È corretto spegnere un PC infettato da un ransomware?
Falso: La corretta procedura da seguire è isolare un sistema dalla rete Internet

Redazione ANSA
31 marzo 2023 - 09:44
Taiwan Ransomware © ANSA

Cosa verifichiamo

Nel 2022 - secondo la società di sicurezza Mandiant - sono state individuate 55 minacce informatiche 'zero day', cioè mai identificate e sfruttate prima, quattro di queste sono state usate per ottenere un guadagno da parte dei criminali, principalmente tramite ransomware. Non sempre sia le aziende, sia gli utenti sono preparati a rispondere ad un attacco informatico, talvolta ritardi nella reazione o procedure errate potrebbero paradossalmente avvantaggiare gli attaccanti. Spegnere un sistema infetto da ransomware può salvare i dati in esso contenuti dalla cifratura da parte del codice malevolo? Come comportarsi se un computer è infettato da un ransomware?

Analisi

I ransomware continuano a rappresentare una delle principali minacce ad aziende ed organizzazioni di tutto il mondo. Non passa settimana che non si apprenda di nuovi attacchi alle imprese del nostro paese. Il modello estorsivo dietro questa minaccia si è evoluto negli anni, dapprima i gruppi criminali puntavano solo all’indisponibilità dei dati da parte delle vittime mediante la loro cifratura, oggi gli stessi attori utilizzano molteplici livelli di estorsione, il più famoso dei quali è il furto dei dati prima della cifratura e la minaccia della divulgazione in caso di mancato pagamento del riscatto. In questo contesto è chiaro quindi che la conoscenza di come rispondere a questi attacchi possa determinare il successo degli stessi.

La determinazione della famiglia di ransomware che ha colpito il sistema è importante per valutare l’eventuale esistenza di sistemi gratuiti di decifratura sviluppati da aziende di sicurezza o dalle forze di polizia. La minaccia andrà quindi eradicata dalla rete ed occorrerà mettere in sicurezza la stessa sanando eventuali falle sfruttate dagli attaccanti. Queste attività richiedono una profonda conoscenza della minaccia e degli attori malevoli dietro essa, per questo motivo è suggerito il coinvolgimento di esperti di sicurezza che possono supportare la vittima nelle fasi di investigazione e remediation. La disponibilità di backup integri potrebbe consentire alle vittime di ripristinare i sistemi infetti senza dover pagare il riscatto, sebbene molti gruppi ransomware oramai implementino un doppio modello estorsivo minacciando le vittime di divulgare file rubati in caso di mancato pagamento. Infine, un suggerimento spesso ignorato dalle aziende: non pagare il riscatto. Il pagamento di un riscatto non fornisce alcuna garanzia di ripristino dei file cifrati, ed inoltre alimenta e incentiva un’attività estorsiva sempre più aggressiva.

Il principale errore commesso dagli utenti i cui sistemi sono stati infettati da un ransomware, è procedere al loro spegnimento nella paura che la minaccia possa fare ulteriori danni. In realtà questa azione potrebbe rendere i file cifrati dal ransomware impossibili da recuperare. Lo spegnimento del PC durante il processo di cifratura dei file potrebbe corromperli rendendo quindi impossibile decifrarli, seppur in possesso delle chiavi utilizzate. Inoltre, spegnendo un computer infettato da ransomware non si interromperebbe il processo di cifratura in via definitiva in quanto al successivo riavvio il ransomware potrebbe esser stato sviluppato per riprendere il processo da punto in cui era stato interrotto.

Conclusioni

La corretta procedura da seguire quando un sistema è stato infettato da un ransomware consiste nell’isolarlo immediatamente dalla rete. Disconnettere il cavo di rete oppure interrompere la connessione Wi-Fi. Questo comportamento consentirà di evitare che il ransomware possa propagarsi all’interno della rete che ospita il sistema compito ed infettare altri computer. Solo allora si potrà procedere con un’investigazione per determinare la modalità con la quale è stato inoculato il ransomware e determinare se c’è stata una violazione di dati.

Fonti

Pierluigi Paganini, Ceo Cybhorus e professore di Cybersecurity presso l'Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione

Mandiant, società di cybersicurezza

Agenzia per la Cybersicurezza Nazionale

ANSA.it

Riproduzione riservata © Copyright ANSA
Il Fact-check è uno strumento dell'agenzia ansa contro la disinformazione
Offriamo informazioni utili contro le falsità che circolano attraverso la rete

I nostri team fanno del loro meglio per consultare tutte le domande che ci vengono sottoposte. Lavoriamo per rispondere alle richieste e proposte che ci pervengono sulla base di diversi criteri e ci riserviamo il diritto di operare una selezione tra tutte le richieste dando priorità a quelle più rilevanti e interessanti per il pubblico. Riteniamo che i reclami fantasiosi, infondati, offensivi, minacciosi o chiaramente derivanti da un'azione coordinata di spam non richiedano una nostra risposta. Per consentirci di rispondere a una richiesta di verifica, il messaggio o la dichiarazione su cui si richiede di indagare devono alludere a fatti o dati. Non verifichiamo opinioni o, in genere, affermazioni su eventi non ancora accaduti.

Informativa privacy

(*) Tramite il modulo è possibile inviare informazioni su possibili errori nei fact check ANSA

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.