I dati presenti sul computer sono criptati e quindi non più disponibili.
I trojan di crittografia (noti anche come «Trojan ricattatori») sono una famiglia specifica di malware che cripta i file sul computer della vittima e sulle unità di rete collegate, rendendoli inutilizzabili. La diffusione del malware ricattatorio è in costante aumento. I principali canali di accesso per questi trojan di crittografia sono i sistemi non adeguatamente protetti e le e-mail con allegati.
I trojan di crittografia possono causare danni considerevoli, soprattutto se nel mirino ci sono anche i vostri backup dei dati. In un caso simile mantenete la calma e agite con cautela.
La risoluzione dell’incidente consiste nell’individuare il percorso dell’infezione e nel prevenirne la reiterazione. Riavviate i sistemi colpiti e ripristinate i dati utilizzando i backup esistenti. Qualora la vostra azienda/autorità non disponga delle competenze necessarie, rivolgetevi a una società specializzata.
Misure tecniche
- Disconnettete le connessioni Internet (web, e-mail, accesso remoto e VPN da sito a sito);
- Controllate i backup e proteggeteli immediatamente. I backup devono essere disconnessi fisicamente dalla rete infetta il più rapidamente possibile («messi offline»);
- Segnalate l’incidente alla polizia cantonale; potete il posto di polizia più vicino alla propria posizione tramite il sito "Suisse ePolice";
- Se non disponete delle competenze necessarie, dovreste contattare un fornitore esterno di servizi di sicurezza (Security Incident Response Service) che possa aiutarvi a risolvere l’incidente e a svolgere le analisi del caso;
- In generale, l’UFCS sconsiglia di pagare un riscatto. Inoltre, raccomanda vivamente di non contattare i cibercriminali, ma di discutere e coordinare ulteriori passi con la polizia.
Misure organizzative
- Comunicazione / media: Chiarite in che misura sia opportuno avviare una comunicazione pubblica. In linea di principio l’UFCS raccomanda una comunicazione proattiva per evitare indiscrezioni e per plasmare la relativa copertura mediatica. Le informazioni devono essere trasparenti e riflettere lo stato attuale delle conoscenze;
- Fuga di informazioni: Sussiste il rischio che gli autori abbiano rubato informazioni sull’azienda e le stiano pubblicando o minacciando di farlo. Dovete essere preparati a questo scenario;
- Qualora fossero stati trafugati dati dei clienti, l’UFCS raccomanda vivamente di informare proattivamente i clienti coinvolti;
- Secondo l’articolo 24 della nuova legge federale sulla protezione dei dati (LPD), che entrerà in vigore il 1º settembre 2023, le violazioni della sicurezza dei dati devono essere segnalate all’IFPDT se comportano un rischio elevato per la personalità o i diritti fondamentali delle persone interessate dalla fuga di dati. La disposizione si applica a privati, aziende e organi federali. Occorre inoltre notificare il prima possibile l’IFPDT. Il modulo di notifica è disponibile qui: https://databreach.edoeb.admin.ch/report;
- Qualora siano interessati anche dati personali, a seconda della sede dell’azienda, è necessario seguire anche il regolamento generale sulla protezione dei dati (RGPD) dell’Unione europea.
Ulteriori informazioni sono disponibili sul nostro sito web:
Impresa: Sono vittima di un attacco ransomware. E adesso?
Autorità: Sono vittima di un attacco ransomware. E adesso?
- Effettuate regolarmente delle copie di sicurezza («backup») dei vostri dati Le copie di backup devono essere archiviate offline, cioè su un supporto esterno come un disco rigido esterno. Pertanto, assicuratevi di scollegare il supporto su cui si sta creando la copia di backup dal computer dopo il processo di backup. In caso contrario, anche i dati contenuti nei supporti di backup potrebbero essere criptati e resi inutilizzabili in caso di attacco ransomware;
- I trojan di crittografia vengono spesso inoculati sfruttando falle di sicurezza irrisolte. Installate tempestivamente gli aggiornamenti disponibili per tutti i programmi installati («software») e anche per i dispositivi utilizzati («hardware»). I principali provider Microsoft, Adobe ecc. offrono aggiornamenti automatici. Attivate questa funzione ogni volta che è possibile;
- Formate i vostri collaboratori su come gestire le e-mail:
Gestione sicura della posta elettronica; - Potete rafforzare ulteriormente la protezione della vostra infrastruttura IT contro le minacce informatiche (come i ransomware) utilizzando Windows AppLocker, che permette di definire quali programmi possono essere eseguiti sui computer della vostra azienda/autorità;
- Bloccate la ricezione di allegati e-mail pericolosi sul vostro gateway e-mail. Un elenco più dettagliato e aggiornato è disponibile all’indirizzo:
Elenco dei tipi di file bloccati; - Assicuratevi che tali allegati pericolosi siano bloccati anche se vengono inviati ai destinatari della vostra azienda/autorità in file di archivio come ZIP, RAR o in file di archivio criptati (ad esempio in un ZIP protetto da password);
- Inoltre, tutti gli allegati di posta elettronica che contengono macro (ad esempio, gli allegati di Word, Excel o PowerPoint che contengono macro) devono essere bloccati.
- I dati sul computer vengono resi inutilizzabil
- Danni finanziari in caso di pagamento del riscatto
- Minaccia esistenziale per l’impresa se il backup è stato criptatoI dati sul computer vengono resiinutilizzabili
- Ulteriori informazioni sono disponibili sul nostro sito web:
Impresa: Sono vittima di un attacco ransomware. E adesso?
Autorità: Sono vittima di un attacco ransomware. E adesso?
Ultima modifica 09.12.2021