Attacchi ransomware e ripristino dei dati: panoramica completa

Date le perdite di dati e i tempi di inattività che causano, gli attacchi ransomware rappresentano una minaccia pericolosa per le imprese in qualsiasi settore. La media del riscatto nel 2023 ha raggiunto 1,54 milioni di dollari secondo Sophos. Purtroppo, l’intensità degli attacchi ransomware sta aumentando di anno in anno. Tutti sono a rischio. Dopo essere stato installato su un computer, il ransomware elimina o corrompe i dati utilizzando algoritmi di crittografia avanzati.

I malintenzionati dietro al ransomware di solito richiedono una somma di denaro (un riscatto) per rilasciare i dati e renderli nuovamente disponibili. Tuttavia, oltre a incentivare i criminali, questi pagamenti non garantiscono l’accesso completo ai dati utilizzabili. Questo post del blog spiega come recuperare efficacemente da un attacco ransomware evitando transazioni con gli attaccanti.

Cosa Fare Dopo un Attacco Ransomware

Nonostante le numerose misure preventive disponibili, c’è ancora la possibilità che la tua organizzazione possa cadere vittima di un attacco ransomware. Le seguenti pratiche possono aiutarti a ridurre al minimo l’impatto di un attacco ransomware se e quando si verifica. Se le tue macchine vengono infettate da ransomware, segui queste raccomandazioni prima di recuperare i file dal ransomware.

• Scollegare il dispositivo infetto. Non appena rilevi che una macchina è infetta da malware, devi scollegare immediatamente il dispositivo dalla rete e dai dispositivi di archiviazione esterni. In questo modo, puoi garantire che altre macchine e sistemi della tua infrastruttura non vengano infettati. Questo passaggio ti consente di salvare i dati non compromessi e ridurre la quantità di lavoro necessaria per ripristinare i file dal ransomware.

  Dopo di ciò, identifica il numero di macchine effettivamente colpite dall’attacco ransomware e cerca attività sospette nella tua infrastruttura.

• Identificare il tipo di ransomware. Parla con la persona che ha individuato per prima il problema. Chiedi cosa stavano facendo prima dell’incidente, se avevano ricevuto email con allegati sospetti e quali file avevano scaricato di recente. Identificare il tipo di ransomware fornisce informazioni preziose che possono essere utilizzate per individuare le vulnerabilità nel sistema di protezione dei dati e modificarlo di conseguenza.

  Inoltre, se riesci a determinare il tipo di ransomware, puoi sapere esattamente come i tuoi file sono stati colpiti (cioè, se sono crittografati o bloccati). Quindi puoi comprendere le potenziali ripercussioni di non pagare il riscatto e quale strategia dovrebbe essere utilizzata per recuperare con successo dall’attacco ransomware.

• Riporta il problema. Durante la formazione dei dipendenti, spiega al tuo staff che è importante notificare il team di supporto IT su qualsiasi attività sospetta sulle loro macchine. In questo modo, i professionisti IT possono rispondere all’attacco ransomware in tempo prima che venga fatto un danno grave. Successivamente, riporta l’attacco ransomware alle autorità (ad esempio, l’FBI se ti trovi negli Stati Uniti) e fornisci loro tutte le informazioni necessarie sull’incidente. Segnalare alle autorità può contribuire a prevenire futuri attacchi da parte degli stessi autori del ransomware.

• Non pagare il riscatto. Gli ufficiali di polizia sconsigliano di adempiere alle richieste degli attaccanti perché incoraggia ulteriori attacchi ransomware in futuro. Gli hacker che cercano di fare soldi velocemente ti vedranno come un bersaglio facile per i loro futuri attacchi. Inoltre, nella maggior parte dei casi, pagare il riscatto non garantisce che gli attaccanti sbloccheranno o decrittografieranno i dati come promesso. Ricorda che stai trattando con criminali interessati solo al profitto.

• Identifica l’impatto dell’attacco ransomware. Dovresti determinare quanto dati sono stati corrotti, quanti computer sono stati infettati a causa dell’attacco e quanto tempo ci vorrà per riprendersi dall’attacco. Inoltre, valuta la criticità dei dati resi non disponibili e determina se possono essere recuperati senza pagare il riscatto.

• Ripristina il tuo sistema dal ransomware. Dopo aver rimosso il ransomware dai tuoi computer, puoi iniziare il ripristino dall’attacco ransomware.

Opzioni di ripristino per i file crittografati dal ransomware

Ci sono diversi metodi per il recupero dati dopo un attacco ransomware. L’efficacia di questi metodi varia a seconda della situazione.

Utilizzare gli strumenti integrati nel sistema operativo

Se si utilizza Windows 10, è possibile provare a utilizzare l’utility Ripristino configurazione di sistema di Windows per recuperare impostazioni di sistema e impostazioni dei programmi da un punto di ripristino creato automaticamente. Non tutti i dati possono essere ripristinati con questo metodo. I ransomware moderni possono disabilitare il Ripristino configurazione di sistema e eliminare o corrompere i punti di ripristino di Windows. In questo caso, questo metodo non è efficace.

Utilizzare lo strumento di decrittazione ransomware

Se hai individuato il tipo e la versione del ransomware, prova a trovare lo strumento di decrittazione fornito dai ricercatori della sicurezza. Gli strumenti di decrittazione non sono disponibili per ogni versione di ransomware. È sempre più raro trovare uno strumento di decrittazione al giorno d’oggi.

Utilizzare software per il recupero di file eliminati

Se il ransomware non ha sovrascritto i file sul disco e riempito la superficie del disco con zeri o dati casuali, c’è una possibilità di recuperare alcuni dati critici. La scansione della superficie del disco richiede molto tempo. I nomi dei file dopo il recupero possono essere persi e i loro nomi possono essere come RECOVER0001.JPG, RECOVER0002.JPG, ecc.

Recuperare i dati da un backup

Il punto principale di questo metodo è che devi prepararti in anticipo e non aspettare che il ransomware infetti le tue macchine. Se non hai creato un backup prima dell’attacco di ransomware, questo metodo non si applicherà. È necessario prepararsi in anticipo e eseguire il backup dei dati a intervalli regolari. Le migliori pratiche di backup raccomandano di seguire la regola di backup 3-2-1 e di archiviare i backup in un luogo esterno e/o offline per il ripristino da un attacco di ransomware. Puoi utilizzare il cloud, nastro e/o archiviazione di backup immutabile per questo scopo.

Il modo migliore per creare backup è utilizzare soluzioni dedicate di protezione dei dati che supportino diversi tipi di carichi di lavoro e infrastrutture e ti consentano di implementare la regola di backup 3-2-1.

Una di tali soluzioni è NAKIVO Backup & Replication. La soluzione di NAKIVO ti consente di aumentare le prestazioni di backup, garantire la recuperabilità dei dati e migliorare il ripristino del ransomware. La soluzione supporta la protezione dei dati per server fisici, macchine virtuali (VMware vSphere, Microsoft Hyper-V, Nutanix AHV), istanze Amazon EC2 e Microsoft 365. Con la soluzione, puoi:

• Eseguire il backup incrementale e la replicazione basati su immagini e consapevoli dell’applicazione.

• Creare facilmente copie di backup senza coinvolgere gli host di origine o le macchine virtuali (VM).Archiviare i backup in un sito remoto, un cloud pubblico o nastro.

• Archivia i backup in un sito remoto, nel cloud pubblico o su nastro.

• Abilita l’immutabilità per i repository locali basati su Linux o nel cloud Amazon S3.

• Scegli tra una varietà di opzioni di recupero flessibili, comprese l’avvio istantaneo di VM, il recupero granularee il recupero P2V di macchine fisiche come VM VMware vSphere.

• Crea flussi di lavoro di disaster recovery organizzando varie azioni e condizioni in una sequenza automatizzata.

Quanto tempo ci vuole per ripristinare da un attacco di ransomware?

Il tempo necessario per recuperare i file criptati da un attacco di ransomware dipende dalla quantità di dati corroti sulle macchine infette e dal metodo utilizzato per il recupero dal ransomware. Quando stimiamo il tempo necessario per il recupero da un attacco di ransomware, intendiamo il recupero dei dati e il ripristino di tutti i sistemi online con i carichi di lavoro ripristinati.

Il tempo per recuperare i dati e ripristinare i carichi di lavoro può variare da giorni a mesi. Esaminiamo i principali fattori che influenzano il tempo di recupero.

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• Il recupero utilizzando uno strumento di decrittazione (se ne trovi uno per una specifica versione di ransomware) potrebbe richiedere molto tempo. Se i nomi dei file sono stati modificati dopo la crittografia (come sLc6-fAl26m.nSeB2 invece di image001.jpg), ci vorrà ancora più tempo per inserirli nei directory corrette dopo il recupero. È necessario rispettare la struttura di file e directory corretta, specialmente se questi file sono richiesti dagli applicativi per funzionare.

• Avere un backup dei dati riduce il tempo necessario per il ripristino dei file e del server dopo un attacco ransomware. Il vantaggio del ripristino dei file da un backup dopo un attacco ransomware è che si recuperano dati strutturati, inclusi nomi di file e cartelle con il relativo percorso corretto. È necessario selezionare un backup per la data/ora appropriata e selezionare la posizione di destinazione dove recuperare i dati. Poi basta attendere che i dati vengano copiati e ripristinati.
  Inoltre, soluzioni di backup come NAKIVO Backup & Replication si basano su tecnologia basata su immagini per catturare i backup delle macchine virtuali e fisiche. Ciò significa che il backup cattura il sistema operativo e altri file associati al sistema operativo, come i file di configurazione dell’applicazione e lo stato del sistema, aiutandoti a risparmiare tempo nel riavvio dei sistemi.

• Un test insufficiente di un piano di ripristino ransomware può portare a tempi di ripristino dei dati più lunghi del previsto. Per questo motivo, cerca sempre di testare il tuo piano di ripristino per assicurarti di poter recuperare tutto ciò di cui hai bisogno nel periodo di tempo appropriato.

Nota che quando si crea una strategia di ripristino da disastro che include un piano di ripristino ransomware, è necessario prendere in considerazione le metriche RTO e RPO.

Conclusione

Il ripristino ransomware è un processo complesso che include il recupero dei dati e il ripristino dei carichi di lavoro. Il costo e il tempo di ripristino ransomware dipendono dalla quantità di preparazione che viene dedicata alla strategia di backup e al ripristino dagli attacchi ransomware.

Il principale approccio per mitigare i problemi causati dagli attacchi ransomware è seguire misure preventive e eseguire regolarmente il backup dei dati. Seguire la regola di backup 3-2-1 e utilizzare archiviazione per backup immutabile e una soluzione affidabile di protezione dei dati in grado di automatizzare le attività.