Ripristino dal ransomware: una guida completa per salvare i tuoi dati

Riepilogo

Gli attacchi ransomware stanno aumentando e hanno colpito fino all’85% delle aziende intervistate nel 2022. Anche se alcune aziende hanno scelto di pagare il riscatto, un numero significativo di esse non è riuscito a recuperare i dati e molte sono rimaste vittime di un secondo attacco. Il ransomware può paralizzare un’azienda, quindi è essenziale prepararsi implementando solide misure di sicurezza informatica, una strategia di backup completa e un robusto piano di risposta agli incidenti. Le aziende dovrebbero verificare rigorosamente l’integrità del backup e mettere in pratica la risposta agli incidenti. Devono sapere come riprendersi da un incidente ransomware nel modo più rapido ed efficace possibile.

Scopri di più sulle best practice per difendersi dal ransomware e come proteggere la tua organizzazione.

Cos’è il ripristino dal ransomware?

Una delle peggiori minacce che le aziende devono affrontare oggi è il ransomware. Secondo il Report sulle tendenze nella protezione dei dati 2023, il numero di aziende attaccate con successo è aumentato dal 76% nel 2021 all’85% nel 2022. Incredibilmente, solo il 55% dei dati crittografati era recuperabile. In media, le aziende colpite hanno perso il 45% dei loro dati.

Esistono diversi tipi di ransomware. In genere, i criminali informatici bloccano gli utenti al di fuori dei loro computer e crittografano i dati per estorcere ingenti somme di denaro. Scareware e doxware sono altri tipi di ransomware che minacciano di divulgare informazioni private a meno che le vittime non paghino un riscatto.

Il ripristino del ransomware è un insieme di azioni deliberate intraprese dalle aziende per mitigare l’impatto degli attacchi ransomware. Partendo dal presupposto che gli hacker riusciranno a crittografare i dati aziendali, le organizzazioni implementano un sistema di backup immutabili dei dati e di snapshot della configurazione che consentono loro di ricostruire i propri sistemi. Il successo del ripristino del ransomware dipende dall’efficacia dei processi di backup e protezione dei dati di un’organizzazione e da cosa è stato colpito durante l’attacco ransomware.

Preparati per gli attacchi ransomware

La preparazione al ransomware fa parte della pianificazione della continuità aziendale, dato che il rischio di un attacco è elevato. Un attacco riuscito potrebbe causare una significativa perdita di dati e l’impossibilità per la tua azienda di continuare mantenendo costante il livello di preoccupazione.

La preparazione per difendersi da un attacco ransomware richiede un piano di ripristino completo. Questo piano sovrebbe essere costantemente rivisto e accuratamente testato. Dovrebbe integrare le best practice per la prevenzione del ransomware, comprese robuste misure di sicurezza informatica e una strategia di backup completa.

Implementa robuste misure di sicurezza informatica

Il primo passo dovrebbe essere quello di rafforzare la tua rete rispetto all’accesso non autorizzato e proteggere i tuoi sistemi dagli hacker. I passaggi principali comprendono:

• Protezione degli endpoint: proteggi tutti i dispositivi endpoint come laptop, macchine virtuali (VM), server, dispositivi incorporati e dispositivi mobili. Implementa l’autenticazione a più fattori (MFA), applica policy che prevedano password robuste e crittografa i tuoi dati. Installa il software di sicurezza degli endpoint e adotta i principi di sicurezza Zero Trust.
• Sicurezza della rete: proteggi la tua rete dall’accesso non autorizzato. Usa firewall robusti per proteggerti dagli hacker. Usa le VPN (Virtual Private Network) per segmentare la tua rete e ridurre al minimo la portata di una violazione di sicurezza.
• Sicurezza della posta elettronica: implementa soluzioni avanzate di protezione dalle minacce per proteggere gli account utente. Fornisci agli utenti la formazione necessaria sulla sicurezza dell’email e su come riconoscere i segnali degli attacchi di phishing.
• Applica le patch del software: installa tempestivamente le patch di sicurezza del software per ridurre al minimo il rischio che gli hacker sfruttino le vulnerabilità.

Crea una strategia di backup completa

Gli hacker riconoscono l’importanza dei backup e li prendono di mira, insieme ai server di backup. Crea una strategia di backup sicura e completa e considera questi punti nel momento in cui sviluppi il tuo piano di backup personale.

• Regola 3-2-1-1-0: si tratta di un’evoluzione del piano di backup 3-2-1 originale, che richiede tre backup oltre ai dati originali. Dovresti conservare i tuoi backup su almeno due diversi tipi di supporto, con una copia offsite e un’altra offline. Lo zero in questa versione della regola significa che dovresti controllare i tuoi backup per verificare l’assenza di errori.
• Tipo di backup: la tua strategia di backup può includere backup completi, incrementali o differenziali. In genere, i backup completi vengono eseguiti settimanalmente mentre i backup incrementali o differenziali vengono eseguiti quotidianamente. Un backup incrementale è un backup separato che memorizza tutte le modifiche dall’ultimo backup completo o incrementale. Un backup differenziale è leggermente diverso, poiché esegue il backup di tutte le modifiche apportate dall’ultimo backup completo. La sua dimensione aumenta con ogni backup differenziale.
• Backup offsite e basati su cloud: almeno un set di backup deve essere offsite, su un server remoto con protezione avanzata o in una struttura cloud sicura come l’object storage cloud di Amazon S3.
• Backup immutabili: i backup devono essere immutabili. Ciò significa che sono di sola lettura e non possono essere modificati o eliminati, solitamente per un periodo predeterminato. I backup immutabili offrono una protezione migliore dal ransomware.

Come rilevare gli incidenti ransomware

Il rilevamento precoce di un’infezione da ransomware è fondamentale e può prevenire un attacco ransomware in piena regola. Un attacco ransomware si svolge attraverso varie fasi. Comprende un ingresso o infezione iniziale, la ricognizione e l’allestimento e, infine, la crittografia dei dati. Se riesci a rilevare questa attività, puoi isolare le macchine interessate e ridurre al minimo l’impatto di un attacco. Ecco tre tecniche che possono essere d’aiuto:

• Identificare i sintomi e gli indicatori del ransomware: i primi sintomi di un attacco spesso includono un’attività insolitamente elevata della CPU e un’elevata attività di lettura e scrittura sui dischi rigidi.
• Monitorare e analizzare le anomalie della rete: i segnali di un’attività dannosa includono traffico di rete insolito, picchi di traffico, larghezza di banda di rete ridotta e richieste di rete anomale.
• Utilizzare le soluzioni SIEM (Security Information and Event Management): utilizzando le tecniche di machine learning, il software SIEM analizza i dati di log per identificare minacce e attività sospette in tempo reale.

Cosa fare quando si risponde agli attacchi ransomware

Rispondi tempestivamente e con decisione a un attacco ransomware. Più rapida è la risposta, meglio è, soprattutto se riesci ad agire prima che il malintenzionato crittografi i tuoi dati. Ecco i cinque passaggi che puoi seguire per rispondere:

• Implementa il tuo piano di risposta agli incidenti: attiva immediatamente il contenimento, l’isolamento e il piano di risposta al ransomware e avvisa il senior management e tutti gli interessati.
• Isola e contieni i sistemi infetti: determina quali sistemi sono infetti e isolali dalla tua rete interna e da Internet. Esegui snapshot e immagini di sistema di tutti i tuoi dispositivi infetti.
• Avvisa le autorità competenti e le forze dell’ordine: a seconda della tua giurisdizione, devi segnalare l’attacco alle autorità di regolamentazione e alle forze dell’ordine, come l’FBI o il CISA.
• Richiedi il supporto esterno degli esperti di sicurezza informatica: contatta il supporto IT specializzato e le aziende di sicurezza informatica come Veeam per ricevere assistenza in caso di emergenza ransomware.
• Valuta le considerazioni legali ed etiche nella risposta all’incidente di ransomware: stabilisci chi sono le parti interessate e informale tutte. Stabilisci le conseguenze legali della protezione dei dati, delle leggi sulla privacy e delle tue responsabilità etiche.

Strategie di ripristino dal ransomware

La tua strategia di ripristino può essere influenzata da diversi fattori, tra cui:

• Il tempo necessario per ripristinare
• L’impatto finanziario sul business
• Le minacce di pubblicazione di dati riservati a meno che non venga pagato il riscatto

Qui esploriamo diverse opzioni, tra cui l’utilizzo dei backup, il pagamento del riscatto, gli strumenti di decrittazione del ransomware e i provider di servizi per difendersi dal ransomware.

Ripristinare i dati dai backup

• Ripristino dei dati: il ripristino dei dati dai backup Veeam è un processo relativamente semplice. Puoi scegliere tra il ripristino sui server originali o il ripristino su una VM. Questa seconda opzione significa che puoi ripristinare rapidamente da un attacco ransomware mentre il tuo team lavora per pulire e reinstallare i server. Veeam ti consente di creare una replica dal tuo backup e di configurare una VM in grado di eseguire il failover in caso di attacco ransomware. Altre opzioni di ripristino comprendono gli snapshot e i repository basati su flash.
• Garantisci l’integrità e la verifica dei dati: è fondamentale assicurarsi che i backup non siano infetti e siano ancora utilizzabili. Ad esempio, la funzione di ripristino sicuro di Veeam esegue automaticamente una scansione antivirus delle immagini di backup prima del completamento del ripristino.
• Ripristino dei dati da backup immutabili: non è possibile modificare i backup immutabili durante il periodo di immutabilità e questo contribuisce alla protezione dal ransomware. I backup immutabili forniscono un’immunità molto superiore in caso di attacchi ransomware.

Esplorare il pagamento del riscatto

La decisione di pagare il riscatto è sempre difficile e le aziende interessate devono valutare i rischi e le conseguenze del pagamento. Anche se l’FBI non supporta il pagamento di un riscatto, il Report sulle tendenze nel ransomware 2023 di Veeam mostra che l’80% delle vittime ha comunque deciso di pagare. I motivi per negoziare con gli operatori del ransomware comprendono:

• Backup crittografati: potresti non avere accesso ai backup puliti. Secondo il report, gli attacchi ransomware hanno colpito il 75% dei repository di backup.
• Costo opportunità: perdi denaro e credibilità ogni giorno che la tua azienda è fuori servizio. I costi totali di ripristino potrebbero essere superiori al pagamento del riscatto. 
• Riservatezza dei dati: la minaccia di pubblicare dati dannosi e riservati è reale e magari ritieni più sicuro pagare il riscatto e recuperare tali dati. 

Tuttavia, è ampiamente provato che il pagamento del riscatto non è la fine della storia. Tra coloro che hanno pagato il riscatto, abbiamo riscontrato che il 25% non ha comunque recuperato i propri dati. Inoltre, l’80% delle aziende che ha pagato il riscatto è stata colpita da un secondo attacco ransomware in seguito.

Le aziende dovrebbero studiare le opzioni in grado di eliminare ogni possibile necessità di pagare il riscatto.

Utilizzare strumenti e tecniche di decrittazione

A volte è possibile decrittografare i file ransomware: il successo dipende in gran parte dal tipo di ransomware e dalla disponibilità di strumenti adeguati. Kaspersky, Avast e Bitdefender dispongono di strumenti di decrittazione utili contro alcuni tipi di ransomware. Tuttavia, i criminali informatici di maggior successo utilizzano metodi avanzati con strumenti di crittografia a 128 e 256 bit. È quasi impossibile decifrare questo livello di crittografia, ma gli esperti hanno scoperto dei difetti in alcune forme di ransomware che consentono agli utenti di decrittografare i propri file.

Collaborare con i servizi di ripristino dal ransomware

Se desideri decrittografare i tuoi file, potrebbe essere meglio collaborare con un provider di servizi di ripristino dal ransomware professionale. Alcune aziende hanno sviluppato una reputazione invidiabile in questo campo, mentre altre no. Quindi, prima di contattare questi servizi, valuta la loro esperienza. È meglio avere a che fare con professionisti rispettabili che valuteranno la tua situazione e daranno una risposta onesta sulla possibilità di ripristinare o meno i tuoi dati. I migliori provider di servizi dispongono di operazioni globali con più laboratori di ricerca. Detto questo, tali servizi sono costosi e non c’è comunque alcuna garanzia di recuperare i dati.

Best practice per il ripristino dal ransomware

Nonostante tutti i problemi, puoi comunque ripristinare da un attacco ransomware. Ecco quattro best practice per il ripristino dal ransomware che possono fare la differenza tra successo e fallimento.

• Testa e convalida i backup: i backup non servono a nulla se non funzionano. Esegui regolarmente dei test di convalida per verificare la presenza di corruzione, virus o malware. Monta i backup su una VM e assicurati che funzionino.
• Prepara un piano di risposta agli incidenti ransomware: predisponi un piano di risposta agli incidentidettagliato che definisca responsabilità specifiche. Elenca i passaggi che il tuo team deve eseguire per ripristinare prima che un evento si verifichi effettivamente.
• Simula ed esercitati con il ripristino dal ransomware: verifica il tuo piano simulando un incidente ransomware. Previeni l’interruzione dei servizi utilizzando una VM offline. Esercitati nel processo di ripristino finché tutti non sanno esattamente cosa fare.
• Forma il personale sulle tattiche di prevenzione del ransomware: forma il personale a riconoscere gli attacchi di phishing e altre tattiche utilizzate dai criminali informatici.

Cosa fare dopo un attacco ransomware

Dopo un attacco e una volta che hai ripristinato, svolgi un esame dettagliato per analizzare cosa è successo. 

• Valuta l’impatto e la portata dell’attacco ransomware: svolgi una valutazione successiva al ripristino. Scopri l’intera portata dell’attacco e misurane l’impatto in termini di tempi di interruzioni e perdite finanziarie. Identifica come gli hacker hanno ottenuto l’accesso e stabilisci se sono riusciti a compromettere i tuoi backup.
• Affronta le vulnerabilità: identifica e correggi tutte le vulnerabilità hardware e software. Quindi svolgi nuovamente la formazione del personale.
• Rafforza la sicurezza: fortifica i tuoi sistemi e rivedi le autorizzazioni. Configura delle VPN supplementari per isolare meglio i sistemi. Implementa le prassi MFA.
• Implementa le strategie di mitigazione del rischio a lungo termine: entra in contatto con organizzazioni di sicurezza informatica come NIST e CISA. Scopri come ridurre i rischi, migliorare la sicurezza e proteggere i tuoi sistemi.

Conclusioni

Il ripristino dal ransomware è possibile. È sconsigliabile pagare il riscatto, poiché la maggior parte delle aziende che pagano un riscatto non riesce comunque a recuperare tutti i dati. Il fattore importante per un ripristino riuscito è un’adeguata preparazione agli attacchi ransomware, che comprende l’implementazione di solide misure di sicurezza e la predisposizione di un’adeguata strategia di backup. Sono necessari una strategia di risposta al ransomware coerente e un team accuratamente formato; inoltre, il rilevamento tempestivo del ransomware è fondamentale. Un altro fattore è avere una robusta strategia di backup con più copie immutabili. Altrettanto significativo è comprendere la necessità di un miglioramento continuo in modo da potersi adattare alle minacce in evoluzione.

Scopri di più sul ripristino dal ransomware ascoltando questa breve serie di video sulle tendenze nel ransomware 2023. Questi video mostrano, in termini pratici, come prepararsi e riprendersi da un attacco ransomware.

Contenuti correlati

• Report sulle tendenze nel ransomware 2023
• In che modo le aziende dovrebbero gestire il ransomware?
• Il ripristino dal ransomware: analisi delle tendenze 2023