Un attacco ransomware consiste nell’inviare a un bersaglio un malware che, una volta attivato, crittografa i file e tutti i dati del sistema informatico<\/strong> in cui \u00e8 attivato. Viene quindi chiesto un riscatto in cambio di una chiave di decodifica.<\/p>\n\n\n\n Ci sono segnali deboli, ma rilevarli pu\u00f2 essere difficile.<\/p>\n\n\n\n L’obiettivo dell’hacker \u00e8 passare inosservato il pi\u00f9 a lungo possibile. Una volta infiltratosi in un sistema informatico, pu\u00f2 aspettare mesi prima di scatenare il suo attacco o agire nel giro di poche ore… Ci\u00f2 che pu\u00f2 mettere la pulce nell’orecchio sono comportamenti anormali<\/strong>, come azioni notturne (connessioni, modifiche, ecc.) o trasferimenti di rete insoliti.<\/p>\n\n\n\n Gli strumenti informatici non rispondono pi\u00f9 o funzionano in modo anomalo. L’utente osserva comportamenti inaspettati sulla propria postazione di lavoro, come un software che non funziona pi\u00f9, uno sfondo che cambia aspetto\u2026 Poi appare un file di testo, spesso intitolato “Read me.txt” che contiene un messaggio tipo<\/strong> “Abbiamo crittografato i tuoi dati, chiama un numero per recuperarli per la somma di XXX \u20ac o XXX Bitcoin”.<\/p>\n\n\n\n Da 1 a 3 giorni<\/p>\n <\/blockquote>\n Sconsiglio di contattare direttamente l’hacker e di impegnarsi in trattative per pagare il riscatto. Non risparmierai necessariamente tempo e non hai alcuna garanzia che l’hacker ti restituisca l’accesso ai dati.<\/p>\n\n\n\n Ma ogni minuto conta, e se un utente scopre l’attacco, \u00e8 necessario lanciare immediatamente l’allarme<\/strong> al team di cybersecurity o al supporto IT e soprattutto non gestire l’incidente da soli.<\/p>\n\n\n\n La prima fase dell’incidente si svolge in pi\u00f9 fasi: sono in qualche modo le “operazioni di primo soccorso”<\/strong>.<\/p>\n\n\n\n Il nostro CERT realizza innanzitutto una prima valutazione telefonica<\/strong> per identificare l’entit\u00e0 dei danni, comprendere le azioni gi\u00e0 intraprese o in corso, quindi trasmettere, tramite un indirizzo e-mail di soccorso, le azioni prioritarie da intraprendere in attesa dell’arrivo del team sul posto.<\/p>\n\n\n\n L’equipe cercher\u00e0 di raggiungere il cliente il pi\u00f9 rapidamente possibile, idealmente entro 24 ore<\/strong> sul territorio francese. Nel frattempo, quest’ultimo dal canto suo deve completare tutte le azioni prioritarie:<\/p>\n\n\n\n Una volta sul posto, mapperemo i danni<\/strong> e identificheremo le azioni da eseguire nei primi due o tre giorni.<\/p>\n\n\n\n Il CERT effettua un’indagine approfondita<\/strong>: consiste nell’analisi dei prelievi per identificare il punto di partenza dell’attacco (se possibile) e il livello di penetrazione dell’attacco. Per aumentare l’efficienza e la velocit\u00e0, il CERT pu\u00f2 essere indotto a implementare un EDR<\/strong>. L’obiettivo del dispiegamento \u00e8 duplice: proteggere utilizzando gli indicatori scoperti e riuscire a rilevare nuovi elementi specifici per identificare eventuali compromissioni.<\/p>\n\n\n\n Parallelamente, possiamo supportare i team del cliente nella comunicazione interna ed esterna da adottare.<\/p>\n\n\n\n All’interno di Advens, un team di “vigili del fuoco volontari”<\/strong> pu\u00f2 prendere il posto per fornire competenze aggiuntive o complementari. Ad esempio, alcuni sono gi\u00e0 intervenuti per prendere la parola davanti ai media.<\/p>\n\n\n\n Dopo una settimana di indagini, iniziamo a creare quello che viene chiamato un nucleo di fiducia*.<\/p>\n\n\n\n Che cos’\u00e8 un nucleo di fiducia?<\/p>\n <\/blockquote>\n La sfida di questo nucleo di fiducia<\/strong>? Inserire solo parti del SI completamente sicure e filtrate. Durante la crisi, l’attacco pu\u00f2 continuare, l’hacker pu\u00f2 perfezionare le sue tecniche o scoprire nuove vulnerabilit\u00e0. Bisogna unire prudenza e agilit\u00e0 per riuscire nelle attivit\u00e0 di contenimento <\/strong>e di ricostruzione<\/strong>.<\/p>\n\n\n\n Parallelamente ad altre attivit\u00e0, il CERT Advens<\/strong> continua a fornire il suo supporto. Attiviamo o partecipiamo all’unit\u00e0 di crisi dell’organizzazione vittima dell’attacco. Questo ci permette di mantenere un legame con il cliente e di condividere i progressi delle nostre analisi. Una volta che la ricostruzione \u00e8 sufficientemente avanzata, diventa possibile riavviare i servizi interessati<\/strong>. A stretto contatto con la direzione aziendale, determiniamo quindi quale funzione aziendale deve essere ripristinata in via prioritaria.<\/p>\n\n\n\n In questa fase sono possibili due casi:<\/p>\n\n\n\nQuali sono i segni premonitori di un attacco ransomware?<\/h2>\n\n\n\n
Cosa succede quando l’attacco viene rivelato alla luce del sole?<\/h2>\n\n\n\n
\n
Bisogna mettersi in contatto con l’hacker?<\/h2>\n\n\n\n
Quali sono le prime fasi nel modo operativo del CERT Advens in caso di attacco da ransomware?<\/h2>\n\n\n\n
\n
Cosa comporta la fase di “contenimento e rimedio”?<\/h2>\n\n\n\n
\n