In caso di attacco ransomware occorre prestare attenzione a quanto segue.
Limitare i danni
Scollegate immediatamente i sistemi infettati dalla rete staccando il cavo di rete dal computer e spegnendo eventuali adattatori WLAN.
Identificare i sistemi infettati
Per identificare i sistemi colpiti possono essere utili i file di log, che permettono ad esempio di rilevare gli accessi alle unità di rete. Anche i metadati dei file criptati possono fornire indizi sui sistemi infettati, ad esempio quali account hanno generato i file. Salvate i file di log.
Rilevare
Tramite i log dei server dell’e-mail, i proxy, i firewall ed eventuali altri software di sicurezza è possibile determinare il grado di infezione e rilevare gli indirizzi URL e IP dell’hacker. Bloccandoli sul server proxy internet e sul firewall si evita il collegamento indesiderato all’infrastruttura dell’hacker. Nel caso di infezione via posta elettronica, a volte sono presenti dei link (URL e indirizzo IP) direttamente nell’e-mail o in un allegato.
Denuncia
L’UFCS consiglia di sporgere sempre denuncia. I casi di ransomware sono di competenza della polizia del Cantone in cui si trova la vostra impresa. Sul sito internet «Suisse e-Police» trovate la centrale di polizia competente per il luogo in cui si trova la vostra impresa.
La polizia dà consigli su come procedere, in particolare in merito alla comunicazione e al comportamento da tenere con l’aggressore. Valutate l’opportunità di coinvolgere immediatamente la polizia.
Analisi forensi
Stabilite da subito se debba essere eseguita un’analisi forense, soprattutto se intendete sporgere denuncia. In questo caso, informate le autorità di perseguimento penale fin dall’inizio e discutete con loro le fasi successive (osservazione del malware, contromisure ecc.).
I backup delle memorie temporanee e dei dischi rigidi dovrebbero essere eseguiti da un collaboratore esperto o da un fornitore di servizi prima di ulteriori tentativi di ripristino o del riavvio dei sistemi colpiti. In un secondo tempo le indagini forensi sono quasi impossibili. Se all’interno dell’autorità non fossero disponibili le competenze necessarie, si consiglia di rivolgersi a un esperto.
Backup dei dati criptati
Se non sono disponibili backup o anche quest’ultimo è stato criptato, consigliamo di conservare e salvare i dati cifrati in modo che possano essere decodificati in un secondo momento, sempreché si trovi una soluzione. In alcuni casi le autorità di sicurezza e di perseguimento penale ottengono infatti l’accesso a chiavi e metodi di decodifica nel corso delle loro indagini.
Reinstallare i sistemi colpiti
Prima di ripristinare i dati, reinstallate i sistemi infettati. Il sistema operativo utilizzato deve provenire da un supporto dati affidabile.
A determinate condizioni è anche possibile ripristinare i dati parzialmente o totalmente senza backup. In alcuni casi la decodifica dei dati può andare a buon fine se:
- l ransomware non ha criptato o cancellato le copie shadow di Windows;
- esistono snapshot di macchine virtuali o precedenti versioni dei file su servizi cloud;
- è possibile il ripristino forense dei file cancellati;
- la funzione di cifratura del ransomware contiene errori.
Su https://www.nomoreransom.org/ sono disponibili consigli per identificare il malware ed è possibile scaricare chiavi di decodifica note. Nomoreransom.org è un progetto congiunto della polizia olandese e di Europol al quale partecipa anche la Confederazione Svizzera.
Pagamento di riscatti
- L’UFCS consiglia di non pagare riscatti. Non vi è alcuna garanzia che dopo il pagamento l’hacker non pubblichi i dati sottratti o non ne tragga altri profitti. Inoltre, ogni estorsione riuscita motiva l’hacker a ripetere questo tipo di attacco, ne finanzia lo sviluppo e ne promuove la diffusione;
- se doveste comunque prendere in considerazione il pagamento del riscatto, l’UFCS consiglia vivamente di discuterne con la polizia cantonale.