Storie di successo Databack: quando le autorità locali affrontano il crimine informatico
Comuni, dipartimenti, regioni… Anche gli enti locali sono pesantemente colpiti dalla criminalità informatica, in particolare dagli attacchi ransomware. Di recente, il nostro laboratorio è stato nuovamente chiamato da un’autorità locale che aveva subito un grave attacco.
Caso di studio: attacco ransomware a un agglomerato urbano
Dal 2020, diversi enti locali francesi sono stati presi di mira da attacchi informatici su larga scala: le città di Marsiglia, La Rochelle e Angers, così come l’autorità metropolitana di Aix-Marseille-Provence, la regione Grand-Est e molte altre…
Lo scorso ottobre, Databack è stata nuovamente chiamata da un’autorità locale per recuperare i suoi dati in seguito a un attacco ransomware. Questa volta gli hacker hanno approfittato del fine settimana per paralizzare tutti i servizi del comune, compresi quelli della comunità di comuni a cui appartiene. L’attacco ha portato a un blocco totale delle operazioni del comune, in quanto tutti i servizi sono diventati inaccessibili, compresi il sistema di posta elettronica e i telefoni.
La prima azione del Dipartimento IT è stata quella di spegnere tutti i sistemi di rete per limitare il più possibile i danni causati dall’attacco.
Inoltre, il municipio è stato accompagnato da un CERT (Computer Emergency Response Team) per gestire questo incidente. Il nostro laboratorio collabora regolarmente con alcuni dei principali CERT francesi per aiutare le organizzazioni in seguito ad attacchi Ransomware. Ancora una volta, siamo stati chiamati d’urgenza per recuperare i dati essenziali per la ripresa delle attività del comune.
Fasi del recupero dei dati dell’agglomerato urbano
Il primo passo di Databack è stato quello di organizzare, insieme ai team in loco, il rimpatrio del NAS di backup che era stato attaccato dall’hacker. Una volta ricevuto, il nostro team di guardia ha eseguito una prima diagnostica della partizione in formato BTRFS presente sul volume RAID del NAS. Durante l’attacco, questa era stata resettata e la configurazione RAID del NAS era stata trasformata da RAID5 a RAID0 per rendere l’accesso ai dati il più complesso possibile.
L’esperienza del nostro laboratorio francese nel recupero dei dati RAID5 e BTRFS ci ha permesso di recuperare tutti i backup di ACRONIS presenti prima dell’attacco. Una volta recuperati, è stato eseguito un test di integrità per convalidare il loro corretto utilizzo. I dati sono stati restituiti per essere reintegrati su un disco rigido protetto da password.
Di conseguenza, il municipio e la comunità di comuni ad esso associata hanno potuto riprendere rapidamente le loro attività senza alcuna perdita di dati. In particolare, l’eccellente prontezza di riflessi del reparto IT nel bloccare rapidamente qualsiasi ulteriore distruzione da parte dell’hacker, disconnettendo la rete, ha aumentato notevolmente le possibilità di recupero.
Criminalità informatica e autorità locali: come puoi proteggerti da un attacco?
Quando si parla di sicurezza informatica, ci sono diverse misure preventive che puoi adottare per ridurre il rischio di attacchi informatici:
- Esegui regolarmente il backup dei tuoi dati (utilizzando il cloud computing e i supporti di archiviazione indipendenti e scollegati: server NAS, nastri, ecc;)
- Tieni aggiornati i sistemi operativi, i software (soprattutto gli antivirus), i browser web e i plugin;
- Evita i comportamenti a rischio e istruisci i tuoi dipendenti (aprire e-mail o allegati di dubbia provenienza, visitare siti web non sicuri, ecc;)
- Forma il tuo personale e nomina un responsabile della sicurezza digitale;
- Predisponi un sistema di gestione delle crisi e un piano di ripristino in caso di attacco.
Anche l’ANSSI (Agence nationale de la sécurité des systèmes d’information – Agenzia nazionale francese per la sicurezza dei sistemi informativi) sensibilizza le autorità locali sui temi della sicurezza informatica attraverso guide, kit di sensibilizzazione e grafici informatici.
30 Novembre 2021