{"id":23987,"date":"2021-02-18T16:43:34","date_gmt":"2021-02-18T14:43:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23987"},"modified":"2021-02-18T16:43:34","modified_gmt":"2021-02-18T14:43:34","slug":"ransomware-attack-what-to-do","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ransomware-attack-what-to-do\/23987\/","title":{"rendered":"Hanno cifrato i vostri dati: e adesso?"},"content":{"rendered":"

Avete letto i nostri mille e pi\u00f9<\/a> articoli su come proteggere la vostra rete da ogni tipo di minaccia. Tuttavia, a volte, nonostante tutte le precauzioni, un\u2019infezione riesce a insinuarsi. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuir\u00e0 a determinare se l\u2019incidente diventer\u00e0 un enorme grattacapo per l\u2019azienda o sar\u00e0 il suo fiore all\u2019occhiello grazie a un\u2019eccellente gestione della crisi.<\/p>\n

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.<\/p>\n

Step 1: individuare e isolare<\/h2>\n

Il primo passo \u00e8 quello di determinare la portata dell\u2019intrusione. Il malware si \u00e8 diffuso in tutta la rete? In pi\u00f9 di un ufficio?<\/p>\n

Cominciate a cercare i computer e i segmenti di rete infetti nell\u2019infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.<\/p>\n

Se l\u2019azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR<\/a> e dei file log<\/a> firewall<\/a>. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all\u2019altro e controllate.<\/p>\n

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM<\/a>. Questo non eliminer\u00e0 tutto il lavoro successivo di passaggio da un dispositivo all\u2019altro, ma \u00e8 un buon inizio per delineare il quadro generale.<\/p>\n

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell\u2019indagine (se l\u2019azienda non pu\u00f2 permettersi il tempo di inattivit\u00e0 dei computer, create comunque le immagini, e salvate il dump della memoria per l\u2019indagine).<\/p>\n

Step 2: analizzare e agire<\/h2>\n

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, pi\u00f9 le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano pi\u00f9 una minaccia. Si potrebbe<\/em> iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.<\/p>\n

Ora \u00e8 il momento di analizzare il ransomware, capire come \u00e8 entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper<\/a>, un RAT<\/a>, un Trojan loader<\/a> o qualcosa di simile lo ha installato. \u00c8 necessario sradicare quel qualcosa.<\/p>\n

Per farlo, conducete un\u2019indagine interna. Scavate nei log per determinare quale computer \u00e8 stato colpito per primo e perch\u00e9 quel computer non \u00e8 riuscito a fermare l\u2019assalto.<\/p>\n

Sulla base dei risultati dell\u2019indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.<\/p>\n

Step 3: fare pulizia e ripristinare<\/h2>\n

A questo punto, avrete gi\u00e0 gestito la minaccia alla rete, cos\u00ec come la relativa falla da cui \u00e8 passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono pi\u00f9 necessari per l\u2019indagine, formattate le unit\u00e0 e poi ripristinate i dati con il backup pulito pi\u00f9 recente.<\/p>\n

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ci\u00f2 che si trova sulle unit\u00e0. Iniziate dal sito No Ransom<\/a> di Kaspersky, dove potrebbe gi\u00e0 esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l\u2019esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).<\/a><\/p>\n

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un\u2019attivit\u00e0 criminale, e comunque, le possibilit\u00e0 di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati<\/a> proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere pi\u00f9 soldi. In alcuni casi<\/a>, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un\u2019ulteriore somma di denaro, minacciando di pubblicare tutto se non l\u2019avessero ottenuta.<\/p>\n

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell\u2019incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onest\u00e0<\/a> sono importanti e saranno sempre qualit\u00e0 apprezzate.<\/p>\n

Step 4: prendere misure preventive<\/h2>\n

Un grande incidente informatico equivale sempre a grossi problemi; perci\u00f2, la prevenzione \u00e8 la miglior cura. Preparatevi in anticipo a ci\u00f2 che potrebbe andare storto:<\/p>\n