Share On Facebook
Share On Twitter
Share On Linkdin

È possibile il recupero dei file criptati da ransomware?

È possibile il recupero dei file criptati da ransomware?
10 marzo 2020 Valeria Deidda
recupero-file-criptati-axitea

In un panorama delle minacce informatiche sempre più ricco e variegato, il ransomware (con la relativa problematica del recupero dei file criptati) occupa da tempo uno dei posti di maggiore rilievo.

Il meccanismo d’attacco è relativamente semplice. I cybercriminali riescono a entrare nel sistema informatico di un’azienda, o di un individuo, e a prenderne il controllo, cifrando i dati che trovano sui vari dischi. La chiave per decifrarli viene fornita alla vittima solo a fronte di un pagamento, che nella quasi totalità dei casi avviene in Bitcoin. E non è nemmeno sicuro che la chiave venga fornita davvero, anche quando la vittima cede al ricatto e paga.

Recupero file criptati: è realmente possibile decriptarli?

Le chance sono poche perché le chiavi di cifratura sono molto efficaci. Solo quando vengono usati dei ransomware datati, c’è la possibilità di accedere a basi di dati online che propongono soluzioni e chiavi di decifratura, ma si tratta solamente del 10% circa dei casi complessivi. I player che fanno facili promesse spesso non sono trasparenti o onesti. Molto meglio lavorare sulla prevenzione.

Come proteggersi da un attacco informatico

Gli hacker sferrano i loro attacchi tipicamente tramite messaggi di phishing, cercando di convincere gli utenti a scaricare un allegato infetto o a cliccare su un link pericoloso. Esistono strumenti di protezione tecnologica che impediscono alle minacce note di entrare nella rete di un’azienda, andando a verificare i comportamenti di eventuali file che arrivano per posta elettronica o vengono scaricati.

Altro aspetto fondamentale è la formazione. I messaggi di phishing prendono di mira il singolo utente per convincerlo ad agire in modo imprudente, tanto che oltre il 90% degli attacchi malware lanciati oggi richiede la collaborazione più o meno consapevole dell’utente, chiamato ad aprire un file o visitare un link.

Aggiornamento tecnologico e prevenzione sono misure efficaci, che però risultano di difficile implementazione per molte piccole e medie imprese, che spesso non dispongono di competenze specifiche in azienda. In questo caso, il consiglio è senz’altro quello di rivolgersi a chi fa della sicurezza il suo core business, e lo eroga sotto forma di servizio gestito. In questo modo ci si assicurano competenze avanzate e sempre aggiornate, oltre alla possibilità di accedere a strumenti di formazione in modo regolare.

Ulteriori benefici SOC as a Service

I vantaggi SOC as a Service sono diversi. Il servizio garantisce innanzitutto il monitoraggio continuo H24 in real time degli eventi che riguardano l’individuazione e la gestione degli incidenti.

In secondo luogo il vantaggio consiste nell’integrazione di machine learning, threat intelligence e big data che fornisce informazioni utili agli analisti informatici per formulare risposte tempestive e valide nella risoluzione di incidenti e mitigazione dei rischi.

Il servizio permette di individuare inoltre possibili attacchi di tipo brute force per scovare password, attacchi provenienti dall’interno, ovvero dipendenti con intenti malevoli, oppure per tracciare sistemi infetti o compromessi da malware.

In caso di attacco, il sistema provvede tempestivamente ad avvisare i responsabili della sicurezza aziendale, in modo che possano prendere i provvedimenti necessari.

Perché c’è bisogno di uno specialista?

Le attività di consulenza post attacco consentono di minimizzare i tempi di ripristino e tornare all’operatività, seguendo le corrette procedure ed evitando di commettere errori, come ad esempio l’eliminazione delle tracce che hanno causato l’attacco.

Dopo un attacco è inoltre fondamentale effettuare un accurato assessment per quali e quanti dati siano stati criptati e fisicamente compromessi (ad esempio resi illeggibili) e se questi siano stati anche rubati, ovvero inviati all’esterno del perimetro aziendale. In questo ultimo caso saremmo di fronte a un data breach che se dovesse riguardare anche i dati personali va segnalato secondo quanto previsto dalle disposizioni di legge e normative. Lo specialista può supportare l’azienda nella corretta gestione del data breach coordinando e predisponendo le comunicazioni, entro i termini previsti, al Garante della Privacy ed eventualmente alle altre Autorità da coinvolgere (Polizia Postale) e terze parti coinvolte (come clienti e/o fornitori).

L’attività di assessment è importante anche per il supporto periziale per la quantificazione del danno ai fini di eventuali risarcimenti di polizze stipulate per il rischio cyber o altre forme assicurative.

Tutte queste attività possono meglio essere eseguite se lo specialista opera con il supporto di un’azienda che disponga, in quantità e qualità, di conoscenze e competenze nell’ambito della cyber security evoluta, e specializzata nel monitoraggio ed interpretazione delle situazioni di rischio informatico e nell’erogazione di servizi di sicurezza gestiti. Con questa organizzazione lo specialista riesce ad essere più efficace nell’aiutare l’azienda colpita, andando di fatto a ridurre, se non il danno subito, almeno il carico amministrativo e l’impatto sull’operatività seguente a un attacco cyber.

È basilare ricostruire attraverso attività di analisi forense il modello di attacco utilizzato per capire le cause che lo hanno generato, sia per fornire le giuste informazioni agli stakeholder interni e esterni, che per adeguare le contromisure di protezione per evitare che attacchi simili si ripetano in futuro.