresti prendere in considerazione il pagamento solo se hai provato tutte le altre opzioni e la perdita di dati sarebbe significativamente più dannosa del pagamento.
Indipendentemente dalla tua decisione, dovresti sempre consultare le forze dell’ordine e i professionisti della sicurezza informatica prima di andare avanti.
Il pagamento di un riscatto non garantisce che potrai riottenere l'accesso ai tuoi dati o che gli aggressori manterranno le loro promesse: le vittime spesso pagano il riscatto, solo per non ricevere mai la chiave di decrittazione. Inoltre, il pagamento dei riscatti perpetua l’attività criminale informatica e può finanziare ulteriormente i crimini informatici.
Prevenire futuri attacchi ransomware
Gli strumenti di sicurezza della posta elettronica, i software antimalware e antivirus rappresentano la prima linea di difesa fondamentale contro gli attacchi ransomware.
Le organizzazioni si affidano anche a strumenti avanzati di sicurezza degli endpoint come firewall, VPN e autenticazione a più fattori come parte di una più ampia strategia di protezione dei dati per difendersi dalle violazioni dei dati.
Tuttavia, nessun sistema di sicurezza informatica è completo senza funzionalità all’avanguardia di rilevamento delle minacce e risposta agli incidenti per catturare i criminali informatici in tempo reale e mitigare l’impatto degli attacchi informatici riusciti.
IBM Security® QRadar® SIEM applica l'apprendimento automatico e l'analisi del comportamento degli utenti (UBA) al traffico di rete insieme ai log tradizionali per un rilevamento più intelligente delle minacce e una risoluzione più rapida. In un recente studio di Forrester, QRadar SIEM ha aiutato gli analisti della sicurezza a risparmiare più di 14,000 ore in tre anni identificando falsi positivi, riducendo del 90% il tempo impiegato nell'investigazione degli incidenti e riducendo del 60% il rischio di subire una grave violazione della sicurezza.* Con QRadar SIEM, i team di sicurezza con risorse limitate dispongono della visibilità e dell'analisi di cui hanno bisogno per rilevare rapidamente le minacce e intraprendere azioni immediate e informate per ridurre al minimo gli effetti di un attacco.
Ulteriori informazioni su IBM QRadar SIEM
*Il Total Economic ImpactTM di IBM Security QRadar SIEM è uno studio commissionato condotto da Forrester Consulting per conto di IBM, aprile 2023. Basato sui risultati previsti di un'organizzazione composita modellata da 4 clienti IBM intervistati. I risultati effettivi varieranno in base alle configurazioni e alle condizioni del cliente e, pertanto, non possono essere forniti i risultati generalmente attesi.
questo articolo è stato utile?
SìNon
Altro da Sicurezza
Newsletter IBM
Ricevi le nostre newsletter e aggiornamenti sugli argomenti che forniscono la leadership di pensiero più recente e approfondimenti sulle tendenze emergenti.
Iscriviti ora
Altre newsletter
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.ibm.com/blog/how-to-respond-to-ransomware-attack/
- :ha
- :È
- :non
- $ SU
- 000
- 1
- 10
- 14
- 17
- 179
- 19
- 2022
- 2023
- 2024
- 28
- 29
- 30
- 300
- 350
- 400
- 41
- 7
- 9
- a
- capace
- WRI
- accesso
- Secondo
- operanti in
- Action
- attivare
- attività
- presenti
- aggiuntivo
- indirizzo
- Avanzate
- Vantaggio
- Pubblicità
- aiutarti
- influenzato
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- contro gli aggressori
- AI-alimentato
- puntare
- Tutti
- consente
- quasi
- da solo
- a fianco di
- anche
- sempre
- amp
- an
- .
- Gli analisti
- analitica
- Antico
- ed
- antivirus
- Software antivirus
- in qualsiasi
- nulla
- si applica
- approccio
- Aprile
- SONO
- Arte
- articolo
- AS
- Asus
- At
- attacco
- attacchi
- Tentativi
- revisione
- Autenticazione
- autore
- Autorità
- Automatizzata
- Automatico
- evitare
- precedente
- di riserva
- backup
- Barracuda
- basato
- basic
- BE
- diventare
- diventando
- stato
- prima
- per conto
- comportamento
- Miliardo
- Bitcoin
- Blog
- Blu
- Bluetooth
- violazione
- violazioni
- più ampia
- costruire
- affari
- business continuity
- aziende
- ma
- pulsante
- by
- stanza
- Materiale
- non può
- funzionalità
- carbonio
- carta
- Carte
- casi
- CAT
- catalogo
- lotta
- Categoria
- Causare
- sfide
- impegnativo
- dai un'occhiata
- cerchi
- rivendicare
- classe
- cliente
- colore
- COM
- viene
- Uncommon
- comunicato
- Comunicazione
- Aziende
- azienda
- completamento di una
- complesso
- conformità
- complicato
- condizioni
- condotto
- conduzione
- riservatezza
- Prendere in considerazione
- consulting
- contatti
- contenere
- Contenitore
- continua
- continuità
- copie
- pietra angolare
- crimine
- critico
- cryptocurrencies
- crittografia
- CSS
- Corrente
- costume
- Clienti
- Cyber
- attacchi informatici
- CIBERCRIMINALE
- i criminali informatici
- Cybersecurity
- danneggiamento
- Scuro
- dati
- violazione di dati
- Violazioni dei dati
- Perdita di dati
- protezione dati
- la sicurezza dei dati
- Data
- Giorni
- trattare
- decisione
- decrypt
- Predefinito
- Difesa
- definizioni
- definitivo
- consegnare
- Shirts Department
- descrizione
- individuare
- rivelazione
- sviluppatori
- dispositivo
- dispositivi
- diverso
- digitale
- era digitale
- disastro
- scollegato
- do
- non
- Dont
- i tempi di inattività
- guidare
- durante
- desideroso
- facilmente
- Economico
- effetti
- sforzi
- altro
- emergenti del mondo
- crittografato
- endpoint
- sicurezza degli endpoint
- endpoint
- applicazione
- abbastanza
- garantire
- entrare
- aziende
- entità
- essential
- stabilire
- Etere (ETH)
- Anche
- Evento
- quotidiano
- esempio
- uscita
- previsto
- affrettare
- sperimentare
- esperti
- Sfruttare
- Esposizione
- estorsione
- facce
- Fattori
- fallout
- falso
- più veloce
- fati
- fbi
- Compila il
- File
- Limatura
- Trovate
- firewall
- Nome
- seguire
- i seguenti
- font
- Nel
- Forrester
- Avanti
- essere trovato
- Contesto
- Gratis
- da
- fondo
- ulteriormente
- futuro
- generalmente
- generatore
- geopolitica
- ottenere
- globali
- pandemia globale
- buono
- Enti Pubblici
- rilascio
- grafico
- greco
- Griglia
- di garanzia
- guida
- degli hacker
- hacker
- maniglia
- Hard
- disco rigido
- Più forte
- nuocere
- dannoso
- Avere
- Titolo
- Salute e benessere
- assistenza sanitaria
- altezza
- Aiuto
- aiutato
- utile
- aiuta
- storia
- Fiduciosamente
- ORE
- Come
- Tutorial
- HTML
- HTTPS
- umano
- IBM
- ICO
- ICON
- identificato
- identificare
- identificazione
- if
- Immagine
- immediato
- subito
- Impact
- in
- incidente
- risposta agli incidenti
- incidenti
- includere
- Compreso
- Aumento
- crescente
- Index
- individui
- industria
- infezione
- infezioni
- informazioni
- informati
- intuizioni
- assicurazione
- Intelligence
- destinato
- interferire
- intervistato
- ai miglioramenti
- indagare
- indagine
- coinvolgere
- isolato
- IT
- sicurezza
- SUO
- Gennaio
- jpg
- ad appena
- mantenere
- conservazione
- Le
- Tasti
- Sapere
- Conoscere
- conosciuto
- paesaggio
- computer portatili
- grandi
- Cognome
- L'anno scorso
- con i più recenti
- Legge
- applicazione della legge
- Leadership
- IMPARARE
- imparato
- apprendimento
- legalmente
- Lezioni
- Lezioni apprese
- piace
- probabile
- LIMITE
- Linee
- LINK
- Collegamento
- locale
- località
- bloccare
- bloccato
- Serrature
- cerca
- spento
- macchina
- machine learning
- macchine
- Principale
- manutenzione
- maggiore
- make
- FA
- maligno
- il malware
- gestire
- molti
- corrispondenza
- max-width
- Maggio..
- significato
- Utenti
- Memorie
- messaggi
- metodi
- forza
- verbale
- mente
- ridurre al minimo
- minimizzando
- verbale
- Ridurre la perdita dienergia con una
- Mobile
- moderno
- monitor
- Scopri di più
- Inoltre
- maggior parte
- in movimento
- Nome
- Navigazione
- necessaria
- Bisogno
- Rete
- traffico di rete
- reti
- mai
- New
- notizie
- Newsletter
- GENERAZIONE
- no
- Nota
- Niente
- Avviso..
- adesso
- of
- MENO
- funzionari
- offline
- di frequente
- maggiore
- on
- ONE
- online
- acquisti online
- esclusivamente
- operativo
- sistemi operativi
- ottimizzati
- Opzioni
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- nostro
- al di fuori
- ancora
- pagina
- pandemia
- parte
- particolarmente
- Le password
- patching
- sentiero
- Paga le
- pagamento
- Pagamento
- pagamenti
- paese
- per cento
- cronologia
- foto
- PHP
- pilota
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- spina
- plug-in
- punti
- Polizia
- politica
- popolarità
- posizione
- possibile
- Post
- potenzialmente
- potente
- pratica
- preservare
- atleta
- prevenire
- primario
- principi
- Privacy
- processi
- i processi
- Scelto dai professionisti
- proiettato
- protegge
- proteggere
- protezione
- fornire
- purché
- fornitura
- metti
- rapidamente
- Ransom
- ransomware
- Attacco ransomware
- Attacchi ransomware
- rapidamente
- Lettura
- di rose
- tempo reale
- ricevere
- recente
- Recuperare
- recupero
- riducendo
- riferimento
- raffinare
- riguadagnare
- Basic
- fare affidamento
- rimanere
- a distanza
- accesso remoto
- rimuovere
- rimosso
- rapporto
- richiesta
- necessario
- richiede
- risiede
- resistente
- Rispondere
- risponde
- risposta
- di risposta
- ripristinare
- Risultati
- Aumento
- crescita
- Rischio
- robot
- Prenotazione sale
- Regola
- running
- sicura
- Risparmi
- risparmio
- scansione
- allo
- script
- Cerca
- Segreto
- segreti
- sicuro
- fissaggio
- problemi di
- Security Audit
- strumenti di sicurezza
- invio
- delicata
- SEO
- separato
- grave
- server
- Servizi
- alcuni
- Shopping
- dovrebbero
- firme
- significativamente
- simile
- semplicemente
- da
- site
- Siti
- piccole
- più intelligente
- smartphone
- So
- Software
- Soluzioni
- alcuni
- lo spazio
- specifico
- velocità
- esaurito
- Sponsored
- spread
- piazze
- stabile
- stakeholder
- inizia a
- state-of-the-art
- step
- Passi
- memorizzati
- Tensioni
- strategie
- Strategia
- Lottando
- Studio
- sottoscrivi
- di successo
- tale
- suggerire
- sicuro
- intervistati
- SVG
- rapidamente
- sistema
- SISTEMI DI TRATTAMENTO
- Fai
- Target
- mira
- task
- team
- Membri del team
- le squadre
- Tecnologie
- temporaneo
- terziario
- di
- ringraziare
- Grazie
- che
- Il
- loro
- Li
- tema
- poi
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cosa
- questo
- pensiero
- leadership di pensiero
- minaccia
- rilevamento delle minacce
- minacce
- tre
- per tutto
- tempo
- volte
- Titolo
- a
- di oggi
- strumenti
- top
- argomento
- Totale
- commercio
- tradizionale
- traffico
- tendenze
- provato
- Affidati ad
- seconda
- Digitare
- Tipi di
- tipicamente
- innegabilmente
- capire
- Comprensibilmente
- sbloccare
- fino a quando
- non desiderato
- Aggiornamenti
- aggiornamento
- URL
- USD
- uso
- Utente
- utilizzando
- Prezioso
- variare
- Vittima
- vittime
- visibilità
- VPN
- vulnerabilità
- W
- volere
- vuole
- we
- Che
- quando
- mentre
- se
- quale
- while
- OMS
- Wi-Fi
- volere
- finestre
- con
- senza
- chiedendosi
- WordPress
- parole
- Lavora
- lavoro
- In tutto il mondo
- sarebbe
- scrittura
- scritto
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- zefiro
- vulnerabilità zero-day