Backup, DR e business continuity, Cybersecurity

La combinazione perfetta per combattere i ransomware

26 Maggio 2022

Quando si tratta di ransomware, non possono mancare delle notizie a riguardo. D’altronde gli attacchi ransomware sono in aumento e sono sempre nuovi e pericolosi.

I server sono le vittime preferite da questo tipo di attacchi. Dato che i server (o le macchine virtuali che eseguono Windows Server) sono il luogo in cui viene eseguita la maggior parte delle operazioni vitali di un’azienda, un attacco ransomware può letteralmente paralizzarla.

Gli MSP devono trovare un approccio completo per proteggere i propri clienti dagli attacchi ransomware. Dal monitoraggio continuo, alla mitigazione e al ripristino, l’onere spetta a te MSP.

Datto può venirti in aiuto con le sue soluzioni: la combinazione di Datto RMM, con rilevamento e mitigazione del ransomware in tempo reale, e il ripristino di Datto BCDR offre una potente combo per combattere il ransomware. Questa combinazione segue quattro passaggi per combattere con successo questa minaccia informatica costante.

  • Avviso
  • Isolamento
  • Mitigazione
  • Ripristino

Anche se non esiste un modo infallibile per prevenire un attacco ransomware, puoi ridurne l’impatto e recuperare rapidamente dati e operatività. Detto questo, discutiamo i quattro passaggi per affrontare un attacco ransomware.

Avviso

Gli attacchi ransomware possono passare inosservati a meno che tu non abbia una sentinella di guardia continua. Quando un utente finale segnala qualcosa di sospetto è già troppo tardi.

In genere, le soluzioni di monitoraggio e rilevamento di ransomware in tempo reale monitorano l’esistenza di criptovirus o ransomware utilizzando l’analisi comportamentale dei file e inviano quindi un avviso quando un device è infetto. L’analisi dei file include la ricerca di qualsiasi cosa, dalle estensioni di file note come .crypt, all’aumento della frequenza di ridenominazione dei file e delle attività di eliminazione. Ma non finisce qui: per garantire che un server non venga attaccato e infettato da ransomware, è necessario monitorare il lancio di nuovi processi all’interno di Windows, come gli eventi all’avvio.

Inoltre, un aumento del traffico di rete o connessioni insolite da sistema a sistema possono significare che un attacco ransomware è in corso o sta per iniziare. Un modo con cui gli aggressori sfruttano i sistemi Windows è prendendo di mira il Single Sign-On (SSO). Quando una password viene creata in Windows, viene sottoposta ad hashing e archiviata in Security Accounts Manager (SAM), Active Directory (AD) o altrove. Quando un amministratore accede a Windows Server, le credenziali della password vengono lasciate indietro. Gli aggressori acquisiscono l’hash della password e lo utilizzano per passare ad altri sistemi sulla rete. Questa tecnica è denominata pass-the-hash (PtH).

L’RMM di Datto fornisce il monitoraggio continuo di tutti gli endpoint, inclusi i server Windows. Cerca anomalie e invia immediatamente un avviso quando rileva una possibile attività ransomware. Poiché Datto RMM monitora collettivamente tutti i computer, può venire rapidamente a conoscenza di attacchi ransomware.

Isolamento

Non appena viene rilevato un attacco ransomware, è essenziale isolare il server interessato per contenere l’attacco prima che si diffonda. Gli attacchi PtH si diffondono rapidamente da un device all’altro sulla rete e spesso si verificano al di fuori del normale orario lavorativo; troppo velocemente per una risposta da parte dei tecnici.

Il rilevamento del ransomware, effettuato da Datto RMM, isolerà i device infetti e assicurerà che non possa diffondersi ad altri device connessi alla rete, mantenendo l’accesso al controllo remoto tramite la console RMM. Questo passaggio è importante per supportare le attività DFIR (Digital Forensics e Incident Response), dando ai tecnici più tempo per raccogliere informazioni ed eseguire i successivi passaggi di mitigazione e ripristino.

Mitigazione

Oltre a isolare il device interessato, l’eliminazione del processo di infezione del ransomware è un altro passo importante per salvare ulteriori dati dalla crittografia ed evitare la diffusione della minaccia.

La stessa mitigazione comprende molti passaggi oltre all’isolamento del device e al tentativo di bloccare questo processo. Ad esempio, reimpostando l’orologio del BIOS a prima che il tempo indicato nella finestra del ransomware, per pagare il riscatto, sia scaduto. Determinare quando è iniziata l’infezione ransomware è importante anche per determinare quanto tornare indietro per il ripristino dai backup.

Datto RMM tenterà di bloccare il processo ransomware isolando automaticamente il device collegato alla rete. A differenza di altre soluzioni che isolano il device, rendendolo inaccessibile, i tecnici potranno comunque accedervi tramite la console RMM così da indagare e mitigare l’attacco.

Ripristino

Una volta che il server o la macchina virtuale sono stati isolati, il sistema deve essere ripristinato nel punto di recupero più recente, ovvero l’ultimo backup non colpito.

La quantità di dati infettati dall’attacco deciderà il livello di ripristino. In genere, verrà utilizzato uno di questi cinque tipi di ripristino:

  • Ripristino a livello di immagine di sistema
  • Virtualizzazione locale istantanea
  • Ripristino Bare Metal
  • Ripristino a livello di file
  • Ripristino basato su cloud

Conclusione

Per vincere la guerra al ransomware, gli MSP hanno bisogno di un sistema di software che fornisca non solo un monitoraggio continuo, ma la capacità di mitigarne l’ulteriore diffusione e ripristinare i sistemi colpiti. Datto offre una potente combo di monitoraggio e mitigazione del ransomware in tempo reale: Datto RMM più Datto BCDR per un ripristino sicuro e veloce.

Se vuoi valutare il costo complessivo di una soluzione di disaster recovery & business continuity, abbiamo preparato una checklist definitiva. Guarda il webinar on demand per scoprirla subito!

Guarda il Webinar On Demand

Fonte: blog di Datto

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative