Quando si tratta di ransomware, non possono mancare delle notizie a riguardo. D’altronde gli attacchi ransomware sono in aumento e sono sempre nuovi e pericolosi.
I server sono le vittime preferite da questo tipo di attacchi. Dato che i server (o le macchine virtuali che eseguono Windows Server) sono il luogo in cui viene eseguita la maggior parte delle operazioni vitali di un’azienda, un attacco ransomware può letteralmente paralizzarla.
Gli MSP devono trovare un approccio completo per proteggere i propri clienti dagli attacchi ransomware. Dal monitoraggio continuo, alla mitigazione e al ripristino, l’onere spetta a te MSP.
Datto può venirti in aiuto con le sue soluzioni: la combinazione di Datto RMM, con rilevamento e mitigazione del ransomware in tempo reale, e il ripristino di Datto BCDR offre una potente combo per combattere il ransomware. Questa combinazione segue quattro passaggi per combattere con successo questa minaccia informatica costante.
- Avviso
- Isolamento
- Mitigazione
- Ripristino
Anche se non esiste un modo infallibile per prevenire un attacco ransomware, puoi ridurne l’impatto e recuperare rapidamente dati e operatività. Detto questo, discutiamo i quattro passaggi per affrontare un attacco ransomware.
Avviso
Gli attacchi ransomware possono passare inosservati a meno che tu non abbia una sentinella di guardia continua. Quando un utente finale segnala qualcosa di sospetto è già troppo tardi.
In genere, le soluzioni di monitoraggio e rilevamento di ransomware in tempo reale monitorano l’esistenza di criptovirus o ransomware utilizzando l’analisi comportamentale dei file e inviano quindi un avviso quando un device è infetto. L’analisi dei file include la ricerca di qualsiasi cosa, dalle estensioni di file note come .crypt, all’aumento della frequenza di ridenominazione dei file e delle attività di eliminazione. Ma non finisce qui: per garantire che un server non venga attaccato e infettato da ransomware, è necessario monitorare il lancio di nuovi processi all’interno di Windows, come gli eventi all’avvio.
Inoltre, un aumento del traffico di rete o connessioni insolite da sistema a sistema possono significare che un attacco ransomware è in corso o sta per iniziare. Un modo con cui gli aggressori sfruttano i sistemi Windows è prendendo di mira il Single Sign-On (SSO). Quando una password viene creata in Windows, viene sottoposta ad hashing e archiviata in Security Accounts Manager (SAM), Active Directory (AD) o altrove. Quando un amministratore accede a Windows Server, le credenziali della password vengono lasciate indietro. Gli aggressori acquisiscono l’hash della password e lo utilizzano per passare ad altri sistemi sulla rete. Questa tecnica è denominata pass-the-hash (PtH).
L’RMM di Datto fornisce il monitoraggio continuo di tutti gli endpoint, inclusi i server Windows. Cerca anomalie e invia immediatamente un avviso quando rileva una possibile attività ransomware. Poiché Datto RMM monitora collettivamente tutti i computer, può venire rapidamente a conoscenza di attacchi ransomware.
Isolamento
Non appena viene rilevato un attacco ransomware, è essenziale isolare il server interessato per contenere l’attacco prima che si diffonda. Gli attacchi PtH si diffondono rapidamente da un device all’altro sulla rete e spesso si verificano al di fuori del normale orario lavorativo; troppo velocemente per una risposta da parte dei tecnici.
Il rilevamento del ransomware, effettuato da Datto RMM, isolerà i device infetti e assicurerà che non possa diffondersi ad altri device connessi alla rete, mantenendo l’accesso al controllo remoto tramite la console RMM. Questo passaggio è importante per supportare le attività DFIR (Digital Forensics e Incident Response), dando ai tecnici più tempo per raccogliere informazioni ed eseguire i successivi passaggi di mitigazione e ripristino.
Mitigazione
Oltre a isolare il device interessato, l’eliminazione del processo di infezione del ransomware è un altro passo importante per salvare ulteriori dati dalla crittografia ed evitare la diffusione della minaccia.
La stessa mitigazione comprende molti passaggi oltre all’isolamento del device e al tentativo di bloccare questo processo. Ad esempio, reimpostando l’orologio del BIOS a prima che il tempo indicato nella finestra del ransomware, per pagare il riscatto, sia scaduto. Determinare quando è iniziata l’infezione ransomware è importante anche per determinare quanto tornare indietro per il ripristino dai backup.
Datto RMM tenterà di bloccare il processo ransomware isolando automaticamente il device collegato alla rete. A differenza di altre soluzioni che isolano il device, rendendolo inaccessibile, i tecnici potranno comunque accedervi tramite la console RMM così da indagare e mitigare l’attacco.
Ripristino
Una volta che il server o la macchina virtuale sono stati isolati, il sistema deve essere ripristinato nel punto di recupero più recente, ovvero l’ultimo backup non colpito.
La quantità di dati infettati dall’attacco deciderà il livello di ripristino. In genere, verrà utilizzato uno di questi cinque tipi di ripristino:
- Ripristino a livello di immagine di sistema
- Virtualizzazione locale istantanea
- Ripristino Bare Metal
- Ripristino a livello di file
- Ripristino basato su cloud
Conclusione
Per vincere la guerra al ransomware, gli MSP hanno bisogno di un sistema di software che fornisca non solo un monitoraggio continuo, ma la capacità di mitigarne l’ulteriore diffusione e ripristinare i sistemi colpiti. Datto offre una potente combo di monitoraggio e mitigazione del ransomware in tempo reale: Datto RMM più Datto BCDR per un ripristino sicuro e veloce.
Se vuoi valutare il costo complessivo di una soluzione di disaster recovery & business continuity, abbiamo preparato una checklist definitiva. Guarda il webinar on demand per scoprirla subito!
Fonte: blog di Datto
