Come riconoscere gli cyberattacchi e reagire correttamente
7 min

Come riconoscere gli cyberattacchi e reagire correttamente

Postato su Testo: Andreas Heer  | Media: Adobe Stock

Quando i cybercriminali fanno breccia nelle difese di un’azienda, reagire nel modo giusto è decisivo. Questa lista di controllo vi aiuta a riconoscere gli attacchi e a reagire correttamente e, soprattutto, tempestivamente per limitare i danni.

Anche le PMI svizzere sono vittime di cyberattacchi. Lo dimostra l’ultimo rapporto semestrale dell’Ufficio federale della cybersicurezza (UFCS). Gli aggressori agiscono in modo opportunistico: colpiscono dove la protezione è insufficiente, che si tratti di una grande azienda o di una piccola officina. La minaccia più grande è rappresentata dal ransomware, che cripta e ruba dati e chiede un riscatto per il loro rilascio.

Senza IT, l’officina si ferma

La risposta a un attacco informatico non deve avere luogo solo una volta che il ransomware ha già criptato tutti i dati. A quel punto, potrete limitare i danni soltanto in misura minima. Perché senza IT, il motore dell’officina balbetta: i sistemi diagnostici non funzionano più, gli appuntamenti dei clienti non sono disponibili e l’ordine dei pezzi di ricambio è interrotto.

Prima riconoscete un attacco efficace, più tempo vi rimane per reagire e prevenire un malfunzionamento del vostro sistema informatico o un furto di dati. «Efficace» significa in questo caso che gli hacker sono già riusciti ad accedere alla vostra infrastruttura IT.

Può accadere che dei cybercriminali si siano già infiltrati nel vostro sistema informatico da settimane o mesi senza che voi ve ne accorgiate nella quotidianità. Gli intrusi sfruttano questo tempo per esplorare indisturbati la vostra infrastruttura e prendere il controllo di tutti i sistemi possibili.

A causa del fare misterioso dei cybercriminali, spesso è difficile individuare tempestivamente gli attacchi efficaci. Questi consigli vi forniscono spunti e vi mostrano come reagire correttamente a un attacco andato a segno.

Riconoscere gli cyberattacchi nella vita di tutti i giorni

Sono diversi gli indizi che segnalano che la vostra PMI è vittima di un cyberattacco. Per scoprirne la causa dovreste tenere conto dei seguenti aspetti, ricordandovi che è meglio un falso allarme di troppo di un attacco non individuato: Per la verifica rivolgetevi eventualmente al vostro partner IT o alla persona interna responsabile.

Indicatori critici: agire subito

I seguenti segnali sono indicatori piuttosto chiari di un cyberattacco, soprattutto se non siete in grado di giustificare la causa con la vostra attività.

  • La connessione internet è inspiegabilmente lenta e sulla dashboard del router rilevate un elevato traffico internet in uscita («outbound traffic»).
  • Copie shadow di Windows (volume shadow copies) cancellate. Si tratta di una funzione di backup integrata in Windows che crea un’istantanea del sistema o dei dati dell’applicazione.
  • Messaggi di errore nei file di log di server e NAS, come ad esempio molti tentativi di accesso errati o accessi riusciti di un amministratore inspiegabili (ad esempio al di fuori dell’orario di lavoro).
  • Processi in background con nomi o denominazioni insoliti, spesso criptici o casuali che richiamano un servizio legittimo. Se questi servizi generano un carico elevato sul processore o un traffico di rete intenso, ciò può essere indice della presenza di malware in esecuzione. Ne sono un esempio un ransomware che cripta i dati o un trojan di accesso remoto (RAT) con cui gli hacker accedono al computer da remoto.
  • Nuovi account amministratore o appartenenze a gruppi sospetti indicano che gli hacker hanno creato «account di backup» per garantirsi l’accesso.
  • Ricevete e-mail di avviso che è stato eseguito l’accesso da un nuovo dispositivo o da un luogo sconosciuto a un account online ad esempio a Microsoft 365 o a un account Google. Questo è un indizio che i criminali informatici sono in possesso dei dati di accesso.

Indicatori importanti: verificare

I seguenti segnali possono derivare da un cyberattacco, ma possono avere anche altre cause, come errori di software, problemi di connessione, ecc.

  • Ricevete messaggi di errore durante gli aggiornamenti di Windows o dal vostro software antivirus, come Microsoft Defender. Ad esempio, quest’ultimo vi segnala di essere disattivato. Gli hacker cercano spesso di disattivare e aggirare queste misure di protezione.
  • Una password non viene accettata al momento dell’accesso, anche se avete controllato più volte di aver inserito quella corretta. Questo è un campanello d’allarme soprattutto per gli accessi da amministratore: è possibile che gli hacker abbiano modificato i dati di accesso (la password).
  • Le registrazioni di log anomale come gli accessi non riusciti, l’installazione di servizi Windows, la modifica delle autorizzazioni o la cancellazione dei file di log possono essere tracce dell’attività dei criminali informatici.
  • Connessioni di rete insolite in Paesi con cui non avete nulla a che fare o su servizi internet (porte) che non utilizzate (ad es. accesso remoto) sono indizi di malware che riceve spesso i suoi «comandi» da un server di comando e controllo (C2) dell’hacker.

Reagire correttamente a un cyberattacco

I seguenti passaggi permettono di risolvere i problemi dovuti all’attacco. Si consiglia di attuarli in accordo con gli esperti o di affidarli direttamente a questi ultimi. Rivolgetevi anche al vostro reparto IT o al vostro partner IT. Per queste situazioni Swisscom si avvale di un team di esperti di cybersicurezza che vi supporta 24 ore su 24 in caso di emergenza.

Contenimento del problema:

  1. Se sospettate un cyberattacco, isolate i sistemi compromessi (infettati da malware) per evitare un’ulteriore diffusione. Scollegate gli apparecchi dalla rete, ma non spegneteli. Lo spegnimento potrebbe comportare la perdita di preziose tracce degli hacker, che sono conservate solo temporaneamente nella memoria di lavoro (RAM).

Analisi del problema:

  1. Inizio dell’analisi: Quali dati e sistemi sono interessati? Di che tipo di attacco si tratta?
  2. Mettete al sicuro le prove sui sistemi infettati (analisi forense) e documentate i processi.
  3. Se possibile, verificate se sono stati sottratti dati sensibili, come ad esempio i dati personali. Eventualmente è consigliabile o necessaria una segnalazione all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
  4. Segnalate l’accaduto alla polizia e all’Ufficio federale per la cybersicurezza (UFCS) che supporta generalmente la lotta contro i cybercriminali. Sporgete denuncia.

Ripristino dei sistemi:

  1. Se siete ricattati da una banda di ransomware e desiderate condurre delle trattative: Rivolgetevi a esperti della polizia o di un partner IT. Prima però verificate se è possibile ripristinare i dati senza crittografia, ad esempio da un backup.
  2. Pulite i sistemi rimuovendo il malware o rinconfigurando completamente gli apparecchi. Eventualmente potete ripristinare il sistema operativo, le applicazioni e i dati anche da un backup.
  3. Quando siete sicuri che gli hacker non sono più in rete, cambiate tutte le password che è possibile modificare e almeno quelle degli amministratori.
  4. Informate i collaboratori e i clienti interessati. I collaboratori possono ricevere una prima informazione quando viene confermato l’avvenuto attacco informatico e l’azienda entra in una «modalità d’emergenza».

Follow-up del problema e fasi successive:

  1. Se tutto è tornato a funzionare correttamente, analizzate, eventualmente insieme agli specialisti della sicurezza IT e al vostro partner IT, come potete migliorare la protezione della vostra infrastruttura IT. Un approccio al passo con i tempi consiste nel controllare ogni accesso alle applicazioni e ai dati, sia a livello locale che nel cloud, in modo che non abbiate più bisogno di questa lista di controllo.

Domande sulla sicurezza informatica? Contattateci.

*Potete trovare le nostre disposizioni sulla protezione dei dati, inclusa la dichiarazione sulla privacy online, nonché le possibilità di revocare il trattamento dei dati o di cancellare l’iscrizione alla newsletter qui: Disposizioni sulla protezione dei dati

Prevenire o arginare futuri cyberattacchi

Le misure di protezione più adatte per proteggere meglio l’azienda dagli cyberattacchi in futuro dipendono dalla situazione individuale. Tuttavia, ci sono un paio di «classici» che in ogni caso sono efficaci:

  • Proteggere gli account mediante autenticazione a due fattori (2FA) o login senza password.
  • Se si utilizzano password, è necessario seguire regole chiare: scegliere password sicure, utilizzare una password diversa per ogni account, non condividere le password.
  • Configurare i diritti di accesso agli archivi online in modo tale che i collaboratori possano accedere solo ai dati di cui hanno bisogno quotidianamente («principle of least privilege»).
  • Protezione efficace per reti e apparecchi in grado di rilevare e bloccare tempestivamente attività sospette. Ne sono un esempio un cosiddetto firewall di nuova generazione in ufficio o beem che protegge tutti i dispositivi e gli accessi ovunque ci si trovi.
  • Strategia di aggiornamento, eventualmente insieme al vostro partner IT: installate almeno gli aggiornamenti di sicurezza il più rapidamente possibile dopo la loro pubblicazione.

Leggete ora