Nel mondo ogni 11 secondi si verifica un attacco ransomware contro aziende, enti pubblici e organizzazioni private.

Questi attacchi sono molto pericolosi, perché possono potenzialmente bloccare tutti i dispositivi connessi ad una stessa rete locale (LAN), impedendo l’accesso ai dati che vi sono conservati. Questo significa che un’azienda colpita da un attacco ransomware, se non risponde in modo efficace alla minaccia, può subire il blocco della propria attività fino a quando i sistemi non sono stati puliti ed i dati recuperati.

Questi attacchi colpiscono anche le aziende e gli enti più strutturati. Tra le più illustri vittime di recenti attacchi ransomware ci sono, ad esempio, Campari, Geox e la Conferenza Episcopale Italiana.

Gestire correttamente un attacco ransomware in azienda è fondamentale per evitare ingenti danni all’immagine ed al fatturato.

Vediamo di seguito alcuni suggerimenti su come gestire questo tipo di attacchi informatici.

Conosci il tuo nemico: cosa sono i ransomware?

Per poter reagire efficacemente ad un attacco ransomware è importante capire cosa sono e come funzionano questi attacchi.

I ransomware sono programmi malevoli (detti anche malware) progettati per propagarsi all’interno di una rete aziendale e cifrare tutti i dati ai quali riescono ad accedere con chiavi conosciute solo dagli attaccanti.

I ransomware più recenti sono in grado di cifrare non soltanto la memoria del pc nel quale sono installati, ma hanno la capacità di compromettere anche unità di storage collegate (es. NAS, cartelle di rete, dispositivi esterni). Le versioni più sofisticate sono programmate per differire l’attacco di qualche giorno, in modo da essere in grado di propagarsi, senza farsi notare, su un numero più elevato di dispositivi e di essere copiati anche nelle copie di backup dei dati dell’attaccato.

Dopo aver completato la cifratura dei dati, l’attaccante chiede il pagamento di un riscatto (cd. ransom, normalmente in criptovaluta) per renderli di nuovo accessibili alla vittima. Se l’attaccato rifiuta, perde la possibilità di recuperare i propri dati.

Niente panico! Limitare i danni del ransomware e isolare i dispositivi infetti

Una cosa essenziale da fare quando scopriamo di essere rimasti vittime di un attacco ransomware in azienda è quella di non farci prendere dal panico e analizzare a sangue freddo la situazione.

Bisogna anzitutto individuare quali sono i dispositivi aziendali già compromessi e isolarli dalla rete locale (cablata o wireless). E’ importante tenere a mente che non solo i dispositivi fisicamente connessi alla LAN aziendale possono essere vittime del ransomware, ma anche tutti i dispositivi che sono connessi da remoto (es. i pc dei dipendenti in smart working) o le macchine virtuali.

Ricordiamoci poi dei computer che si “nascondono” all’interno di dispositivi come stampanti multifunzione, centralini telefonici, NAS, etc.

Informare dipendenti, collaboratori e clienti dell’attacco ransomware all’azienda

Tentare di insabbiare un attacco ransomware alla nostra azienda potrebbe essere controproducente. È invece fondamentale che tutti i dipendenti siano informati dell’attacco in corso e collaborino con i responsabili IT segnalando ogni attività sospetta.

Anche i clienti devono essere informati di quello che sta succedendo: se fanno affidamento su di noi per conservare o trattare i loro dati, dovrebbero sapere che la nostra attività potrebbe essere interrotta o i loro dati compromessi. Così, potranno anche loro adottare adeguate contromisure per tutelarsi.

Proteggere i dati strategici contro il ransomware

Per reagire efficacemente ad un attacco ransomware alla nostra azienda dobbiamo individuare quali sono i dati strategici che devono essere protetti. Si tratta di una valutazione che va fatta in base all’attività svolta dall’impresa (es. anagrafiche, dati contabili, dati utilizzati per prestare i servizi aziendali, documentazione tecnica, …).

Va dunque immediatamente verificato se questi dati sono stati compromessi dall’attacco malware oppure se c’è almeno una copia di backup che non è stata compromessa.

In caso contrario, bisognerà tentare di salvare il salvabile e limitare il più possibile i danni causati dal ransomware.

Attivare il piano di business continuity o adottare misure di mitigazione

Se la nostra azienda ha predisposto un piano di continuità in caso di attacco ransomware, è giunto il momento di attivarlo (sperando che funzioni).

Se abbiamo previsto la realizzazione di un sistema ridondante, con una rete “parallela” che si attiva in caso di malfunzionamento della rete principale, è importante verificare che il sistema di emergenza non sia collegato al sistema principale: il ransomware si propaga attraverso le reti. Allo stesso modo, potrebbe non essere sicuro caricare sul sistema di emergenza l’immagine di una macchina virtuale che potrebbe essere stata compromessa dal ransomware.

Se non abbiamo previsto un piano di continuità, dobbiamo gestire la violazione in modo da limitare il più possibile i danni che potrebbero derivare al business aziendale ed ai diritti ed alle libertà delle persone delle quali trattiamo i dati.

Neutralizzare l’attacco ransomware in azienda

Una volta limitati i danni, dobbiamo concentrarci per neutralizzare l’attacco e dunque estirpare il ransomware dai sistemi dell’azienda. L’operazione può non essere così semplice, perché se non lo eliminiamo completamente, il malware potrebbe propagarsi nuovamente anche nei sistemi “puliti”.

Ricordiamoci sempre che molti dispositivi nascondono al loro interno un computer: anche questi vanno bonificati.

Non pagare il riscatto

In caso di attacco ransomware ad un’organizzazione, non si dovrebbe mai pagare il riscatto agli attaccanti.

Pagare il riscatto è eticamente sbagliato: si finanziano organizzazioni criminali che sono incentivate a ripetere i loro attacchi.

Pagare il riscatto inoltre può rivelarsi anche un’opzione economicamente fallimentare: non è infatti garantito che i criminali “liberino” davvero in nostri dati se lo pagheremo.

Valutare i danni

Soltanto alla fine dell’attacco potremo fare il calcolo dei danni causati dal ransomware alla nostra azienda.

Il conto potrebbe rivelarsi molto salato: mancato fatturato nei giorni di inattività, costi per l’acquisto di nuovi dispositivi, ore di lavoro di tecnici informatici. A seconda del nostro lavoro, potremmo anche trovarci esposti ad azioni civili da parte dei nostri clienti per il risarcimento dei danni subiti dall’impossibilità di accedere ai loro dati.

Notificare la violazione di dati

Infine, dobbiamo ricordarci che un attacco ransomware può compromettere l’integrità o la disponibilità dei dati personali trattati in azienda. Si tratta dunque di una violazione di dati che, ai sensi dell’art. 33 del Regolamento UE 2016/679 (GDPR), deve essere notificata al Garante entro 72 ore da quando il Titolare ne è venuto a conoscenza.

Se la nostra azienda è Titolare del trattamento, dovremo dunque valutare se effettuare questa notificazione e se è inoltre necessario comunicare la violazione agli interessati ai sensi dell’art. 34 GDPR.

Se siamo Responsabili del trattamento, dovremo informare i Titolari per conto dei quali trattiamo i dati personali, affinché valutino se effettuare la notifica o la comunicazione.

Prevenire gli attacchi: progettare misure di sicurezza adeguate

Gestire un attacco ransomware in azienda è un’operazione complessa, che richiede coordinamento e competenza.

Farsi trovare impreparati davanti ad un attacco ransomware può essere molto pericoloso: i danni potrebbero essere infatti molto ingenti.

Per essere efficace è necessario che siano state adottate adeguate misure organizzative e tecniche, progettate nell’ambito della valutazione del rischio che tutte le aziende dovrebbero fare.

È dunque fondamentale fare una prevenzione adeguata, facendoci assistere, se necessario, da esperti di cybersecurity e data protection.

Per sapere quali sono le minacce cibernetiche per la tua azienda e come difenderti, consulta la nostra Guida ai reati informatici in azienda.