Come riconoscere gli attacchi informatici e reagire correttamente

Quando i criminali informatici fanno breccia nelle difese di un’azienda, reagire nel modo giusto è decisivo. Questa lista di controllo vi aiuta a riconoscere gli attacchi e a reagire correttamente e, soprattutto, tempestivamente per limitare i danni.

La risposta a un attacco informatico non deve avere luogo solo una volta che il ransomware ha già criptato tutti i dati. A quel punto, potrete limitare i danni soltanto in misura minima. Prima riconoscete un attacco efficace, più tempo vi rimane per reagire e prevenire un malfunzionamento del vostro sistema informatico o un furto di dati. «Efficace» significa in questo caso che gli hacker sono già riusciti ad accedere alla vostra infrastruttura IT.

Può accadere che dei criminali informatici si siano già infiltrati nel vostro sistema informatico da settimane o mesi senza che voi ve ne accorgiate nella quotidianità. Gli intrusi sfruttano questo tempo per esplorare indisturbati la vostra infrastruttura e prendere il controllo di tutti i sistemi possibili. Prima ancora che i criminali colpiscano e criptino tutti i dati, potrebbero aver già sottratto importanti documenti aziendali. In questo modo, gli hacker rafforzano ulteriormente la loro richiesta di riscatto con trojan di crittografa (ransomware).

A causa del fare misterioso dei criminali informatici, spesso è difficile individuare tempestivamente gli attacchi efficaci. Questi consigli vi forniscono spunti e vi mostrano come reagire correttamente a un attacco andato a segno.

Riconoscere gli attacchi informatici nella vita di tutti i giorni

Sono diversi gli indizi che segnalano che la vostra PMI è vittima di un attacco informatico. Per scoprirne la causa dovreste tenere conto dei seguenti aspetti, ricordandovi che è meglio un falso allarme di troppo di un attacco non individuato:

• Il computer è lento e le ventole sono spesso udibili, anche se non si eseguono attività intense.
• L’accesso a sistemi (locali) come un server o un NAS è lento e il sistema si comporta in modo insolito. Ad esempio, compaiono spesso messaggi di errore.
• La connessione internet è inspiegabilmente lenta e sulla dashboard del router rilevate un elevato traffico internet in uscita.
• Il computer «fa di testa sua»: le finestre si aprono e si chiudono senza il vostro intervento e il puntatore del mouse si muove da solo.
• Il vostro software antivirus vi avvisa che un file sospetto è stato trovato e/o bloccato.
• Ricevete messaggi di errore durante gli aggiornamenti di Windows o dal vostro software antivirus, come Microsoft Defender. Ad esempio, quest’ultimo vi segnala di essere disattivato.
• Ricevete e-mail di avviso che è stato eseguito l’accesso da un nuovo dispositivo o da un luogo sconosciuto a un account online, ad esempio a Microsoft 365 o a un account Google.

• Se si utilizza l’autenticazione a due fattori: riceverete un SMS con codice o l’avviso di confermare l’accesso nell’app di autenticazione o tramite Mobile ID, anche se non siete stati voi o i vostri collaboratori ad avere effettuato il login.
• Una password non viene accettata al momento dell’accesso, anche se avete controllato più volte di aver inserito quella corretta.
• La homepage del browser è cambiata senza il vostro intervento oppure continuano a comparire pop-up pubblicitari.

Come riconoscere gli attacchi informatici da amministratore

La persona responsabile del sistema IT – un partner IT, un collaboratore o voi – può individuare un attacco informatico sulla base di ulteriori indizi. Un amministratore è tenuto a prestare attenzione ai seguenti effetti:

• Messaggi di errore nei file di log di server e NAS, come molti tentativi di accesso errati o accessi riusciti (di un amministratore) inspiegabili (ad esempio al di fuori dell’orario di lavoro).
• Processi in background con nomi insoliti, spesso criptici.
• Copie shadow di Windows (Volume Shadow Copies) cancellate.
• Modifiche ai backup o alle impostazioni di backup.
• Elevato carico del processore, della memoria e della rete senza motivo apparente.
• Memoria disponibile soggetta a notevoli variazioni o supporti di memoria improvvisamente pieni.

Reagire correttamente a un attacco informatico

Se voi o il vostro responsabile IT notate un attacco informatico efficace, è importante cercare di mantenere la calma e la mente lucida. Procedendo in modo affrettato correte il rischio di aggravare il danno o di distruggere prove preziose ai fini dell’azione penale.

Si consiglia di seguire questi passaggi dopo un attacco informatico efficace con malware, come ad esempio un ransomware:

• Attivate il vostro piano di crisi o di emergenza. Idealmente, esso include già i seguenti passaggi.
• Rivolgetevi il prima possibile agli esperti di cibersicurezza, che provvederanno a contenere e analizzare l’attacco e a fornire a voi o al vostro responsabile IT indicazioni su come comportarvi. Per queste situazioni Swisscom si avvale di un team di esperti di cibersicurezza che vi supporta 24 ore su 24 in caso di emergenza.
• Chiamate la polizia (117).

Risolvere i problemi derivanti da un attacco informatico

I seguenti passaggi permettono di risolvere i problemi dovuti all’attacco. Si consiglia di attuarli in accordo con gli esperti o di affidarli direttamente a questi ultimi.

• Isolate i sistemi compromessi (infettati da malware) per evitare un’ulteriore diffusione. Scollegate gli apparecchi dalla rete, ma non spegneteli in modo da non cancellare tracce.
•  Mettete al sicuro le prove sui sistemi infettati (analisi forense).
• Pulite i sistemi rimuovendo il malware o rinconfigurando completamente gli apparecchi. Eventualmente potete ripristinare il sistema operativo, le applicazioni e i dati anche da un backup.
• Cambiate tutte le password che è possibile modificare e almeno quelle degli amministratori. Attivate l’autenticazione a due fattori laddove possibile.
• Se possibile, verificate se sono stati sottratti dati sensibili, come ad esempio dati personali.
• Sporgete denuncia.
• Segnalate l’incidente al Centro nazionale per la cibersicurezza (NCSC), che supporta generalmente la lotta contro i criminali informatici.

Se tutto è tornato a funzionare correttamente, analizzate, eventualmente insieme agli specialisti della sicurezza IT e al vostro partner IT, come potete migliorare la protezione della vostra infrastruttura IT in modo che non abbiate più bisogno di questa lista di controllo.