Dove colpisce la crittografia ransomware, non cresce più l'erba (all'inizio). La casa di sistema GID prende misure precauzionali per i suoi clienti. L'amministratore delegato riferisce dal campo, dove il malware a volte colpisce come una bomba.
Quattro su cinque (83%) vittime di attacchi ransomware hanno pagato un riscatto per recuperare i loro dati, secondo il "2021 State of Ransomware Survey & Report". Il rapporto si basa sulle risposte di 300 decisori IT negli Stati Uniti. Altri studi sono arrivati a risultati inferiori, ma è indiscutibile che molti non conoscono altro modo per aiutarsi, anche se autorità come l'FBI negli Stati Uniti non consigliano il pagamento.
In molti luoghi, l'attacco e la crittografia sono visti come una questione di tempo. Friedrich Förster, Managing Director Sales presso la system house GID, conosce bene il fenomeno e le strategie di recupero al di là dei pagamenti di riscatto. "La sensibilità sta aumentando a causa dei molti casi che si sentono o si leggono quasi quotidianamente nei media. Mentre due o tre anni fa i clienti erano superficialmente interessati, oggi si può avere una discussione intensa con i manager IT. I budget sono stati pianificati e i primi progetti sono stati implementati con successo", dice il capo del GID.
Attacco e reazione
Il modello di trucco varia. Spesso, i dati dei clienti sono prima criptati nel backup, e poi l'attaccante si sposta sistematicamente sui sistemi primari. "A seconda di quando il cliente si accorge dell'attacco, può recuperare ciò che può essere recuperato", dice Förster e delinea la dinamica che poi si instaura: staccare la spina, manuale di emergenza, determinare il danno, procurarsi l'attrezzatura, ricostruire il sistema. Spesso si deve fare un rapporto al BSI (Ufficio federale per la sicurezza dell'informazione), il che comporta che i sistemi colpiti debbano prima essere indagati per il colpevole e non possano essere utilizzati fino a quando l'indagine non sia stata completata. Questo può richiedere diversi giorni.
Sistema produttivo criptato
"In un caso specifico presso uno dei nostri clienti, anche l'intero sistema produttivo è stato criptato. Il backup era su due sistemi di dominio dati, ma non erano interessati dalla crittografia", dice il manager. GID utilizza il software "Cyber Recovery" di Dell EMC per i suoi clienti. Förster descrive: "Grazie al protocollo Boost, lo storage di backup non era accessibile agli attaccanti. Valutando la quantità di dati grezzi e netti, è stato possibile determinare da quando i dati sono stati anche criptati nel backup". I dati sottoposti a backup prima di questo punto non erano interessati e potevano essere ripristinati. Nel complesso, il cliente era di nuovo pienamente operativo dopo sette giorni. "In un caso paragonabile in un'altra azienda, ma dove il nastro è stato utilizzato come supporto di backup, questo ripristino dell'operatività ha richiesto sei mesi", sottolinea il capo del system integrator Förster.
L'approccio del "Cyber Recovery"
"Cyber Recovery" consiste in diversi componenti, tra cui "Data Domain" e "Cyber Vault". In una prima fase di espansione, Data Domain serve come storage di destinazione per il backup, con due complicazioni per criptare i sistemi. Il cosiddetto protocollo Boost, che non ha potuto essere attaccato finora, così come la funzione "Retention Lock", dove i dati vengono scritti in una "modalità WORM" (Wright once read many) e quindi non possono essere criptati intrinsecamente. "I clienti sono ancora più protetti se mettono un secondo o terzo dominio di dati in una Cyber Vault, che si trova dietro un altro firewall e può essere accessibile solo attraverso un Air Gap", dice Förster. Air Gap si riferisce a un processo che separa fisicamente e logicamente due sistemi informatici l'uno dall'altro, ma permette comunque il trasferimento dei dati. Nella fase di massima espansione, un server di backup è anche dietro questo firewall e può essere utilizzato per ripristinare i dati se i sistemi primari non sono più utilizzabili.
Il pensiero del Vault
Il moderno ransomware prende sempre più di mira i sistemi di backup nelle aziende. Poi il codice maligno cerca di disabilitare o controllare le misure di protezione. Ecco come è nata l'idea del caveau, descrive il capo del GID. "Questa Cyber Recovery Vault (CR Vault) conserva una sorta di copia d'oro dei dati dell'azienda, in modo che lo stato precedente dei dati possa essere ripristinato in qualsiasi momento."
La "Cyber Recovery Vault" può quindi ospitare anche il server di backup stesso e garantire così la funzionalità delle routine di recupero. Questo processo può essere automatizzato in modo che, in caso di attacco, sia possibile ripristinare non solo i set di dati bloccati dal malware, ma anche il server completamente configurato.
Informazioni aggiuntive
Integratore di sistema con aree di interesse
Come integratore di sistema, Global Information Distribution (GID) consiglia e offre soluzioni nei segmenti dell'infrastruttura, dell'infrastruttura iperconvergente (HCI), dello storage e del backup & recovery.
GID è stata fondata a Colonia nel 1994 e opera in tutta la Germania. Oltre alla sede centrale di Colonia, ci sono filiali sotto forma di sedi di vendita e assistenza ad Augsburg, Berlino, Stoccarda e Francoforte, che attualmente impiegano 35 persone.
La system house lavora con il software "Cyber Recovery" di Dell EMC quando si tratta di ransomware. In questi progetti, è necessaria un'analisi della situazione presso il cliente e una consulenza approfondita. In questo contesto, GID offre servizi di consulenza che consistono in workshop presso il sito del cliente con analisi dello stato attuale e di quello desiderato. Insieme al cliente, viene sviluppata una strategia su come progettare l'ambiente di protezione dei dati.
Il budget è disponibile
Secondo i risultati del sondaggio di luglio di quest'anno dal rapporto sul ransomware citato all'inizio, che Thycotic Centrify ha commissionato a Censuswide, il ransomware è una minaccia per le aziende di tutte le dimensioni e livelli di sicurezza. Thycotic Centrify è un fornitore di soluzioni per la sicurezza dell'identità nel cloud. La prima linea di difesa, secondo Thycotic Centrify, dovrebbe essere costituita da soluzioni che proteggono l'accesso privilegiato, compresa l'autenticazione a più fattori (MFA) e altri metodi di applicazione della fiducia zero per tenere a bada gli aspiranti criminali informatici e limitare i danni potenziali. Budget ist aufgrund der fortschreitenden Sensibilisierung für Ransomware-Gefahren vorhanden.
Demnach haben:
- 72 Prozent ihre Budgets für Cybersicherheit aufgrund von Ransomware-Bedrohungen erhöht,
- 93 Prozent ein spezielles Budget zur Bekämpfung von Ransomware-Bedrohungen bereitgestellt,
- 50 Prozent durch einen Angriff bereits Umsatzeinbußen und Rufschädigung erlitten und
- 42 Prozent infolge eines Angriffs Kunden verloren.