Ricordiamo il testo pubblicato dal CSIRT Gov sui ransomware:
Per scaricare il testo cliccare qui.
Riportiamo qui di seguito le risultanze di una nostra indagine, in quanto ci è stata posta la domanda che abbiamo riportato nel titolo.
“Abbiamo chiesto poche informazioni e nessuna che potesse in qualche modo consentire a chi legge di poter capire di quale azienda si fosse trattato.
Le informazioni raccolte sono state tante, ma credo che possano essere di interesse solo alcune e soprattutto quelle che sono state più citate nel corso delle conversazioni avute.
Nella maggioranza dei casi è stato fra sabato e domenica mattina.
Chi si è accorto per primo dell’attacco?
In prevalenza sono stati i tecnici del settore informatico che hanno raccolto la segnalazione dai sistemi antivirus e/o i sistemi IPS.
Cosa ha fatto il personale ICT?
In prevalenza ha immediatamente informato il responsabile e le strutture di sicurezza (esempio: SOC). Hanno identificato le macchine compromesse ed hanno preso le opportune misure quali ad esempio: chiudere gli accessi Internet dei sistemi compromessi, isolare le macchine interessate, eccetera. Hanno successivamente accertato se si fosse verificato un imprevisto aumento di traffico di rete: ciò avrebbe potuto segnalare una esfiltrazione massiccia di dati contenuti nelle proprie reti. In qualche caso, questa ricerca ha visto interessati gli ultimi sette giorni in quanto si è saputo che in una realtà il prelievo di dati era avvenuto una settimana precedente la criptazione di tutte le macchine. In qualche caso la struttura aziendale non ha atteso eventuali segnalazioni contrarie ed ha ricaricato i dati dai backup; in un paio di enti i pc colpiti sono stati rottamati e sostituiti da nuovi computer con sistema operativo più recente.
Quale la reazione del top management?
Le reazioni sono state diversificate soprattutto a seconda della preparazione dell’azienda ad eventi di questo tipo. In ogni caso, fu avvertita la Polizia Postale ed il DPO; quest’ultimo ha poi avvertito il Garante della privacy a titolo cautelativo, anche se non appariva al momento rubato alcun dato personale. Qualora fosse emerso il furto di dati personali e/o si prevedesse una indisponibilità prolungata di uno o più processi critici, veniva emesso un comunicato stampa e, in generale, anche riportato sul sito istituzionale.
Si è poi saputo come può essere entrato il Ransomware nella LAN aziendale?
Le informazioni raccolte sono state estremamente scarse a causa di una giusta cautela delle aziende colpite, dato che era stata coinvolta la Polizia Postale e delle comunicazioni e la magistratura. Qualche notizia è trapelata, ed è stata pubblicata dalla stampa locale. Credo si possa affermare che in diversi casi si è trattato di sistemi vecchi, non più aggiornati e quindi esposti ad attacchi di “forza bruta”. Sembra che vi siano stati altri casi facilitati dalla apertura di Email di phishing (provenienti da indirizzi noti all’interessato) o per mancati aggiornamenti dei sistemi di protezione come gli antivirus.”.
