“Avete salvato la nostra azienda, grazie!” — queste le parole con cui una società di consulenza ha commentato l’intervento del team di Incident Response (IRT) di Cyberoo, chiamato a gestire una grave crisi informatica causata da un attacco ransomware.
L’attacco ha avuto conseguenze devastanti: tutte le virtual machine (VM) erano state cifrate, i backup completamente distrutti e le attività aziendali paralizzate, al punto da costringere l’azienda a ricorrere alla cassa integrazione per la maggior parte del personale.
Fase 1: Ricostruzione dell’incidente
La prima risposta all’incidente fu affidata al system integrator abituale dell’azienda, il quale, dopo una breve analisi, concluse che le VM erano compromesse in modo irrimediabile, formalizzando il tutto in un report tecnico sintetico e non esaustivo. Dal punto di vista DFIR (Digital Forensics and Incident Response), le attività svolte furono pressoché nulle, lasciando l’azienda senza indicazioni concrete né prospettive di recupero.
Vista l’insoddisfazione per la gestione dell’incidente, l’azienda ha deciso di coinvolgere Cyberoo per condurre un’analisi forense completa e tentare il recupero dei dati, nonostante la presenza di cifratura ransomware complessa.
Fase 2: Investigazione e analisi forense
Il lavoro del team IR è iniziato con una mappatura dettagliata dell’infrastruttura colpita, l’identificazione degli indicatori di compromissione (IoC) e la raccolta degli artefatti forensi per la ricostruzione della catena degli eventi. Gli attori malevoli (Threat Actors, TA) avevano utilizzato algoritmi di cifratura con elevati livelli di entropia, rendendo estremamente difficoltoso ogni tentativo di recupero.
La dimensione dei server e la profondità dell’attacco hanno rappresentato ulteriori sfide tecniche, superate grazie all’esperienza maturata dal team e all’adozione di metodologie di analisi avanzate.
Fase 3: Risposta e azioni di mitigazione
Parallelamente alle attività forensi, è stata avviata la fase di contenimento e rimozione della minaccia. Tutti i sistemi compromessi sono stati isolati, è stato verificato che non vi fossero canali di persistenza attivi, e sono stati implementati i primi meccanismi di hardening per evitare ulteriori compromissioni.
Nel frattempo, il team ha effettuato attività di reverse engineering sulle porzioni cifrate dei dati, applicando tecniche specialistiche per massimizzare le possibilità di recupero.
Fase 4: Recupero e ripristino
Nonostante la complessità dello scenario, il lavoro si è concluso in pochi giorni con risultati significativi:
- Recupero completo di tutti i database strategici
- Recupero di oltre il 90% dei file presenti nei file server
- Acquisizione e analisi di tutti gli artefatti forensi utili alla ricostruzione dell’attacco
Questi risultati hanno consentito all’azienda di riprendere le operazioni in tempi contenuti e con un impatto minimo sulla continuità operativa.
L’importanza di un Incident Response Plan
Questo caso dimostra come una corretta attività di Incident Response non possa prescindere da:
- Competenze trasversali e aggiornate
- Esperienza sul campo
- Approccio metodico e resiliente
L’incident response è una corsa ad ostacoli che richiede dedizione assoluta, attenzione ai dettagli e, soprattutto, la capacità di non arrendersi mai. Per questo è fondamentale disporre di un piano preventivo ben strutturato che permetta di guadagnare tempo prezioso e ridurre al minimo i danni.
Di Andrea Coli – Incident Response Manager, CYBEROO
