Piano di Risposta al Ransomware: Come Recuperare Dopo l'Attacco

Il ransomware non risparmia nessuno. Le organizzazioni di medie dimensioni, le scuole, le biblioteche e persino gli ospedali—tutti subiscono attacchi ransomware con una frequenza che può arrivare a una volta ogni undici secondi.

Le possibilità di essere colpiti da ransomware non sono mai zero, indipendentemente dalla postura di sicurezza di un'azienda. In altre parole, non si tratta di una questione di se, ma di quando si verificherà l'attacco.

La prevalenza del ransomware rende vitale per ogni azienda avere un piano di risposta solido. Senza di esso, un'infiltrazione riuscita causerà inevitabilmente caos nell'intera organizzazione.

Il seguente articolo delinea un piano di risposta al ransomware che ogni organizzazione può seguire dopo un attacco ransomware. È stato preparato e verificato da esperti di Object First, un'azienda dedicata esclusivamente a fermare il ransomware sul nascere.

Che cos'è un Piano di Risposta al Ransomware ?

Un piano di risposta al ransomware è un insieme di passaggi che attutisce l'impatto del ransomware. Istruisce e ricorda agli amministratori cosa possono e devono fare per ridurre le conseguenze dell'attacco.

Perché gli amministratori dovrebbero avere un piano di risposta al ransomware in primo luogo? Perché il ransomware è sempre improvviso e devastante, lasciando anche gli esperti più consumati in preda al panico. Un buon piano fornisce un modello per l'emergenza e conforto nel momento del bisogno.

Il ransomware non è una condanna a morte — nonostante tutte le apparenze contrarie. È più utile pensarlo come un'inondazione. L'inazione non farà altro che permettergli di diffondersi, mentre le giuste contromisure possono contenere e talvolta persino invertire la situazione.

Motivi per Creare un Piano di Risposta al Ransomware

La guida assume lo scenario peggiore, in cui il ransomware cripta i backup. Questo non è improbabile. I criminali si sono resi conto da tempo che i backup rendono vani i loro sforzi criminali, quindi li prendono sempre più di mira.

Questo piano di risposta agli incidenti di ransomware aiuterà a recuperare anche quelli senza un backup immutabile. Spuntando gli elementi in questo piano, un'organizzazione sarà in grado di:

• proteggere le risorse;
• individuare la minaccia;
• preservare la reputazione;
• prevenire la re-intrusione.

Piano di Risposta agli Incidenti di Ransomware in Cinque Fasi

1. Risposta

La prima regola della risposta alle emergenze: non farti prendere dal panico. La paura è naturale, ma se non controllata porta a decisioni avventate e giudizi affrettati. Una breve meditazione o una passeggiata nel parco possono aiutare a calmare la mente. Dopo di che, non esitare a passare all'azione.

• Comunica in modo sicuro. Tieni l'intruso all'oscuro e comunica esclusivamente tramite telefonate. I servizi cellulari operano al di fuori delle reti aziendali e sfuggono al radar del ransomware.
• Crea un'istantanea del cloud. Fai una copia delle risorse cloud dell'azienda e mettile in quarantena per un'indagine forense.
• Identifica e isola. Scopri quali sistemi sono stati colpiti e sequestrali dal resto. Se disconnetterli a livello di interruttore non funziona, separali fisicamente dalla rete scollegando i cavi o spegnendo il Wi-Fi.
• Spegni i dispositivi. Se un sistema resiste alla disconnessione, spegnilo. Tieni presente, tuttavia, che questo è un mezzo di ultima istanza. Spegnere l'hardware cancella potenziali prove dalla memoria ad accesso casuale.
• Classifica i sistemi in ordine di importanza. La priorità guiderà il recupero eventuale. Se disponibile, fai riferimento all'elenco predefinito dei servizi critici dell'organizzazione.
• Controlla i sistemi di prevenzione. Controlla l'antivirus, l'EDR e i registri di sistema per tracce di minacce precursori—il tipo di malware che precede e abilita il ransomware. Esempi includono Bumblebee, Dridex e Anchor. Rimuovili per prevenire ulteriori esposizioni al ransomware.
• Mappa l'intrusione. Indaga sui possibili percorsi di attacco. L'analisi dei punti di ingresso e dei percorsi di infiltrazione informerà le future tattiche di prevenzione e migliorerà la postura di sicurezza.
• Rileva la minaccia. Presta particolare attenzione agli account di Active Directory, ai nuovi accessi, alle modifiche degli endpoint, al software di monitoraggio e gestione remota (RRM), a PowerShell e PsTools, alla comunicazione endpoint-to-endpoint e a qualsiasi attività attorno agli strumenti di sistema Windows e agli Amministratori di Dominio. Qualsiasi cosa fuori dall'ordinario dovrebbe richiedere un'ispezione più approfondita, portando al malware dietro la crittografia.

2. Reporting

L'allerta immediata segue la risposta iniziale. Questo passaggio è indispensabile nonostante sia sgradevole. Condividere informazioni sull'attacco consente alle parti interessate di rimanere vigili e di offrire una mano d'aiuto se possono.

• Informare internamente. A questo punto, ogni parte colpita, compresi gli stakeholder, dovrebbe essere informata della violazione e delle azioni intraprese contro di essa. Dovrebbero anche ricevere aggiornamenti regolari man mano che la situazione si sviluppa.
• Contattare il Consulente per le Violazioni. Un consulente per le violazioni è un ente esterno di esperti che assiste le aziende colpite da ransomware. Le compagnie assicurative di solito includono un elenco di consulenti per le violazioni nelle loro polizze o siti web.
• Allertare le autorità. Il ransomware costituisce un reato in molte giurisdizioni, quindi le organizzazioni potrebbero essere obbligate a informare le forze dell'ordine e le agenzie governative al riguardo.

Negli USA, considera di contattare:

• FBI Internet Crime Complaint Center (IC3) è il ramo di cybersecurity dell'FBI.
• CISA – agenzia di sicurezza del governo degli Stati Uniti.
• US Secret Service – polizia di sicurezza degli Stati Uniti.
•  

In Europa, consulta questo elenco di Europol.

Fatte salve le esigenze legali, le organizzazioni statali possono fornire risorse aggiuntive contro la minaccia— per esempio, meccanismi di decrittazione o analisi forense di campioni di dati.

• Notificare i clienti. Le aziende preferiscono mantenere gli incidenti di ransomware sotto silenzio per paura di danni reputazionali. Ma la notizia dell'attacco verrà fuori prima o poi, e i clienti è meglio che ne vengano a conoscenza dall'azienda piuttosto che da qualcun altro. La comunicazione esterna riguardo all'incidente dovrebbe menzionare la sua portata e i rischi associati, come le perdite di dati.

3. Contenimento

Concentrati sul colpevole con sforzi investigativi severi. Mobilita il team di cybersecurity dell'azienda e unisci le forze con professionisti esterni per intensificare l'azione contro l'attaccante.

• Isolare i dati per l'analisi.

ATTENZIONE: Questa è un'operazione delicata che è meglio eseguire da soli o con il supporto di esperti di sicurezza, come il Breach Counsel o CISA. Procedere con cautela.

Estrai campioni di dati dai sistemi colpiti. Concentrati su elementi rilevanti e sospetti, come log, binari specifici, voci di registro e indirizzi IP. Raccogli dati temporanei prima che scompaiano—ad esempio, log di sicurezza di Windows o buffer di log del firewall.

• Trova l'origine. Esamina tutti i sistemi e gli account, inclusa la posta elettronica, per identificare il punto di ingresso iniziale.
• Sicurezza degli endpoint. Chiudi tutti gli endpoint e le interfacce rivolte verso l'esterno come VPN, server di accesso remoto, risorse di accesso unico, ecc. Altrimenti, rimangono una potenziale via d'accesso ai tuoi sistemi.
• Elimina i meccanismi di persistenza. Trova e neutralizza eventuali processi a lungo termine che gli attaccanti potrebbero aver lasciato, come autenticazioni prolungate, backdoor, sfruttamento di vulnerabilità, ecc.

4. Eradicazione

Il perimetro è sicuro. Ora, riporta i sistemi alla capacità operativa pulendo e ripristinando tutto ciò che potrebbe essere venuto a contatto con il malware. Questo è l'unico modo per espellere i residui malevoli dall'infrastruttura.

• Elimina i sistemi colpiti. Può essere allettante rimuovere solo i dati infetti per non sacrificare l'intero sistema, ma non vale il rischio di omissione. Per la massima sicurezza, cancella tutto ciò che è infetto.
• Ricarica dalle immagini. Sostituisci i servizi compromessi con le loro immagini fresche secondo l'elenco di priorità. Con il cloud, fai affidamento sull'infrastruttura come codice per lo stesso processo.
• Reimposta le password. Gli attaccanti non potranno reinfettare se non possono utilizzare le credenziali che potrebbero aver rubato.

5. Prevenzione

Ora che la minaccia è finita, riduci le probabilità che si ripeta. Ci sono alcune cose che un'organizzazione può fare per rafforzare la propria resilienza contro il ransomware:

• Educare. Organizza corsi di formazione sulle migliori pratiche in sicurezza dei dati per tutti i dipendenti affinché sappiano come evitare le insidie dell'ingegneria sociale e riconoscere i segnali precoci di minacce.
• Audit. Esamina i sistemi in termini di resilienza a software dannoso.
• Sicurezza. Imposta le porte del Desktop Remoto (RDP) per accettare solo host fidati e spegni sempre quelli inattivi. Applica impostazioni di sicurezza rigorose a tutti i punti finali.
• Segmentare. Compartmentalizza la rete fisicamente e con VPN—separa gli elementi della rete rivolti verso l'interno da quelli rivolti verso l'esterno. Applica i principi di Zero Trust alla gestione del controllo degli accessi.
• Aggiornare. Tieni sempre tutto aggiornato. Anche un leggero ritardo negli aggiornamenti può dare ai hacker una finestra per entrare.
• Applicare. Prepara e segui una strategia di backup robusta con l'immutabilità al centro.

Risorse utili

Una robusta strategia di difesa contro il ransomware diminuisce le probabilità di attacchi futuri, ma è sempre utile avere risorse concrete pronte. Considera di creare, mantenere e aggiornare regolarmente le seguenti informazioni:

• Team di risposta agli incidenti. Elenca le persone responsabili per la risoluzione di un attacco.
• Inventario delle risorse. Specifica le risorse hardware e software, idealmente come un grafico. Fornirà una visione istantanea e d'insieme dell'infrastruttura dell'azienda.
• Elenco dei servizi critici. Definisci un elenco gerarchico di risorse digitali, come applicazioni, set di dati e backup.
• Elenco dei contatti. Annota le informazioni di contatto degli affiliati e dei membri dell'organizzazione che potrebbero subire le conseguenze di un attacco ransomware.
• Opportunità di formazione. Dettaglia gli esercizi teorici e pratici, come corsi, workshop e simulazioni di incidenti, disponibili per i dipendenti e preferibilmente categorizzati per difficoltà per abbinarsi al giusto livello di competenza.
• Lezioni apprese. Raccogli informazioni dagli attacchi passati e dalle esercitazioni di sicurezza per supportare future mitigazioni.
• Piano di risposta agli incidenti da ransomware. Crea un piano d'azione dettagliato per la risposta al ransomware per semplificare il controllo dei danni.

Backup immutabili contro il ransomware

Un backup è immutabile quando nessuno—compresi gli amministratori e l'utente root—può modificarlo o eliminarlo. Questi backup si basano sul meccanismo write-once-read-many (WORM), implementato a livello software o hardware.

L'immutabilità basata su software è più flessibile ed economica perché può essere definita nel tempo e sostituita con nuovi dati quando il suo tempo di protezione scade.

I backup immutabili resistono alla crittografia, il che li rende l'assicurazione perfetta contro il ransomware. Se attaccati, seguite il nostro piano di risposta agli incidenti di ransomware per liberarvi del malware e poi procedete al recupero dai backup immutabili.

Ootbi—immutabilità out-of-the-box per Veeam

Ootbi di Object First è un appliance di backup basato su scopo progettato per Veeam. Viene fornito con immutabilità out-of-the-box, funziona su S3 Object Lock e utilizza storage a oggetti per meglio gestire grandi pool di dati. Montato, impilato e alimentato in meno di quindici minuti, Ootbi si integra perfettamente con qualsiasi istanza Veeam, supporta tutti i protocolli Veeam e non richiede competenze tecniche per la configurazione.

Conclusione

Il ransomware si dimostra essere una delle più grandi minacce alla sicurezza dell'attuale decennio. Le aziende che vogliono rimanere al sicuro e rilevanti devono elaborare un piano di risposta al ransomware o affrontare significativi tempi di inattività e perdita di dati che di solito risultano da un attacco.

Dispositivi di backup immutabili e air-gapped come Ootbi emergono come l'ultima linea di difesa e una rara garanzia contro il ransomware. Il piano e il backup forniscono la migliore Protezione da ransomware che un'azienda possa sperare di avere.

FAQ

Che cos'è un Piano di Risposta al Ransomware?

Un piano di risposta al ransomware enumera i passaggi da seguire in caso di un incidente di ransomware. Permette alle organizzazioni di contrastare e contenere rapidamente l'attacco, mantenendo i danni al minimo.

Qual è la migliore pratica nella risposta ai ransomware?

Gli esperti sono unanimi nel ritenere che il modo migliore per prevenire e contrastare i ransomware sia attraverso backup regolari. Tuttavia, solo i backup immutabili garantiscono tranquillità, poiché nessuno può modificarli.

Qual è la regola 3-2-1 del ransomware?

La regola 3-2-1 del ransomware raccomanda che ogni organizzazione si basi su tre backup. Due dovrebbero essere su diversi tipi di supporto, e uno dovrebbe essere off-site.

Una variazione della regola la estende a 3-2-1-1-0—l'ulteriore 1 e 0 rappresentano una copia isolata e immutabile e zero errori nei test di backup.