Ransomware: Il nemico è invisibile, ma il danno è reale
Come difendersi dalle estorsioni digitali prima che sia troppo tardi? Trasformando la paura in strategia
Quando si parla di cybersecurity e, in particolare, di attacchi Ransomware, la mente corre subito alla perdita di dati o al riscatto milionario. Il denaro è inevitabilmente il primo pensiero, ma è l’unico rischio possibile?
Purtroppo, la realtà è ben più grave. Come ci ricorda l’allarmante fenomeno degli attacchi agli ospedali (che l’ICT Security Magazine ha recentemente definito una questione letteralmente di “vita o di morte”) la posta in gioco può arrivare a essere addirittura la salute e l’incolumità delle persone. Un sistema bloccato infatti non significa solo un bilancio aziendale in crisi, ma terapie negate, operazioni chirurgiche rimandate e, in casi estremi, conseguenze fatali per i pazienti.
Il Ransomware non fa distinzioni: può colpire una grande azienda, un ente pubblico o un professionista. La gravità dell’intrusione sta nella velocità con cui paralizza le operazioni vitali di un’organizzazione. E la paralisi genera un’interruzione importante dell’attività che può essere ben più grave della mera perdita dei propri dati.
La crisi in corsia: lezioni da un attacco
Per comprendere l’importanza di una risposta strutturata, prendiamo come scenario proprio l’ospedale attaccato nel momento in cui l’allarme Ransomware ha suonato. I monitor si spengono, le cartelle cliniche diventano inaccessibili e l’intero reparto IT è nel panico. Questo esempio estremo ci insegna i tre pericoli – oltre alla grave conseguenza dell’interruzione delle attività – che ogni azienda deve evitare.
Pericolo 1: Il rischio di non vedere le tracce
Di fronte all’emergenza, il primo istinto è eliminare velocemente il problema, spegnendo tutto o ripulendo i sistemi. Questo però è un errore fatale, perché intervenire senza un piano distrugge le prove necessarie per capire come gli attaccanti sono entrati, come i log e i file temporanei.
La priorità assoluta in questi momenti è preservare lo stato attuale del sistema per l’analisi forense, non spegnerlo o pulirlo. Dobbiamo sempre sapere chi ha attaccato e in che modo, per evitare che accada di nuovo.
Pericolo 2: L’Illusione dei salvataggi
Avere i backup dà spesso un falso senso di sicurezza. Ma se le copie di riserva sono connesse alla rete quando l’attacco è in corso, è quasi certo che anch’esse verranno compromesse.
Il primo gesto strategico, dopo l’identificazione, deve essere l’isolamento fisico e logico di ogni copia di riserva. Se il backup è il piano B, dobbiamo assicurarci che non sia sulla stessa nave che sta affondando.
Pericolo 3: Il danno aggiuntivo della paura
Sia per vergogna che per panico, la tendenza è spesso quella di rimandare l’annuncio dell’attacco; ma non definire una linea di comunicazione chiara (interna, esterna e verso le autorità) e non avvisare tempestivamente eventuali enti regolatori moltiplica il danno, sia dal punto di vista legale che etico, ed espone al rischio di sanzioni salate. La trasparenza controllata è l’unica via per gestire l’immagine aziendale durante la crisi.
Mai pagare il riscatto
Di fronte al blocco totale dei sistemi e alla minaccia di perdita o pubblicazione dei dati, pagare può sembrare la via più rapida per “uscirne”. Ma è un errore strategico, per diversi motivi.
Innanzitutto, pagare non garantisce nulla: non c’è certezza che i dati vengano effettivamente restituiti o che il sistema venga ripristinato. Spesso, le chiavi fornite dagli attaccanti sono corrotte o inutilizzabili.
In secondo luogo, si rischia il cosiddetto effetto boomerang: nel caso della cosiddetta double extortion, infatti, anche dopo il pagamento i dati vengono comunque pubblicati online o rivenduti, causando un danno reputazionale ed economico ancora maggiore.
Infine, pagare alimenta il sistema criminale: dimostra che l’attacco ha funzionato e rende l’azienda un bersaglio privilegiato per futuri attacchi, magari dallo stesso gruppo o da altri soggetti che condividono le informazioni nel dark web.
Per questo motivo, la raccomandazione unanime delle autorità di sicurezza, in Italia e a livello internazionale, è di non cedere mai al ricatto. L’unica strategia efficace è la preparazione: sapere cosa fare – e cosa evitare – prima che accada.
Il segreto per uscirne
Per trasformare il panico in strategia, qualsiasi piano di risposta deve basarsi su tre macro-fasi logiche e non negoziabili:
Contenere l’emorragia
Il primo obiettivo è interrompere la catena del contagio. Significa isolare rapidamente i sistemi infetti dal resto della rete e bloccare l’azione del malware prima che si diffonda ovunque. Questa è l’unica azione immediata, spesso violenta (disconnettere cavi, disabilitare porte), che deve essere eseguita per salvare i sistemi ancora sani.
L’analisi specializzata
È impossibile guarire senza una diagnosi accurata. Un intervento esterno specializzato deve analizzare le cause dell’intrusione (il punto zero dell’attacco) e mappare tutte le vulnerabilità sfruttate. Solo comprendendo l’origine dell’errore si può evitare che l’attacco si ripeta un mese dopo.
Il ritorno controllato
Il ripristino non è un interruttore da premere. Deve essere eseguito gradualmente, in un ambiente di test sicuro, e solo dopo aver chiuso tutte le falle scoperte durante l’analisi. Il ritorno alla normalità deve avvenire per priorità e deve includere un monitoraggio intensivo per assicurarsi che l’aggressore non abbia lasciato delle “porte di servizio” per un rientro futuro.
In conclusione
In una crisi cyber, la mentalità è tutto, serve a capire che un attacco è inevitabile e che la preparazione è la tua migliore difesa. Non si tratta solo di server e dati aziendali ma di continuità operativa e, in casi estremi come quelli delle strutture sanitarie, dell’incolumità delle persone. La prontezza psicologica non basta: è il dettaglio operativo che fa la differenza tra un incidente gestibile e un disastro.
Per trasformare la paura in una strategia difensiva, hai bisogno di strumenti concreti, non solo di buone intenzioni.
Ti serve la mappa passo-passo per gestire la crisi? helmon mette a disposizione le sue competenze, in una vera e propria check list di sopravvivenza come omaggio per chi si iscrive alla loro newsletter. È il vademecum tecnico che ti spiega esattamente cosa fare e non fare, in dettaglio, per implementare le tre fasi strategiche di risposta. Non farti trovare impreparato.
Redazione BUTAC
Erano mesi che non ci arrivava una segnalazione con Nikola Tesla protagonista, quasi ci mancava. Pertanto, quando oggi alla mail segnalazioni at butac punto it ci è arrivata questa, ho deciso che non potevamo lasciarcela scappare. Lo so, ci sono temi ben più seri di cui occuparci, ma ogni tanto una storia di fantascienza tecnologica […]
A volte lettori ci segnalano contenuti che non girano sui social più battuti, ma in ecosistemi ridotti, dove il pubblico è più di nicchia e spesso già orientato in senso critico verso la medicina ufficiale. Stavolta il contenuto arriva da un post pubblicato nella chat Telegram di Corvelva, e il tono è quello che conosciamo […]
Più volte su BUTAC abbiamo parlato di espianto di organi e leggende urbane, ma di questa vecchia storia non ci eravamo mai occupati, riteniamo utile farlo ora visto che viene ritirata fuori da alcuni profili social grazie al clamore mediatico esploso dopo la vicenda del povero Domenico. La storia sui social sta circolando così (ve […]
Oggi cerchiamo di prevenire che un video, senza alcuna conferma, diventi virale anche da noi. Il video di cui parlo è stato inizialmente condiviso dal profilo di una donna persiana che vive negli States. Anche se sul suo profilo ora risulta rimosso, il video è questo: [meride embed=”27248″] Viene condiviso da svariati profili in rete, […]