HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG Incident Response
HWG
  • Servizi
    • Cyber defense
      • Security Awareness
      • File Integrity Monitoring
      • Network Security
      • Browser Isolation
      • Email Security
      • Endpoint Security
    • Machine intelligence
      • SIEM
      • EDR
      • SOAR
      • Anomaly Behavior Analysis
      • Cyber Threat Intelligence
      • Deception
      • Threat Data Feeds
      • Vulnerability Management
      • ICS Security
    • Human expertise
      • Security Assessment
      • Incident Response
      • Security Monitoring
      • Threat Hunting
  • Company
  • Blog
  • Resource Center
  • Contatti
  • Careers
  • it
    • en
HWG
HWG Incident Response
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
  • it
    • en

Ransomware: come si affronta un attacco nella pratica

Pubblicato da HWG il 14 ottobre 2020

Il fenomeno è nato come una delle tante forme di attacco ai danni di utenti comuni. Nel giro di pochi anni, però, i ransomware sono diventati lo strumento principe utilizzato dai pirati informatici per colpire le aziende. Il motivo? Semplice: bloccando l’accesso ai dati memorizzati sui sistemi informatici, i cyber criminali possono provocare il massimo danno con il minimo sforzo ed estorcere somme anche rilevanti alle imprese che colpiscono. Analizziamo un attacco partendo da un caso reale.

 

Ransomware: dall’attacco al ricatto

Il modus operandi dei pirati informatici che utilizzano crypto-ransomware per colpire le aziende è sempre lo stesso: dopo aver ottenuto l’accesso ai sistemi informatici dell’impresa, i pirati cercano di individuare i dispositivi critici (quelli che gestiscono i servizi più importanti dell’azienda) per avviare il loro malware con lo scopo di crittografare tutti i dati presenti sui sistemi e impedirne l’utilizzo. Obiettivo: estorcere un “riscatto” all’azienda per fornirle uno strumento che consenta di decodificare i file e ripristinare il normale funzionamento dei sistemi. “Di solito lo strumento migliore per contrastare un ransomware è semplicemente il ripristino dei dati tramite backup” spiega Lorenzo Bernini, Cyber Security Manager di HWG. “In alcuni casi, però, gli attacchi riescono a coinvolgere numerose sezioni delle infrastrutture e questa operazione diventa piuttosto difficile”. Nel caso che ha visto impegnato il team di HWG, l’attacco aveva compromesso un certo numero di file server e altre macchine collegate in rete. L’intervento è avvenuto quando l’attacco era già cominciato e il primo obiettivo degli esperti di sicurezza è stato quello di limitare i danni.

 

Crypto-ransomware: l’importanza di una risposta immediata

I crypto-ransomware utilizzano tecniche diverse per portare il loro attacco, un elemento comune, però, è quello di cercare di provocare il massimo danno nel minor tempo possibile. Il caso illustrato da Bernini, come accade spesso, si è verificato durante il weekend. “I cyber criminali contano sul fatto che durante il fine settimana non ci sia un livello di reattività adeguato” spiega Bernini. “Purtroppo, nella maggior parte dei casi hanno ragione e il rischio è che il malware abbia il tempo di propagarsi in maniera estesa nella rete”. Il primo obiettivo a livello di incident response, di conseguenza, è quello di isolare l’infezione per impedire che siano coinvolti altri sistemi all’interno del network. “La prima reazione è stata isolare il segmento di rete in cui è stata avviato l’attacco” conferma l’esperto di HWG. “Per bloccare l’infezione, abbiamo utilizzato un sistema EDR (Endpoint Detection and Response – ndr) sui computer dell’azienda, per individuare il malware e rilevare eventuali installazioni dormienti del ransomware”. A livello di rete, invece, il team di sicurezza ha impostato una serie di regole per il monitoraggio del traffico per mitigare il rischio di ulteriori diffusioni.

 

Ransomware e recupero dei dati: come si affronta

Nel caso specifico, non tutte le macchine avevano la disponibilità di una copia di backup. Per recuperare i file crittografati dal malware, quindi, il team di HWG ha attivato un processo diretto a scardinare il sistema di crittografia utilizzato per “rapire” i file. “Abbiamo avviato un’indagine attraverso il nostro servizio di intelligence per scandagliare il Dark Web alla ricerca di informazioni sul malware” spiega Bernini. “Contemporaneamente, abbiamo predisposto un cluster di macchine in ambiente virtuale per eseguire un attacco di brute forcing nei confronti del sistema di crittografia”. L’operazione, alla fine, ha portato al recupero del 70% dei dati. Il lavoro del team, però, non è finito qui. Ai sensi del GDPR (la normativa europea sulla protezione dei dati- ndr), infatti, ogni violazione richiede l’esecuzione di un’analisi forense e una valutazione che possa portare a una valutazione dei possibili dati esfiltrati nel corso dell’attacco. “Conclusa la fase di remediation, che in questo caso ha previsto anche una forma di consulenza legale per la dichiarazione al garante ai sensi del GDPR, abbiamo potuto implementare gli strumenti per impedire futuri attacchi simili” conclude Bernini.

 

Cyber Security - 8 buone pratiche per proteggere l'azienda

Tags: Malware
Torna al Blog

Iscriviti alla Newsletter

Popular post

  • 27 mag 2020
    CEO Fraud: che cos’è la truffa del CEO e come dife...
  • 01 mar 2022
    Investcorp completa l’acquisizione di HWG
  • 26 feb 2020
    Cosa si trova nel dark web, e come difendersi?
  • 25 feb 2022
    Russia e Ucraina: la guerra che devi temere è quel...
  • 26 ago 2020
    SOAR Cyber Security: il futuro della sicurezza inf...

Topics

  • AI (1)
  • automotive (1)
  • aziende (1)
  • Brand Reputation (11)
  • browser isolation (1)
  • Business Continuity (1)
  • CEO Fraud (2)
  • cifratura dati (1)
  • compromise assessment (1)
  • Corporate (7)
  • criptazione (1)
  • criptovalute (1)
  • Cyber Agent (7)
  • cyber resilience (2)
  • Cyber risk (11)
  • Cyber Threat Intelligence (10)
  • cybercrime (1)
  • cybersecurity (2)
  • cyberwar (3)
  • Dark Web (7)
  • Data exfiltration (3)
  • Disaster Recovery (1)
  • Dubai (1)
  • Endpoint Protection (9)
  • Fabio Aletto (1)
  • ferrovie (1)
  • fintech (1)
  • Golfo Persico (1)
  • guerra (1)
  • Incident Response (3)
  • Industry 4.0 (6)
  • Intervista (9)
  • IoT (6)
  • IT Governance (1)
  • Lavoro (1)
  • Lituania (1)
  • Malware (7)
  • MFA (1)
  • Penetration Test (4)
  • Phishing (2)
  • pirateria (2)
  • politica (1)
  • ransomware (6)
  • risk assessment (1)
  • Russia (2)
  • Security Assessment (3)
  • Security Awareness (25)
  • SIEM (3)
  • SOAR (1)
  • SOC (24)
  • Sovranità digitale (1)
  • Spear Phishing (7)
  • sport (2)
  • telefono rosso (1)
  • trenitalia (1)
  • Ucraina (1)
  • Università (5)
  • USA (1)
  • Verona (7)
  • Vilnius (3)
  • Vulnerability Management (16)
  • Zero Trust (2)
see all topics

Articoli Correlati

Sicurezza posta elettronica: elimina l'errore umano in 5 step

Buona parte degli attacchi informatici parte dall’apertura di una e-mail ed è per questo che, in...
Leggi di più

Insider threat management: come si difende l'azienda dalla minaccia interna

La protezione delle risorse e dei servizi aziendali non deve concentrarsi soltanto sulla...
Leggi di più

CASB: come si rende sicuro il Cloud senza depotenziarlo

L’acronimo CASB sta per Cloud Access Security Broker
Leggi di più
HWG
  • ISO certified company
  • ISO
  • clusit
  • Servizi
  • Company
  • Blog
  • Resource Center
  • Contatti
HWG Incident Response
2021 © HWG Srl

HWG Srl | Via Enrico Fermi, 15/E - 37135 Verona | P.IVA 03820790230

  • Privacy Policy
  • Politica aziendale
  • Modello 231/2001