ransomware Recupero: Come riprendersi da ransomware

Il ransomware esiste da decenni, ma gli attacchi di ransomware sono aumentati negli ultimi anni dopo che l'attacco WannaCry ransomware ha dimostrato che questi attacchi sono efficaci e redditizi. Negli ultimi anni, sono emersi molti gruppi di ransomware che stanno spingendo malware sofisticati.

Questi gruppi hanno approfittato della pandemia COVID-19 per diffondere i loro attacchi tramite RDP e endpoint VPN vulnerabili. Tuttavia, mentre la fine potrebbe essere in vista per la pandemia COVID-19, la pandemia di ransomware sembra solo prendere velocità.

Per saperne di più Parli con un esperto

Un'ondata di attacchi a ransomware

In origine, il ransomware era un malware diffuso da un singolo gruppo di minacce che criptava i file su un sistema e chiedeva un riscatto per la chiave di decriptazione. Tuttavia, negli ultimi anni, il volto della minaccia ransomware è cambiato radicalmente.

Un cambiamento importante è la crescente escalation di questi attacchi. In primo luogo, gli attacchi di "doppia estorsione" hanno rubato dati sensibili prima di crittografarli e hanno minacciato di divulgare i dati se non fosse stato pagato il riscatto. Poi, i gruppi di "tripla estorsione" hanno iniziato a minacciare e a chiedere riscatti anche ai clienti delle loro vittime. Ora, alcuni gruppi di ransomware minacciano o eseguono attacchi DDoS (Distributed Denial of Service) per fare ulteriore pressione sulle vittime affinché paghino il riscatto.

Un'altra importante evoluzione è l'emergere del modello Ransomware as a Service (RaaS), in cui un gruppo ransomware sviluppa il malware e poi lo distribuisce agli "affiliati" per utilizzarlo nei loro attacchi. Con RaaS, un maggior numero di gruppi ha accesso a malware sofisticati, il che significa un maggior numero di attacchi ransomware.

Cosa fare in caso di infezione

Se è stato infettato, segua questi passi per gestire l'impatto dell'incidente e prepararsi al recupero del ransomware:

  1. Mantenga la calma: Gli attacchi ransomware possono essere stressanti, ma affrettare le cose può significare commettere gravi errori. Mantenere il sangue freddo è essenziale per prendere le decisioni giuste durante il recupero da un ransomware.
  2. Mettere in quarantena i sistemi colpiti: Il ransomware cerca comunemente di diffondersi attraverso la rete per infettare il maggior numero possibile di sistemi. Disconnettere i sistemi infetti dal resto della rete può aiutare a salvare anche altri dati dalla crittografia.
  3. Disconnettere i backup: Il ransomware prende comunemente di mira i sistemi di backup, perché gli operatori di ransomware sanno che le organizzazioni cercheranno di recuperare i backup invece di pagare il riscatto. Non colleghi alcun backup al computer infetto e monitorizzi e metta in quarantena i backup che potrebbero essere infetti.
  4. Faccia una copia: La decriptazione dei ransomware non funziona sempre e i decrittatori di ransomware sono in continuo sviluppo. Creare una copia dei dati crittografati potrebbe consentire di recuperarli in seguito, se qualcosa va storto.
  5. Mantenere i sistemi infetti online: Alcune varianti di ransomware possono rendere instabili i sistemi infetti, il che significa che un riavvio può lasciarli in uno stato irrecuperabile. Non cerchi di riavviare i sistemi o di eseguire aggiornamenti sui sistemi infetti mentre lavora per rimuovere il ransomware.
  6. Cooperare e comunicare: Si rivolga alle forze dell'ordine, alle autorità di regolamentazione e alle altre parti interessate e prenda in considerazione la possibilità di contattare un team di risposta agli incidenti affidabile. Potrebbero avere conoscenze specialistiche o risorse aggiuntive per aiutare a risolvere il problema.
  7. Identificare la variante: Sono in circolazione molte varianti di ransomware e l'elenco cambia costantemente. Se la nota di riscatto non riporta il nome dell'autore, consulti il No More Ransom Project per maggiori informazioni e potenzialmente per un decriptatore gratuito.
  8. Pagare o no: questa è una domanda difficile. Da un lato, il pagamento del riscatto può consentire un recupero più rapido ed economico. D'altra parte, il pagamento non offre alcuna garanzia di recupero e fornisce agli aggressori le risorse necessarie per continuare le loro attività.
  9. Imparare dall'incidente: Il ransomware ha avuto accesso ai suoi sistemi in qualche modo. Identificare il vettore di infezione e chiuderlo per evitare che gli aggressori futuri utilizzino le stesse tecniche.

Come recuperare da un ransomware

Un attacco ransomware riuscito cripta i dati in modo tale da rendere impossibile la decodifica senza la chiave di decodifica appropriata. Tuttavia, esistono alcune opzioni per il recupero del ransomware:

  • Progetto No More Ransom: Come già detto, il primo posto dove cercare una soluzione è il No More Ransom Project. Per molte varianti di ransomware sono stati rilasciati dei decrittatori gratuiti, che consentono il recupero senza pagare il riscatto. Tuttavia, in genere gli strumenti non sono disponibili per le varianti di ransomware più diffuse.
  • Ripristinare dai backup: Il ransomware cerca comunemente di eliminare o criptare i backup, ma è possibile che alcuni rimangano intatti. se sono offline o di sola lettura. Dopo aver verificato che il backup sia pulito e aver ripulito completamente il computer, compreso il Master Boot Record (MBR), potrebbe essere possibile eseguire un ripristino parziale o completo dai backup.
  • Pagare il riscatto: L'obiettivo del ransomware è mettere le vittime in una posizione in cui il pagamento del riscatto è l'"unica opzione disponibile". La decisione di pagare o meno dipende dalla situazione unica di un'organizzazione e comporta rischi significativi.

Oltre a ripristinare i file, è fondamentale assicurarsi che gli aggressori non possano criptare immediatamente i file sui computer infetti. Coinvolgere un team di risposta agli incidenti (IRT) per identificare e chiudere le vulnerabilità utilizzate per ottenere l'accesso all'ambiente aziendale e per rilevare e rimuovere eventuali backdoor e meccanismi di persistenza installati sui sistemi infetti è un passo fondamentale prima di ripristinare questi sistemi.

Recupero da ransomware con Check Point

Quando si tratta di ransomware, la prevenzione è sempre l'opzione migliore. Disporre di una soluzione anti-ransomware prima che si verifichi un attacco può far risparmiare all'organizzazione molto tempo, denaro e problemi. Per saperne di più sulle soluzioni anti-ransomware, consulti questa Guida all'acquisto e richieda una demo gratuita di Harmony Endpoint.

Tuttavia, se è vittima di un attacco ransomware riuscito, è bene rivolgersi agli esperti. I team Managed Detection and Response (MDR) e Incident Response (IR) di Check Point hanno una vasta esperienza nel rilevamento, nell'indagine e nella gestione delle infezioni da ransomware.

Se sta subendo un incidente di cybersecurity, chiami la nostra Hotline di risposta alle emergenze. Per questioni meno urgenti e per saperne di più sulla protezione da futuri attacchi ransomware, ci contatti.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativacookies .
OK