Recupero dati dagli attacchi ransomware: 4 fattori da considerare

Gli attacchi ransomware continuano a minacciare le aziende, i governi locali e le organizzazioni senza scopo di lucro ed è improbabile che la tendenza cambi a breve.

Secondo i registri pubblici, più di 400 governi di città e contea hanno subito attacchi ransomware dal 2014. Gli enti privati ​​non segnalano sempre gli attacchi, ma l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha segnalato un aumento del 150% delle infezioni da ransomware tra aprile 2020 e luglio 2021.

Quando i malintenzionati implementano correttamente il ransomware, le tue opzioni sono limitate: ripristinare i dati da un backup, pagare il riscatto o cercare opzioni professionali per il recupero dei dati del ransomware.

In qualità di fornitore leader di servizi di recupero da ransomware, Datarecovery.com può fornire la guida di cui la tua organizzazione ha bisogno per intraprendere le azioni appropriate. Prima di tentare il ripristino del ransomware, tieni a mente questi suggerimenti.

1 Comprendere l’entità dell’infezione ransomware.

In caso di emergenza, molte aziende intraprendono un’azione immediata per ripristinare i sistemi mission-critical, ma il ripristino rapido da un sistema di backup può avere conseguenze indesiderate.

Molte varianti di ransomware prendono di mira i dispositivi di backup. Gli aggressori sanno che la migliore difesa contro le infezioni da ransomware è un solido piano di ripristino di emergenza e le varianti moderne spesso hanno una "fase dormiente". Se il ransomware si diffonde attraverso i backup (e occasionalmente, i sistemi di archiviazione), il tentativo di ripristino potrebbe impedire una rapida risoluzione.

La best practice consiste nel valutare immediatamente tutti i sistemi di archiviazione dati. Documenta la tua valutazione e cerca di identificare la data e l’origine dell’infezione. Isolare le reti e i dispositivi di gestione dei dati e non tentare mai di ripristinare i dati (anche quando i backup sono archiviati su supporti con air gap) fino al completamento della valutazione.

2 Ricorda, alcune infezioni da ransomware possono essere facilmente risolte.

Il ransomware funziona crittografando i dati e alcune varianti utilizzano metodi di crittografia che possono essere facilmente aggirati. Gli hacker white-hat hanno creato numerosi strumenti per affrontare le infezioni comuni e, con l’aiuto di una società di recupero dati professionale, potresti essere in grado di ripristinare i dati crittografati senza perdere molto tempo di attività.

Le varianti comuni di ransomware con decryptor disponibili pubblicamente includono:

• Prometeo
• LockFile
• Ziggy
• Synack
• Avaddon
• Giudice
• AtomSilo

Questa non è una lista esauriente. Strumenti di decrittazione gratuiti sono disponibili presso il No More Ransom Project.

Tuttavia, consigliamo di prestare attenzione quando si utilizzano strumenti di decrittografia gratuiti: per i sistemi di livello aziendale, alcuni strumenti potrebbero richiedere tecniche di ripristino avanzate e su sistemi complessi, potresti non avere una seconda possibilità per un ripristino senza perdite. Collabora con un partner esperto di ransomware per garantire il miglior recupero possibile.

3 Gli attacchi ransomware mirati richiedono risorse specializzate.

Alcune varianti di ransomware sono progettate per prendere di mira architetture specifiche. In genere, il recupero dei dati non è possibile utilizzando gli strumenti di decrittazione disponibili pubblicamente.

Il gruppo ransomware BlackMatter, che sostiene di essere il successore dei famigerati gruppi Darkside e REvil, prende di mira le reti aziendali con entrate pari o superiori a $ 100 milioni. I gruppi "Ransomware-as-a-Service" (RaaS) offrono compensi agli individui all’interno di grandi organizzazioni, creando backdoor che aumentano le loro possibilità di infiltrazione di successo.

Gli obiettivi comuni per i gruppi di ransomware includono:

• Aziende di vendita al dettaglio ed e-commerce
• Università e altre istituzioni educative
• Fornitori di servizi professionali e legali
• Uffici del governo centrale, statale e locale
• Fornitori di software come servizio (SaaS).

Gli attacchi mirati spesso comportano riscatti di $ 100.000 o più. Le soluzioni di recupero dati variano a seconda dell’entità dell’attacco, dell’architettura IT dell’organizzazione e della sofisticata crittografia del ransomware.

4 Il pagamento del riscatto non impedisce sempre la perdita di dati.

Quando il ransomware prende di mira i sistemi mission-critical, la soluzione ovvia è pagare il riscatto. Sfortunatamente, questa non è una strategia infallibile.

Secondo un rapporto del 2021, solo il 9% delle persone che pagano gli aggressori ransomware recupera tutti i propri dati. Il ransomware non è progettato per il ripristino e il processo di crittografia potrebbe rendere inutilizzabili file importanti (come i database).

Il pagamento di riscatti fornisce anche potenti incentivi ai malintenzionati per perseguire ulteriori attacchi. In numerosi casi, le aziende hanno subito più infezioni ransomware in brevi periodi di tempo, spesso dallo stesso gruppo di aggressori.

La migliore difesa contro il ransomware è una solida strategia di ripristino di emergenza.

Con i backup con air gap, la maggior parte delle organizzazioni può evitare una significativa perdita di dati a causa di un’infezione da ransomware. Monitorando continuamente i segni di infezione, puoi eseguire rapidamente la tua strategia di ripristino di emergenza, ma anche con una solida difesa, gli attacchi possono compromettere i sistemi chiave.

La seconda migliore difesa è un partner esperto di recupero dati. Datarecovery.com gestisce laboratori a servizio completo con strumenti di decrittazione proprietari e i nostri ingegneri hanno decenni di esperienza combinata con i sistemi aziendali. In qualità di fornitore leader di recupero di ransomware del settore, disponiamo delle risorse tecniche e delle competenze per recuperare rapidamente i tuoi dati, limitando i tempi di inattività in caso di disastro.