Come riconoscere gli attacchi informatici e reagire correttamente

Quando i criminali informatici fanno breccia nelle difese di un’azienda, reagire nel modo giusto è decisivo. Questa lista di controllo vi aiuta a riconoscere gli attacchi e a reagire correttamente e, soprattutto, tempestivamente per limitare i danni.

La risposta a un attacco informatico non deve avere luogo solo una volta che il ransomware ha già criptato tutti i dati. A quel punto, potrete limitare i danni soltanto in misura minima. Prima riconoscete un attacco efficace, più tempo vi rimane per reagire e prevenire un malfunzionamento del vostro sistema informatico o un furto di dati. «Efficace» significa in questo caso che gli hacker sono già riusciti ad accedere alla vostra infrastruttura IT.

Può accadere che dei criminali informatici si siano già infiltrati nel vostro sistema informatico da settimane o mesi senza che voi ve ne accorgiate nella quotidianità. Gli intrusi sfruttano questo tempo per esplorare indisturbati la vostra infrastruttura e prendere il controllo di tutti i sistemi possibili.

Prima ancora che i criminali colpiscano e criptino tutti i dati, potrebbero aver già sottratto importanti documenti aziendali. In questo modo, gli hacker rafforzano ulteriormente la loro richiesta di riscatto con trojan di crittografa (ransomware).

A causa del fare misterioso dei criminali informatici, spesso è difficile individuare tempestivamente gli attacchi efficaci. Questi consigli vi forniscono spunti e vi mostrano come reagire correttamente a un attacco andato a segno.

Riconoscere gli attacchi informatici nella vita di tutti i giorni

Sono diversi gli indizi che segnalano che la vostra PMI è vittima di un attacco informatico. Per scoprirne la causa dovreste tenere conto dei seguenti aspetti, ricordandovi che è meglio un falso allarme di troppo di un attacco non individuato: Per la verifica rivolgetevi eventualmente al vostro partner IT o alla persona interna responsabile.

Indicatori critici: agire subito

I seguenti segnali sono indicatori piuttosto chiari di un attacco informatico, soprattutto se non siete in grado di giustificare la causa con la vostra attività.

• La connessione internet è inspiegabilmente lenta e sulla dashboard del router rilevate un elevato traffico internet in uscita («outbound traffic»).
• Copie shadow di Windows (volume shadow copies) cancellate. Si tratta di una funzione di backup integrata in Windows che crea un’istantanea del sistema o dei dati dell’applicazione.
• Messaggi di errore nei file di log di server e NAS, come ad esempio molti tentativi di accesso errati o accessi riusciti di un amministratore inspiegabili (ad esempio al di fuori dell’orario di lavoro).
• Processi in background con nomi o denominazioni insoliti, spesso criptici o casuali che richiamano un servizio legittimo. Se questi servizi generano un carico elevato sul processore o un traffico di rete intenso, ciò può essere indice della presenza di malware in esecuzione. Ne sono un esempio un ransomware che cripta i dati o un trojan di accesso remoto (RAT) con cui gli hacker accedono al computer da remoto.
• Nuovi account amministratore o appartenenze a gruppi sospetti indicano che gli hacker hanno creato «account di backup» per garantirsi l’accesso.
• Ricevete e-mail di avviso che è stato eseguito l’accesso da un nuovo dispositivo o da un luogo sconosciuto a un account online ad esempio a Microsoft 365 o a un account Google. Questo è un indizio che i criminali informatici sono in possesso dei dati di accesso.

Indicatori importanti: verificare

I seguenti segnali possono derivare da un attacco informatico, ma possono avere anche altre cause, come errori di software, problemi di connessione, ecc.

• Ricevete messaggi di errore durante gli aggiornamenti di Windows o dal vostro software antivirus, come Microsoft Defender. Ad esempio, quest’ultimo vi segnala di essere disattivato. Gli hacker cercano spesso di disattivare e aggirare queste misure di protezione.
• Una password non viene accettata al momento dell’accesso, anche se avete controllato più volte di aver inserito quella corretta. Questo è un campanello d’allarme soprattutto per gli accessi da amministratore: è possibile che gli hacker abbiano modificato i dati di accesso (la password).
• Le registrazioni di log anomale come gli accessi non riusciti, l’installazione di servizi Windows, la modifica delle autorizzazioni o la cancellazione dei file di log possono essere tracce dell’attività dei criminali informatici.
• Connessioni di rete insolite in Paesi con cui non avete nulla a che fare o su servizi internet (porte) che non utilizzate (ad es. accesso remoto) sono indizi di malware che riceve spesso i suoi «comandi» da un server di comando e controllo (C2) dell’hacker.

Reagire correttamente a un attacco informatico

I seguenti passaggi permettono di risolvere i problemi dovuti all’attacco. Si consiglia di attuarli in accordo con gli esperti o di affidarli direttamente a questi ultimi. Rivolgetevi anche al vostro reparto IT o al vostro partner IT. Per queste situazioni Swisscom si avvale di un team di esperti di cibersicurezza che vi supporta 24 ore su 24 in caso di emergenza.

Contenimento del problema:

1. Se sospettate un attacco informatico, isolate i sistemi compromessi (infettati da malware) per evitare un’ulteriore diffusione. Scollegate gli apparecchi dalla rete, ma non spegneteli. Lo spegnimento potrebbe comportare la perdita di preziose tracce degli hacker, che sono conservate solo temporaneamente nella memoria di lavoro (RAM).

Analisi del problema:

2. Inizio dell’analisi: Quali dati e sistemi sono interessati? Di che tipo di attacco si tratta?
3. Mettete al sicuro le prove sui sistemi infettati (analisi forense) e documentate i processi.
4. Se possibile, verificate se sono stati sottratti dati sensibili, come ad esempio i dati personali. Eventualmente è consigliabile o necessaria una segnalazione all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT).
5. Segnalate l’accaduto alla polizia e all’Ufficio federale per la cibersicurezza (UFCS) che supporta generalmente la lotta contro i criminali informatici. Sporgete denuncia.

Ripristino dei sistemi:

6. Se siete ricattati da una banda di ransomware e desiderate condurre delle trattative: Rivolgetevi a esperti della polizia o di un partner IT. Prima però verificate se è possibile ripristinare i dati senza crittografia, ad esempio da un backup.
7. Pulite i sistemi rimuovendo il malware o rinconfigurando completamente gli apparecchi. Eventualmente potete ripristinare il sistema operativo, le applicazioni e i dati anche da un backup.
8. Quando siete sicuri che gli hacker non sono più in rete, cambiate tutte le password che è possibile modificare e almeno quelle degli amministratori.
9. Informate i collaboratori e i clienti interessati. I collaboratori possono ricevere una prima informazione quando viene confermato l’avvenuto attacco informatico e l’azienda entra in una «modalità d’emergenza».

Follow-up del problema e fasi successive:

10. Se tutto è tornato a funzionare correttamente, analizzate, eventualmente insieme agli specialisti della sicurezza IT e al vostro partner IT, come potete migliorare la protezione della vostra infrastruttura IT. Un approccio al passo con i tempi consiste nel controllare ogni accesso alle applicazioni e ai dati, sia a livello locale che nel cloud, in modo che non abbiate più bisogno di questa lista di controllo.

Prevenire o arginare futuri attacchi informatici

Le misure di protezione più adatte per proteggere meglio l’azienda dagli attacchi informatici in futuro dipendono dalla situazione individuale. Tuttavia, ci sono un paio di «classici» che in ogni caso sono efficaci:

• Proteggere gli account mediante autenticazione a due fattori (2FA) o login senza password.
• Se si utilizzano password, è necessario seguire regole chiare: scegliere password sicure, utilizzare una password diversa per ogni account, non condividere le password.
• Configurare i diritti di accesso agli archivi online in modo tale che i collaboratori possano accedere solo ai dati di cui hanno bisogno quotidianamente («principle of least privilege»).
• Protezione efficace per reti e apparecchi in grado di rilevare e bloccare tempestivamente attività sospette. Ne sono un esempio un cosiddetto firewall di nuova generazione in ufficio o beem che protegge tutti i dispositivi e gli accessi ovunque ci si trovi.
• Strategia di aggiornamento, eventualmente insieme al vostro partner IT: installate almeno gli aggiornamenti di sicurezza il più rapidamente possibile dopo la loro pubblicazione.