Gli hacker utilizzano sempre più il ransomware come strumento efficace per danneggiare i sistemi aziendali, finanziando nuove attività criminali.
Cos’è un ransomware?
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione. Ad esempio alcune forme di ransomware bloccano il sistema e intimano l’utente a pagare per sbloccare il sistema, altri invece cifrano i file dell’utente chiedendo di pagare per riportare i file cifrati in chiaro.
da: Wikipedia
Un fenomeno in crescita da anni
Una recente analisi della società di sicurezza informatica Group-IB ha rivelato che gli attacchi ransomware sono raddoppiati nel 2020, mentre Cybersecurity Venture prevede che un attacco ransomware si verifica ogni 11 secondi nel 2021.
Le aziende devono prepararsi alla possibilità di un attacco ransomware che influisca su dati, servizi e continuità aziendale. Quali passaggi sono necessari per il ripristino da un attacco ransomware?
I 5 step per difendersi da un attacco hacker
- Isolare il problema e spegnere i sistemi “mission-critical”
- Implementare un piano di business continuity
- Segnalare l’attacco informatico
- Ripristinare tramite backup
- Riparare, correggere e monitorare
Isolare il problema e spegnere i sistemi “mission-critical”
Il primo passo importante è isolare e spegnere i sistemi business-critical. È possibile che il ransomware non abbia interessato tutti i dati e i sistemi accessibili. L’arresto e l’isolamento dei sistemi infetti e dei sistemi sani aiuta a contenere la diffusione di codice malevolo nella rete aziendale.
Dalle prime rilevazioni di ransomware sulla rete aziendale, il contenimento dovrebbe essere una priorità. Il contenimento e l’isolamento possono portare all’isolamento dei sistemi dalla rete aziendale o il loro spegnimento temporaneo.
Implementare un piano di business continuity
Nel 2021 non può esistere un’azienda che non abbia un piano di continuità aziendale, l’operatività in situazioni di emergenza è essenziale per mantenere un adeguato livello di attività aziendali a seguito di un attacco informatico.
Ma cos’è un piano di business continuity? È un playbook redatto da esperti di sicurezza informatica che, step-by-step, aiuta tutti i reparti a capire come può operare l’azienda in caso di emergenza causata da un attacco hacker. Tutte le istruzioni per ripristinare e riportare online i dati e i sistemi critici.
Segnalare l’attacco informatico
Molte aziende potrebbero esitare a farlo per timore di cattiva pubblicità, ma è essenziale segnalare l’attacco a clienti, parti interessate e forze dell’ordine. Le forze dell’ordine possono fornire accesso a risorse che potrebbero non essere disponibili altrimenti. Inoltre, ricordiamo che in caso di data breach, il GDPR obbliga le aziende a denunciare – entro 72 ore dalla scoperta della violazione – ll furto di dati che coinvolge le informazioni personali dei clienti.
Un’omessa denuncia porterebbe a sanzioni pesantissime.
Ripristinare tramite backup
Insieme alla prevenzione, la migliore misura di protezione per i dati sono i backup. Tuttavia, il ripristino di grandi quantità di dati può richiedere molto tempo, costringendo l’azienda a rimanere offline per un lungo periodo di tempo.
Questa situazione evidenzia la necessità di scoprire e contenere le infezioni ransomware il più rapidamente possibile per ridurre la quantità di dati da recuperare.
Riparare, correggere e monitorare
Nella fase finale del ripristino da un attacco ransomware, le aziende rimediano all’infezione ransomware, applicano patch ai sistemi che potrebbero aver portato alla compromissione iniziale del ransomware e monitorano attentamente l’ambiente per ulteriori attività dannose.
Non è raro che l’attività dannosa continui, anche se il riscatto viene pagato o se i sistemi infettati sono stati ripristinati. Se persiste la stessa vulnerabilità che ha portato all’attacco iniziale, l’ambiente può essere nuovamente compromesso.
Rimediare sì, ma meglio prevenire
È fondamentale esaminare i punti di ingresso comuni per questi tipi di attacchi.
Gli attacchi informatici utilizzano spesso come veicolo il phishing, per raccogliere credenziali rubate che possono quindi essere utilizzate per lanciare un attacco ransomware o accedere direttamente ai sistemi. Le aziende non devono trascurare la gestione della sicurezza delle password.
Chi può stilare un piano di prevenzione, intervento e remediation?
Aziende molto grandi e strutturate (a livello di multinazionali) hanno esperti specializzati in cyber security all’interno della propria azienda, ma il 95% delle aziende non può permettersi professionisti così ricercati e costosi: ecco quindi che il nuovo modello è quello di affidare la sicurezza informatica in outsourcing, con una struttura di costo che può adattarsi alle effettive dimensioni di un’impresa.
Interessato a un’analisi di sicurezza informatica?