Nel mondo della cybersecurity, la risposta agli incidenti è un processo cruciale che richiede precisione e competenza. Oggi vediamo un caso di studio di intervento del Incident Response Team di Cyberoo su una società di consulenza colpita da un attacco ransomware.
L’attacco e le prime risposte
Tutto è iniziato quando i cybercriminali hanno lanciato un attacco ransomware, cifrando tutte le virtual machine (VM) dell’azienda e distruggendo i backup. Questo ha paralizzato completamente le attività lavorative, lasciando l’azienda in uno stato di stallo.
Inizialmente, l’azienda ha contattato il proprio system integrator, che ha delegato l’attività di Incident Response a una società del gruppo. Tuttavia, il supporto ricevuto si è limitato a spiegazioni su come si era consumata l’azione offensiva, senza offrire soluzioni concrete.
L’intervento di Cyberoo
Non soddisfatta dalla risposta iniziale, l’azienda ha deciso di contattare Cyberoo per un ulteriore confronto. Data la gravità della situazione, il team di Incident Response di Cyberoo è stato immediatamente ingaggiato con l’obiettivo di recuperare i dati dalle VM, nonostante la complessità della cifratura imposta dal ransomware.
Il compito non era semplice: lo schema crittografico utilizzato dagli attaccanti era avanzato, con forti valori di entropia che rendevano il recupero dei dati estremamente difficile. Tuttavia, con il nostro intervento l’operazione si è risolta in pochi giorni.
Il recupero dei dati
Il team è riuscito a recuperare i database dei gestionali e oltre il 90% dei documenti presenti nel file server. Questo ha permesso all’azienda di tornare operativa con la maggior parte dei dati ripristinati a pochi istanti prima dell’attacco. La soddisfazione del cliente è stata immensa, tanto che sono arrivate numerose e-mail e telefonate di ringraziamento.
Lezioni imparate
Questo caso evidenzia l’importanza di un approccio scientifico e sistematico nella gestione degli incidenti di sicurezza informatica. La capacità di un team di Incident Response di applicare conoscenze specialistiche e tecniche avanzate è fondamentale per mitigare gli effetti di un attacco e garantire la continuità operativa. È una vera e propria corsa contro il tempo che richiede dedizione e la capacità di non arrendersi mai.
In conclusione, la gestione efficace di questo incidente dimostra che, anche di fronte a minacce complesse, è possibile adottare strategie di recupero che minimizzano le perdite e ripristinano la funzionalità aziendale. Questo esempio serve come riferimento per le organizzazioni che cercano di migliorare la loro resilienza contro le minacce informatiche.
Di Andrea Coli – Incident Response Specialist, CYBEROO