Guida completa per la gestione di un attacco ransomware
Rispondere a un attacco di ransomware richiede una strategia chiara e tempestiva. Questo articolo fornirà una guida dettagliata su come gestire un attacco di ransomware in 12 passaggi essenziali. La preparazione è fondamentale per minimizzare i danni e garantire la sicurezza dei dati.
1. Isolare i sistemi infetti
Questo è il primo e più importante passo per evitare che il malware si diffonda ulteriormente attraverso la rete. Utilizzare metodi di comunicazione fuori banda, come le chiamate telefoniche, per evitare di avvertire gli attaccanti che hanno scoperto l’incidente e che stanno intraprendendo azioni di mitigazione.
2. Sicurezza dei backup
I backup sono la risorsa più importante per recuperare dai danni senza pagare il riscatto. Tuttavia, i criminali sono consapevoli di questo e spesso mirano anche ai backup. Assicurarsi che i backup siano completamente disconnessi dalla rete e che l’accesso a questi sistemi sia bloccato fino a quando l’incidente non sarà risolto. Se necessario, i backup devono essere scansionati approfonditamente per garantire che sia il backup stesso che i dispositivi di upload siano liberi da malware.
3. Disabilitare le attività di manutenzione
Disabilitare qualsiasi attività di manutenzione regolare, come la rimozione dei file temporanei, poiché queste attività potrebbero interferire con l’indagine. Ad esempio, i log dei file temporanei possono contenere informazioni cruciali sull’origine dell’attacco e sui rimedi potenziali. Tuttavia, se questi log vengono automaticamente eliminati dalle attività di manutenzione, queste informazioni preziose saranno perse.
4. Identificare la variante del ransomware
È fondamentale capire esattamente quale variante di ransomware ha colpito l’organizzazione. Questa informazione può fornire dettagli sulla natura dell’attacco, sulle capacità del malware e sulle strategie per la rimozione. L’identificazione della variante può essere complessa, ma ci sono strumenti disponibili per aiutare in questo processo, come l’analisi di snippet di codice o la revisione delle note di riscatto.
5. Iniziare gli sforzi di recupero
Una volta che il ransomware è contenuto, è necessario eliminarlo completamente dai sistemi prima di iniziare le operazioni di recupero. Prima di procedere, è importante catturare un’immagine del sistema di qualsiasi dispositivo infetto per utilizzarla nell’indagine. La CISA consiglia di raccogliere anche qualsiasi log rilevante, nonché campioni di qualsiasi malware “precursore” e attività associate, come indirizzi IP di controllo, registri sospetti o altri file rilevanti individuati.
6. Notificare l’incidente
Dopo aver risolto la minaccia immediata, è possibile avviare le procedure di notifica. Questo include l’invio di informazioni alle autorità, come la polizia, per ulteriori indagini. Le autorità possono aiutare a tracciare e recuperare eventuali pagamenti di riscatto, identificare i gruppi di ransomware e interrompere eventuali future attività. In alcuni casi, le autorità possono anche fornire strumenti di decrittazione per recuperare i file, sebbene ciò non sia sempre garantito.
7. Disconnettere i dispositivi esterni
È cruciale mantenere copie dei file e archiviarle in cloud o su dispositivi esterni. Tuttavia, molti tipi di malware cercheranno di corrompere questi dispositivi, rendendo inefficaci gli sforzi di recupero. Rimuovere immediatamente i dispositivi esterni per garantirne la pulizia.
8. Spegnere tutti i dispositivi e disconnetterli dalla rete
Una volta identificati i dispositivi infetti, disconnettere immediatamente la cavo di rete, spegnere il Wi-Fi e spegnere i dispositivi. Molti tipi di ransomware possono diffondersi attraverso una connessione di rete, quindi più presto i dispositivi sono disconnessi, migliori sono le possibilità di contenere il danno.
9. Disabilitare le attività di manutenzione
Molti compiti di manutenzione sui dispositivi continueranno a eseguirsi come programmato, indipendentemente dall’attacco di ransomware. Compiti come l’eliminazione automatica della cassetta dei rifiuti, la pulizia delle conversazioni e la cancellazione dei file vecchi dovrebbero essere sospesi fino a quando l’incidente di ransomware non sarà risolto. Alcunché potrebbe essere eliminato che successivamente si potrebbe aver bisogno per eliminare il malware o dirigere le autorità verso la fonte.
10. Avvertire tutti gli utenti
Inviare un annuncio via email e pubblicare avvisi su un tabellone di messaggi aziendale per avvertire gli utenti di un attacco di ransomware è una buona strategia, ma non è sufficiente. È necessario andare fisicamente a parlare con tutti per garantire che siano tutti a conoscenza di cosa è accaduto e di cosa devono guardare.
11. Reimaging dei dispositivi infetti
Dopo aver contenuto i danni, assicurarsi che tutti gli utenti siano informati sull’attuale minaccia per evitare ulteriori infezioni. I dati possono essere recuperati senza pagare il riscatto restituendoli da un backup archiviato in un servizio cloud affidabile come AWS. Con una soluzione di backup automatizzata di livello aziendale e conoscendo quando e dove è avvenuto l’attacco, è possibile tornare immediatamente a un’immagine non infettata di ogni sistema dei dati.
12. Recupero dai backup
Dopo aver contenuto i danni, è possibile recuperare i dati dai backup. Assicurarsi che i backup siano stati scansionati approfonditamente per garantire che sia il backup stesso che i dispositivi di upload siano liberi da malware. Utilizzare un’immagine di sistema pulita per reinstallare i sistemi e eseguire scan antivirus per assicurarsi che tutti i segni di infezione siano eliminati prima di ripristinare i backup e riavviare la connessione di rete.
Rispondere a un attacco di ransomware richiede una strategia chiara e tempestiva. Seguendo questi 12 passaggi, è possibile contenere i danni, recuperare i dati e garantire la sicurezza dei sistemi. La preparazione è fondamentale per minimizzare i danni e garantire la sicurezza dei dati. Assicurarsi di avere un piano di risposta ai disastri pronti e testato, inclusi i team necessari (tecniche, crisi, comunicazione, ecc.) e come raggiungerli in modo efficiente. Con una pianificazione adeguata, è possibile affrontare un attacco di ransomware con maggiore efficacia e ridurre al minimo i danni causati.
Fonte: https://ciso2ciso.com/how-to-respond-to-a-ransomware-attack-in-12-steps/
