Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco ransomware: i dettagli di intervento del CERT Advens

Redazione RHC : 19 Aprile 2024 07:47

Entra dietro le quinte del nostro CERT per rivivere un intervento completo su un attacco ransomware. David Quesada, direttore del CERT Advens, descrive in dettaglio le fasi di risposta agli incidenti del nostro Computer Emergency Response Team. 

Benjamin Leroux esperto di Sicurezza informatica in proposito ha commentato: ”Nella sicurezza informatica, spesso parliamo troppo di attacchi e non abbastanza di difensori. Ciò può inavvertitamente glorificare gli hacker e metterli su un piedistallo. Dovremmo invece concentrarci sulla celebrazione del lavoro dei difensori, che sono i veri eroi in prima linea. I difensori sono gli eroi non celebrati della sicurezza informatica. Sono loro che rispondono quando colpisce una grave crisi, lavorando instancabilmente per proteggere le organizzazioni e rimetterle in funzione il più rapidamente possibile”.

Alessandro Rossi CEO Advens Italia suggerisce inoltre: ”per dare un contributo all’innalzamento del livello di sicurezza di tutti dovremmo descrivere e diffondere più informazioni e statistiche sugli incidenti piuttosto che solo statistiche sugli attacchi: sapete che in media il danno generato da un incidente informatico è costituito per 1/3 da impegno e attività per gestirlo?”.

Che cos’è un attacco ransomware?

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Un attacco ransomware consiste nell’inviare a un bersaglio un malware che, una volta attivato, crittografa i file e tutti i dati del sistema informatico in cui è attivato. Viene quindi chiesto un riscatto in cambio di una chiave di decodifica.

Quali sono i segni premonitori di un attacco ransomware?

Ci sono segnali deboli, ma rilevarli può essere difficile.

L’obiettivo dell’hacker è passare inosservato il più a lungo possibile. Una volta infiltratosi in un sistema informatico, può aspettare mesi prima di scatenare il suo attacco o agire nel giro di poche ore… Ciò che può mettere la pulce nell’orecchio sono comportamenti anormali, come azioni notturne (connessioni, modifiche, ecc.) o trasferimenti di rete insoliti.

Cosa succede quando l’attacco viene rivelato alla luce del sole?

Gli strumenti informatici non rispondono più o funzionano in modo anomalo. L’utente osserva comportamenti inaspettati sulla propria postazione di lavoro, come un software che non funziona più, uno sfondo che cambia aspetto… Poi appare un file di testo, spesso intitolato “Read me.txt” che contiene un messaggio tipo “Abbiamo crittografato i tuoi dati, chiama un numero per recuperarli per la somma di XXX € o XXX Bitcoin”.

Da 1 a 3 giorni

Questo è il tempo normale per l’invio di una richiesta di riscatto (LegiFrance).

Bisogna mettersi in contatto con l’hacker?

Sconsiglio di contattare direttamente l’hacker e di impegnarsi in trattative per pagare il riscatto. Non risparmierai necessariamente tempo e non hai alcuna garanzia che l’hacker ti restituisca l’accesso ai dati.

Ma ogni minuto conta, e se un utente scopre l’attacco, è necessario lanciare immediatamente l’allarme al team di cybersecurity o al supporto IT e soprattutto non gestire l’incidente da soli.

Quali sono le prime fasi nel modo operativo del CERT Advens in caso di attacco da ransomware?

La prima fase dell’incidente si svolge in più fasi: sono in qualche modo le “operazioni di primo soccorso”.

Il nostro CERT realizza innanzitutto una prima valutazione telefonica per identificare l’entità dei danni, comprendere le azioni già intraprese o in corso, quindi trasmettere, tramite un indirizzo e-mail di soccorso, le azioni prioritarie da intraprendere in attesa dell’arrivo del team sul posto.

L’equipe cercherà di raggiungere il cliente il più rapidamente possibile, idealmente entro 24 ore sul territorio francese. Nel frattempo, quest’ultimo dal canto suo deve completare tutte le azioni prioritarie:

  • I suoi team tecnici completano le prime azioni per contenere l’attacco e limitare il più possibile i danni: isolamento di Internet, isolamento di Active Directory, messa in sicurezza di backup e dati non ancora crittografati…
  • I team tecnici prelevano gli elementi tecnici di interesse con gli strumenti e le procedure fornite al fine di eseguire il backup dei registri e avere uno stato più vicino all’incidente.
  • Allo stesso tempo, il management si attiva per applicare il piano di gestione della crisi (se esiste), che può anche comportare l’applicazione di un piano di continuità aziendale: cosa è stato colpito, come, perché, quali impatti provocheranno i dati numerici? Quali servizi devono rimanere attivi?

Una volta sul posto, mapperemo i danni e identificheremo le azioni da eseguire nei primi due o tre giorni.

Il CERT effettua un’indagine approfondita: consiste nell’analisi dei prelievi per identificare il punto di partenza dell’attacco (se possibile) e il livello di penetrazione dell’attacco. Per aumentare l’efficienza e la velocità, il CERT può essere indotto a implementare un EDR. L’obiettivo del dispiegamento è duplice: proteggere utilizzando gli indicatori scoperti e riuscire a rilevare nuovi elementi specifici per identificare eventuali compromissioni.

Parallelamente, possiamo supportare i team del cliente nella comunicazione interna ed esterna da adottare.

All’interno di Advens, un team di “vigili del fuoco volontari” può prendere il posto per fornire competenze aggiuntive o complementari. Ad esempio, alcuni sono già intervenuti per prendere la parola davanti ai media.

Cosa comporta la fase di “contenimento e rimedio”?

Dopo una settimana di indagini, iniziamo a creare quello che viene chiamato un nucleo di fiducia*.

Che cos’è un nucleo di fiducia?

Un’area IT sicura al 100%, che consente di ricostruire un’infrastruttura IT sana. Tutto ciò che è all’interno è stato verificato, l’hacker non può entrare o accedervi, grazie all’isolamento di tutte le altre posizioni prima di essere reintegrato in questo nucleo di fiducia.

La sfida di questo nucleo di fiducia? Inserire solo parti del SI completamente sicure e filtrate. Durante la crisi, l’attacco può continuare, l’hacker può perfezionare le sue tecniche o scoprire nuove vulnerabilità. Bisogna unire prudenza e agilità per riuscire nelle attività di contenimento e di ricostruzione.

Parallelamente ad altre attività, il CERT Advens continua a fornire il suo supporto. Attiviamo o partecipiamo all’unità di crisi dell’organizzazione vittima dell’attacco. Questo ci permette di mantenere un legame con il cliente e di condividere i progressi delle nostre analisi. Una volta che la ricostruzione è sufficientemente avanzata, diventa possibile riavviare i servizi interessati. A stretto contatto con la direzione aziendale, determiniamo quindi quale funzione aziendale deve essere ripristinata in via prioritaria.

In questa fase sono possibili due casi:

  • È già stato pianificato un BIA (Business Impact Analysis), che può far risparmiare tempo perché consente di sapere quale servizio/applicazione deve essere riavviato prima, quindi gli altri in ordine di priorità.
  • Non è stato anticipato nulla: aiutiamo quindi l’azienda vittima a individuare le priorità per la ripresa dell’attività, un’operazione che può comportare una notevole perdita di tempo.

In che modo è possibile ripristinare il SI e rendere il cliente autosufficiente?

A questo punto inizia la fase di ricostruzione del SI. L’operazione può durare dalle 4 alle 6 settimane, o anche diversi mesi, a seconda dell’entità del danno e dei problemi riscontrati.

Dopo il ripristino dei primi elementi critici del SI, il team CERT si ritirerà gradualmente, ma altri servizi Advens possono entrare in gioco a seconda del piano d’azione pianificato, come ad esempio l’allestimento di un SOC supervisionato, il mantenimento delle condizioni di sicurezza, la definizione di nuove procedure o la formazione e la sensibilizzazione.

Dopo l’intervento del CERT, viene redatto un rapporto d’intervento che contiene le indagini digitali svolte dal CERT, una cronologia di ciò che è accaduto durante la risposta all’incidente, un diagramma dell’attacco e conclusioni generali e tecniche da cui deriva un piano d’azione.

A questo punto il cliente si occupa di completare la procedura di ripristino, con o senza l’assistenza di alcuni team Advens esterni al CERT, e di riavviare la propria attività. Il CERT rimane a disposizione per rispondere alle domande sul piano d’azione e sul rapporto.

Grazie a  David Quesada per aver condiviso il modus operandi del CERT Advens in caso di attacco ransomware. Per rimanere aggiornato, segui i bollettini pubblicati dal CERT sul sito web di Advens.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Shock alla Casa Bianca! Gli hacker imitano la voce del capo dello staff con l’IA!

La Casa Bianca ha avviato un’indagine dopo che ignoti hanno avuto accesso al telefono personale del capo dello staff presidenziale degli Stati Uniti, Susie Wiles, e hanno utilizzato i dati per ...

Akira Ransomware Group: l’ascesa inarrestabile di un predatore digitale

Se c’è un nome che nel 2025 continua a campeggiare con crescente insistenza nei report di incident response, nei feed di threat intelligence e nei blog degli analisti di cybersicurezza, &#...

Scuole italiane: Non ci siamo! Occorre una riforma epocale sulle tecnologie digitali. Subito!

Il 66% dei docenti italiani afferma di non essere formato per insegnare l’IA e la cybersecurity. Se consideriamo le sole scuole pubbliche, la percentuale aumenta drasticamente al 76%. La domand...

E’ Allarme Cyber in Italia! Mantovano: Ospedali, giustizia e imprese nel mirino dei cybercriminali

Il Sottosegretario alla Presidenza del Consiglio, Alfredo Mantovano, ha partecipato questa mattina, alla Loggia dei Mercanti di Ancona, all’incontro “La cybersicurezza per lo sviluppo so...

Windows Update sarà per tutti? Persino il Blocco Note ha paura!

Microsoft vuole rivoluzionare il modo in cui vengono gestiti gli aggiornamenti su Windows. L’azienda ha annunciato una nuova piattaforma di orchestrazione degli aggiornamenti che punta a trasfo...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006