Come riprendersi da un attacco ransomware?

Per tutto il 2021 e il 2022, il ransomware è stato uno dei principali argomenti di attualità. Potreste aver sentito parlare di assalti a importanti aziende, organizzazioni o enti governativi, o potreste essere stati personalmente vittime di un attacco ransomware sul vostro dispositivo. Secondo uno studio condotto tra gennaio e febbraio 2021, gli attacchi ransomware hanno colpito circa il 37% delle aziende in tutto il mondo.

Avere tutti i vostri file e dati in ostaggio finché non pagate è un problema serio e un pensiero terrificante. Oggi parliamo di come riprendersi da un attacco ransomware nel caso in cui siate già stati vittime di un attacco.  

Ransomware: Panoramica, definizione ed esempi

Il ransomware è un software dannoso che blocca il computer o i file e chiede un riscatto per sbloccarli. I ransomware possono essere installati tramite e-mail di phishing, annunci falsi o software scaricati da siti web non affidabili. Una volta installato, il ransomware può criptare tutti i vostri file, impedendovi di utilizzarli.

A differenza di altri virus o malware, il ransomware non è interessato a rubare o vendere dati sul dark web. Esiste solo per estorcere denaro alle sue vittime tenendo in ostaggio le loro informazioni fino a quando non riceve il pagamento desiderato in cambio del rilascio.

Ultimo esempio di attacco ransomware: Kaseya - Luglio 2021

Nel luglio 2021, Kaseya ha subito uno degli attacchi ransomware più significativi a memoria d'uomo. Infettando circa 50 fornitori di servizi gestiti che utilizzano i prodotti di Kaseya, l'attacco contro l'azienda informatica si è diffuso a 1.500 organizzazioni.

Kaseya si è rifiutata di pagare i 70 milioni di dollari richiesti dal famigerato gruppo REvil per riparare i danni. Sebbene una società di sicurezza di terze parti abbia creato una chiave di decrittazione universale per fermare l'attacco, la Homeland Security era ancora interessata al problema a causa delle sue dimensioni. Meno di due settimane dopo, la Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato le regole per il ransomware.

Modi per prevenire un attacco ransomware

Come evitare un attacco Ransomware?

Prima di tutto, il vostro obiettivo principale dovrebbe essere la protezione contro i ransomware. Ecco alcuni modi che possono aiutare a evitare gli attacchi ransomware:

  • Una soluzione di backup sicura.
  • Mantenete il vostro software antivirus aggiornato con le ultime definizioni di virus.
  • Assicuratevi di controllare i vostri sistemi e dati utilizzando un provider di servizi gestiti (MSP).
  • Formate il vostro personale IT sulle migliori pratiche di sicurezza per assicurarvi che sia a conoscenza delle minacce più recenti e di come evitarle.
  • Considerate l'opportunità di investire in gateway web sicuri, soluzioni di sicurezza per la posta elettronica e altri software di protezione degli endpoint per proteggersi dalle infezioni da malware in tutte le fasi del ciclo di vita dell'attacco (prevenire, rilevare, bloccare).
  • Utilizzare metodi di autenticazione delle e-mail come DMARC.

In che modo il DMARC è utile?

DMARC è l'abbreviazione di Domain-based Message Authentication, Reporting, and Conformance. È stato progettato per rilevare e prevenire lo spoofing attraverso l'allineamento dei domini.

Il DMARC utilizza gli standard di autenticazione SPF e DKIM per rilevare indirizzi IP dannosi, contraffazioni e impersonificazioni di domini.

Se si utilizza il DMARC, quando un'e-mail non supera l'autenticazione (perché sembra inviata da un soggetto diverso dal mittente), viene classificata come spam e abbandonata prima di raggiungere la casella di posta. 

Durante l'invio di e-mail, se è stato impostato il DMARC con un criterio di DMARC (p=rifiuto/quarantena), le e-mail che non lo rispettano saranno rifiutate o classificate come spam, riducendo la probabilità che i vostri destinatari siano vittime di un attacco ransomware.

Questo protegge la reputazione dell'azienda, i dati sensibili e le risorse finanziarie.

Come riprendersi da un attacco Ransomware?

Per uscire da questa situazione, è necessario sapere come riprendersi da un attacco ransomware. Diamo un'occhiata alle strategie più rapide:

Passo n. 1: non farsi prendere dal panico

Non c'è bisogno di farsi prendere dal panico se si viene colpiti da un ransomware. Anche se il ransomware può essere dannoso, recuperare da un attacco non è sempre impossibile. Se i file sono stati sottoposti a backup e non ci sono problemi legali, ad esempio se non si sta utilizzando un software pirata, la strada per il recupero può essere piuttosto semplice.

Passo n. 2: non pagare il riscatto

Non è necessario pagare nulla. Ciò è dovuto ad alcuni fattori:

  • Tenete presente che avete a che fare con un criminale. Non sempre si riavranno i propri dati, anche se si paga il riscatto.
  • State dimostrando l'efficacia del metodo dell'aggressore, il che lo motiverà a prendere di mira altre aziende che seguiranno il vostro esempio e faranno la restituzione: è un circolo vizioso.
  • Affrontare un attacco costa il doppio quando viene pagato il riscatto. Anche se riuscite a recuperare i vostri dati, l'infezione sarà ancora presente sui vostri server, rendendo necessaria una pulizia completa. Oltre al riscatto, sarete responsabili del pagamento dei tempi di inattività, del tempo del personale, dei costi dei dispositivi, ecc.

Fase #3: Ripristino dei file dai backup

Se disponete di backup regolari dei vostri dati conservati fuori sede in caso di disastro, potrete ripristinarli dopo l'attacco. 

Passo n. 4: Interrompere tutte le connessioni in entrata

I ransomware spesso sfruttano una vulnerabilità di Internet Explorer o di un altro browser per accedere al computer. In questo caso, disconnettetevi immediatamente da Internet scollegando il modem o disattivando il Wi-Fi sul vostro dispositivo. 

Fase #5: Verifica delle pratiche di sicurezza

Un buon passo è quello di condurre un audit delle vostre pratiche di sicurezza per vedere cosa deve essere migliorato. Se da un lato è essenziale apportare modifiche che risolvano il problema immediato, dall'altro è importante non trascurare altre aree della rete che potrebbero essere vulnerabili. 

Passo n. 6: cambiare tutte le password

Questo include le password per gli account di posta elettronica e dei social media e qualsiasi account compromesso da questo attacco, compresi gli estratti conto finanziari in cui possono essere memorizzate informazioni sensibili come i numeri delle carte di credito. Dovreste anche cambiare le password dei dispositivi connessi a Internet che non sono stati infettati dal ransomware.

Fase #6: Chiamare gli esperti

Se la vostra azienda è stata colpita da un ransomware, rivolgetevi a esperti che sanno come affrontare questo tipo di malware. Possono aiutarvi a valutare l'accaduto e a determinare se è necessario fare qualcosa di più prima di consentire ai dipendenti di accedere nuovamente alla rete (o se dovrebbero addirittura rientrare). E probabilmente avranno suggerimenti su come proteggersi al meglio da attacchi futuri.

Parole finali

È probabile che prima o poi vi capiti di subire un attacco ransomware. L'importante è sapere come riprendersi da un attacco ransomware ed essere in grado di ripristinare i dati in modo sicuro quando il malware è stato completamente rimosso dal sistema.

Configurazione di un analizzatore DMARC è il primo passo per acquisire protezione contro le minacce ransomware! Noi di PowerDMARC vi aiutiamo a passare facilmente e rapidamente all'applicazione del DMARC che vi proteggerà da un'ampia gamma di attacchi che gli utenti di posta elettronica si trovano ad affrontare quotidianamente.

Ultimi messaggi di Ahona Rudra (vedi tutti)