Sapere cosa fare in caso di un attacco ransomware è già parte della soluzione. Cinque azioni per reagire subito e nove consigli per stare più tranquilli e prepararsi alle prossime emergenze.

Wannacry ha colpito complessivamente 150 Paesi, reso indisponibili circa 200 mila sistemi, eppure tutti gli esperti di sicurezza hanno la sensazione che ‘comunque’ non sia andata nemmeno poi così male. Ci dovremo attendere conseguenze molto più importanti, soprattutto in comparti molto critici. Il bilancio sulla coda dell’attacco, anche considerati gli obiettivi degli ospedali inglesi allarma, ma non è stato tragico. Con la guida di EY cerchiamo però di mettere a fuoco quali sono i comportamenti da adottare immediatamente, quando ci si rende conto che l’attacco è in corso e sul medio termine.

Attacco ransomware: cinque le azioni immediate da compiere:

1. Disconnettete immediatamente tutte le connessioni di rete e gli storage esterni. Forse non è stato ancora messo ben in evidenza che i ransomware non solo si propagano comodamente sulle periferiche connesse via USB, ma anche su quelle di rete. Potete fare anche decine di backup, ma se avete adottato (tante volta consigliata) la tecnica della sincronizzazione simultanea, per evitare l’infezione avete solo la possibilità di anticipare la propagazione. E se non scollegate subito le periferiche per conservare le copie di backup precedenti (sempre che le conserviate) non potrete fare nulla con i vostri dieci backup.
2. Spegnete il pc ed informate il team IT, se non l’avete e il vostro team IT siete voi, prima di tutto mantenete il sangue freddo e agite con calma, senza affrettare comportamenti di cui potreste pentirvi.
3. Chiedete il supporto di un team esperto in cybercrime investigation
4. Non pagate nessun riscatto agli hacker, in modo da non alimentare l’ecosistema illegale, inoltre non c’è nessuna garanzia di riavere accesso ai dati cifrati. Con WannaCry (ma capita anche con altri ransomware) anche chi ha pagato probabilmente non è riuscito a decriptare i dati, non è la prima volta che capita. Non solo: chi paga una volta, forse pagherà anche la seconda. Il meccanismo è lo stesso di sempre.
5. Proteggete e mantenete i backup pronti per permettere agli esperti di poter fornire assistenza.

EY strategia a medio termine contro attacco ransomware

EY approfondisce poi l’approccio a medio termine e consiglia la seguente strategia su nove punti.

► Implementare e verificare la robustezza dei sistemi di vulnerability e patch management
► Sviluppare e verificare lo stato di adeguatezza dei sistemi e dei processi di risposta agli incidenti
► Sviluppare piani di business continuity efficaci ed aggiornati rispetto all’attuale scenario di minaccia Cyber. Se non si è simulato in azienda almeno una volta un attacco serio non si potrà mai essere sicuri di avere un piano adeguato di business continuity
► Implementare programmi di backup per tutti i dati critici in funzione del tasso di generazione e aggiornamento degli stessi. Che siano backup non necessariamente di sincronizzazione, ma anche schedulati e non solo di tipo incrementale.
► Supportare lo sviluppo di soluzioni di monitoraggio e security operations (SOC, endpoint monitoring) che aiutano a intercettare tempestivamente e ridurre gli effetti di questi attacchi
► Sviluppare sistemi di protezione specifici per i sistemi aziendali più critici ed eventualmente identificare sistemi e dati che non hanno necessità di essere connessi ad internet
► Formare il personale a rispondere a questo tipo di incidenti e in generale creare consapevolezza nei dipendenti anche attraverso attività di attacco simulato. Sapere non solo cosa fare ma anche come reagire al momento dell’attacco informatico è già parte della soluzione.
► Assicurare verifiche tecniche periodiche delle misure di sicurezza tramite vulnerability assessment e penetration test
► Implementare un sistema di governo proattivo per l’intero ecosistema aziendale.

In linea di massima l’approccio di EY è condiviso dalla maggior parte dei vendor che conosciamo, se avete necessità rivolgetevi alla nostra agenzia.
Group Top Secret
Via Dietro Listone, 11
37121 Verona (VR)
Tel. 045595521
Cell. 3491710231

Attacco ransomware: Aggiornamenti 2021

Un nuovo rapporto di Yoroi conferma l’uso di email e PEC come vettore di attacco principale verso l’industria e le banche italiane. In base al report 2021 si nota come quasi ogni tipo di violazione dei dati inizia con un attacco di phishing, come nel 2019. Più del 50% dei tentativi di phishing si è registrato nel settore dei Materiali da Costruzione che è composto da industrie produttrici di gesso, cemento, acciaio, legno, vetro e argilla e rappresenta un business importante per l’Italia.

Il 75,6% dei file malevoli utilizzati per attaccare le organizzazioni sono ‘malware zero-day’, cioè virus malevoli appena conosciuti che riescono ad aggirare i tradizionali perimetri di sicurezza.

Tra le novità segnalate dal rapporto, l’aumento degli attacchi di Double Extortion (Attacchi a doppia estorsione) basati su ransomware che richiedono un doppio pagamento: per riscattare i dati e tacere dell’attacco da parte degli aggressori. L’altro elemento nuovo è geopolitico, con le cyber aggressioni che oramai arrivano anche da dentro l’Ue, il 3% dalla Germania, l’1% dal Regno Unito.

Gli Usa occupano i primi posti con il 34%, i tentativi provenienti dalla Cina sono scesi dal 31% del 2019 al 24%, quelli dalla Russia sono aumentati dal 9% all’11% mentre India, Vietnam, Brasile, Taiwan e Indonesia condividono il 26% della distribuzione totale (era il 41% nel 2019).

Hai mai avuto un attacco ransomware? Racconta la tua esperienza nei commenti.