Sette misure da adottare in caso di attacco ransomware

Gli attacchi ransomware si ripetono continuamente. Qualche settimana fa, il portale di confronto "Comparis" e un'impresa di costruzione di binari della Svizzera occidentale sono stati attaccati. I riscatti vengono solitamente estorti per i dati criptati. I gruppi di hacker possono talvolta mostrare un comportamento particolarmente aggressivo e, in caso di trattative esitanti, non esitano a pubblicare i dati interni dell'azienda sulla Darknet. Ma cosa succede se colpisce davvero un'azienda? Bitdefender offre sette consigli per affrontare una situazione del genere:

1. isolare rapidamente le unità.
Il ransomware non dovrebbe essere in grado di diffondersi più di quanto non abbia già fatto. Pertanto, gli amministratori devono isolare dalla rete i sistemi interessati il prima possibile. Soprattutto durante la pulizia dopo l'attacco ransomware, aiuta a prevenire l'ulteriore diffusione del malware estorsivo.

2. comprendere il vettore di attacco.
Una volta isolate le unità interessate, è importante capire come sia potuto accadere l'incidente. Da un lato, questo aiuta ad affrontare l'incidente. Inoltre, fornisce lezioni preziose per il futuro. È quindi importante scoprirlo: Chi era il paziente zero della rete?

Eseguire il backup e controllare i backup. 
Le applicazioni e i server possono essere ripristinati, ma i dati sono insostituibili. Senza backup, non è più possibile metterli al sicuro. Pertanto, la misura consiste nel toglierli prima dalla rete. Gli aggressori cercano specificamente i backup come parte del loro attacco. Se sono ancora online, c'è il rischio che vengano inclusi nell'attacco. Naturalmente, è ancora meglio conservare i backup offline in un luogo fisicamente separato fin dall'inizio. La regola del 3-2-1 per il backup è ovvia, soprattutto per proteggere i dati da attacchi estorsivi. Ciò significa che una richiesta di riscatto potrebbe essere inutile, almeno per quanto riguarda i dati. Gli amministratori IT possono invece occuparsi della ricostruzione dei sistemi.

4. interrompere i progetti e le attività pianificate. 
Un attacco ransomware è un'emergenza e richiede il raggruppamento di tutte le risorse. Una riorganizzazione dell'architettura IT, come la migrazione a nuovi ambienti o l'installazione di nuove applicazioni e server, deve essere interrotta immediatamente. Tali progetti potrebbero aiutare il malware a diffondersi ulteriormente. È altrettanto importante interrompere le attività pianificate, ad esempio i backup. Perché in questo modo il malware estorsivo può diffondersi ulteriormente.

Mettere in quarantena le aree potenzialmente compromesse. 
In generale, non si dovrebbe escludere alcuna possibilità subito dopo un attacco e tutte le parti dell'infrastruttura potenzialmente interessate dovrebbero essere messe in quarantena. Questo significa togliere tutto dalla rete ed esaminarlo singolarmente prima di poterlo riutilizzare.

Dopo l'attacco è prima dell'attacco: cambiare le password. 
È meglio essere sicuri che dispiaciuti. All'inizio di un incidente, spesso non è del tutto chiaro come sia potuto accadere. Si è trattato di un semplice attacco? Oppure si trattava di un attacco complesso, possibile perché l'aggressore aveva catturato i dati di autenticazione? Se così fosse, può sempre iniziare il tentativo successivo. È quindi opportuno modificare in ogni caso le password degli account utente critici per il sistema.

7. non farsi prendere dal panico - pianificare e praticare situazioni critiche di sicurezza
Se il peggio dovesse accadere, l'amministrazione IT sarà sottoposta a forti pressioni, con il rischio di prendere decisioni sbagliate in questa situazione di pressione. Per evitare il più possibile questa situazione, i reparti IT dovrebbero prepararsi ad affrontare un'emergenza. Idealmente, i responsabili della sicurezza dovrebbero avere processi definiti. Perché, soprattutto in caso di emergenza, le aziende hanno bisogno di un piano per non dimenticare nessuna misura sensata. Anche questi processi dovrebbero essere praticati regolarmente, ad esempio in simulazioni di "Test della squadra rossa e blu". Se i dipendenti sanno che esiste un piano che entra in vigore in caso di emergenza e che è stato messo in pratica, il rischio di agire in modo sbagliato sotto pressione è ridotto al minimo.

Fonte: Bitdefender