S8 Group Supporto Knowledgebase Minacce
Attacchi Ransomware
Apri un ticket
per nuova richiesta
Visualizza ticket
già aperti
Chat
Assistente Online

Attacchi Ransomware

Ransomware, di cosa si tratta

Ransomware identifica tutto il malware accomunato dal proposito di "prendere in ostaggio" il sistema e/o i dati degli utenti, nel tentativo di estorcere denaro.

Gli utenti affetti da questo genere di malware trovano i propri dati crittografati da un hacker, ed una consistente richiesta di denaro per sbloccare i file crittografati.

Il Ransomware può adottare messaggi di vario genere per esercitare pressioni psicoloogica:
in genere è posto un limite di tempo molto stringente per cedere al ricatto. Dopo quel limite è esclusa ogni possibilità di riottenere i propri dati dai malintenzionati.
Talvolta alle vittime viene indicato che i loro sistemi hanno diffuso spam, o contengono materiale pedopornografico ed intimato che, se il "riscatto" non verrà pagato, sarà sporta una denuncia  alle autorità competenti.

 

 

Come sono stati attaccati i sistemi?

Anzichè impiegare download pilotati, sfruttando le vulnerabilità dei browser, sembra che questa recente infezione Ransomware sia stata installata "manualmente" da un malintenzionato da remoto, usando uno strumento chiamato DUBrute su servizi Remote Desktop Protocol (RDP) vulnerabili, sulla porta 3389.

Lo strumento effetua attacchi dictionary based nei confronti di account utente comuni come "admin", "Administrator", "backup", "Console", "Guest", "Sales", "user", e molti altri.

Una volta acquisito l'accesso, il malintenzionato è in grado di disabilitare il software antivirus ed eseguire sul sistema il malware che mostra il messaggio con richiesta di riscatto, blocca l'accesso agli utenti, cancella i backup e crittografa tutti i dati degli utenti.

Per queste ragioni i file scanner antivirus risultano impotenti rispetto a questo genere di attacchi. 

 

Come posso difendermi dagli attacchi di tipo Ransomware?

  • Backup Completo
    E' essenziale effetuare backup su base regolare, archiviando le copie offline, dal momento che non esiste alcun modo conosciuto per decrittografare i file affetti dal malware
    (UPDATE: informazioni aggiornate su possibilità di recupero disponibili alla pagina seguente:
    http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information )
    Il backup rappresenta una forma di protezione universale dei propri dati, nei confronti di tutti i tipi di malware.
    Tutti gli utenti dovrebbero dotarsi di una adeguato strumento e strategia di backup dei propri dati.
    Per trovare una soluzione di protezione dei tuoi dati, adatta alle tue esigenze, contattaci.
  • Protezione antimalware aggiornata
    Avere una protezione antimalware su ciascun computer e server, e mantenerla aggiornata, riduce le possibilità di eseguire software maligno, da parte dei malintenzionati.
    Per selezionare una efficace soluzione di protezione antimalwae per i tuoi computer e server, contattaci.
  • Usare password robuste
    Assicurarsi di avere implementato una password policy rigorosa, con password complesse, con particolare riferimento agli account che hanno un accesso da remoto, revisionare l'intero set di account esistenti e rimuovere o bloccare quelli inutilizzati.
    Per potersi definire ragionevolmente inviolabili, gli account del gruppo administrators dovrebbero avere una password di almeno 18 caratteri.
  • Considerare l'opzione di disabilitare gli accessi Remote Desktop
    Se il servizio di Desktop Remoto non è essenziale, considerare seriamente l'opportunità di disabilitare i servizi Remote Desktop e Terminal Server, chiudere la porta 3389, implementare restrizioni sull'IP chiamante o una VPN
  • Rinominare le cartelle backup
    Il malware cancella tutte le cartelle il cui nome contiene la parola "backup". Pertanto è utile rinominare tutte le cartelle che hanno questa caratteristica.
  • Monitorare le operazioni di login e disinstallazione
    Prima di crittografare i dati, l'hacker tenta di disinstallare i software di backup ed antivirus. Monitorare i login degli account administrator e la disinstallaizone del software, potrebbe permettere di intecettare le attività sospette, ed isolare la macchina da internet, prima che i file siano crittografati.
  • Aggiornare Tutto
    Verificare il Microsoft Security Bulletin ed assicurarsi che i propri sistemi siano provvisti di tutte le patch contro le vulnerabilità note di RDP
    Vedi: Microsoft Security Bulletin MS12-036
  • Allertare ed informare per prevenire altri attacchi
     La diffusione di queste informazioni al maggior numero di soggetti possibile, colleghi, amici, famigliari, è il miglior modo per prevenire l'attacco ai loro sistemi, e quelli delle loro aziende

 

Cosa fare le la mia azienda è stata infettata?

  • Denunciare l'attacco alle autorità
    La polizia postale rappresenta il massimo organo competente in Italia in materia di frodi cibernetiche, ed è il punto di riferimento per la denuncia di questi fenomeni
    https://www.denunceviaweb.poliziadistato.it/polposta/
  • Cercare i file recenti e le email inviate
    Il malware, dopo aver criptato i dati, scrive la passwod per decriptarli in un file di testo, poi lo invia per email ad alcuni indirizzi fra i quali  "security11220@gmail.com , security11220@yahoo.com , sec333888@gmail.com, uksechelp@gmail.com" , quindi cancella in modo irreversibile il file di testo.
    Se l'invio per email fosse fallito, il file di testo potrebbe trovarsi ancora sul hard disk, quindi cercare tutti i i file creati di recente, potrebbe permettere di trovarlo.
    In oltre, se si è in grado di tracciare le email inviate, dovrebbe essere possibile individuare quelle inviate dal malware, che contengono la password per la crittografia dei dati.
  • Prepararsi alla reinizializzazione dei sistemi e recupero da backup
    Se sono state implementate e mantenute strategie di backup e disaster recovery, esse permetteranno di rimettere i sistemi in funzione, anche se al costo di fermi macchina ed investimenti di tempo consistenti.
  • NON pagare il riscatto
    Alcune aziende attaccate sono state convinte a pagare per avere decrittografati i propri dati dagli hacker. In funzione della natura malintenzionata degli hacker (si tratta di criminali),  cedere alla loro richiesta di riscatto non offre alcuna garanzia di avere restituiti i propri dati, e rinforza queste organizaizoni criminali. Per questi motivi è fortemente sconsigliato.

 

Fonti

Il contenuto di questo articolo riprende quasi integralmente le preziose informazioni pubblicate dalla organizzazione australiana Security Central in questa pagina:
http://www.securitycentral.org.nz/cybersecurity-for-small-businesses/dealing-with-ransomware-and-remote-access-hacking/

La diffusione di quese informazioni è incoraggiata dagli stessi autori, e rappresenta una espressione del senso civico che ci accomuna nella lotta alla criminalità.

La comunità di Bleeping Computer, attiva sull'argomento, spiega sul suo forum perchè non è possibile decrittografare i dati: Forum di BleepingComputer

 


Cryptolocker

Recenti e diffuse manifestazioni di Ransomware sono accomunate da un set di software per la crittatura, che va sotto il nome comune di Cryptolocker.
Ulteriori informazioni al riguardo, sono riportate in questo articolo: Cryptolocker Ransomware

Dettagli articolo

Codice articolo:
171
Categoria:
Minacce

Articoli correlati