Now Reading
Anatomia del ransomware: come funziona e come difendersi.

Anatomia del ransomware: come funziona e come difendersi.

Avatar

I ricercatori di Sophos svelano come si sviluppa questo attacco e come difendersi.

Redazione. (Foto di Sora Shimazaki da Pexels)

Un nome ormai noto nel panorama delle cyberminacce: Conti, il ransomware “human-operated” che da circa un anno si introduce nelle reti aziendali. Dopo aver sottratto dati sensibili ed averli criptati, gli autori di questo attacco minacciano le loro vittime di renderli visibili sul sito “Conti News” qualora non venga pagato il riscatto richiesto.

Il team Sophos Rapid Response, operativo 24 ore su 24 e 7 giorni su 7, è stato chiamato ad analizzare, neutralizzare e fronteggiare questo attacco che si sviluppa in 5 giorni dal momento della compromissione iniziale al ripristino dell’operatività aziendale.

Il report in tre part rilasciato da Sophos, “The Realities of Conti Ransomware” è formato da: 

·         Un attacco ransomware Conti giorno per giorno – analisi della metodologia di attacco Conti, inclusi gli indicatori di Compromissione (ioC), e le tattiche, tecniche e procedure (TTPs)

·         Conti Ransomware: evasivo per natura – una panoramica tecnica sulla natura evasiva di Conti a cura dei ricercatori di Sophos

·         Cosa aspettarsi se si viene colpiti dal ransomware Conti – una serie di consigli che forniscono ai responsabili IT che si trovano ad affrontare l’impatto di un attacco Conti indicazioni utili in merito alle azioni da intraprendere tempestivamente e una lista di controllo in 12 punti per aiutarli ad indagare sull’attacco. La lista di controllo guida gli amministratori IT attraverso tutto ciò che gli aggressori di Conti potrebbero fare mentre si trovano all’interno della rete e le principali TTP che probabilmente useranno.

“Nei casi di attacchi human-operated, chi guida l’offensiva può adattarsi e reagire ai cambiamenti in tempo reale. In questo caso, è stato conquistato contemporaneamente l’accesso a due server, così quando la vittima ha rilevato l’attacco e ha disabilitato uno dei due (convincendosi di aver bloccato il ransomware), i cybercriminali non hanno dovuto far altro che passare all’altro server e continuare il proprio attacco indisturbati. Avere un piano B rappresenta un approccio comune per gli attacchi human-operated ed è un importante promemoria del fatto che aver bloccato un’attività sospetta sulla propria rete non significa che l’attacco sia finito” spiega Peter Mackenzie, manager di Sophos Rapid Response.

Il sito “Conti News” ha pubblicato ad oggi i dati rubati a 180 vittime; Sophos ha creato un profilo delle vittime basandosi su tali dati (che coprono circa 150 aziende i cui dati erano stati pubblicati al momento dell’analisi).

“Nelle aziende in cui non vi è accesso a un team di IT security ben strutturato e definito, sono spesso gli IT manager a trovarsi sulla traiettoria degli attacchi ransomware” aggiunge Mackenzie.

“Sono loro ad arrivare al lavoro una mattina e a trovare tutto bloccato e una minacciosa richiesta di riscatto sullo schermo, a volte seguita da e-mail minacciose e persino da telefonate minatorie. Sulla base delle nostre esperienze di threat hunting, abbiamo messo a punto una lista di azioni che aiuterà gli IT manager ad affrontare le ore e i giorni successivi all’attacco Conti, estremamente impegnativi e stressanti, e a capire dove trovare l’aiuto necessario per porre le basi per un futuro più sicuro” conclude Mackenzie.

Cosa fare immediatamente in caso di attacco:

·         Chiudere eventuali Remote Desktop Protocol connessi a Internet

·         Se è necessario un accesso al RDP, impostarlo dietro a una connessione VPN

·         Utilizzare una sicurezza a più livelli per prevenire, proteggere e rilevare i cyberattacchi. Ciò dovrà prevedere sistemi di EDR e team di Managed Threat Response per vigilare sulla rete aziendale 24 ore al giorno e 7 giorni su 7 senza interruzioni.

See Also

·         Essere consapevoli dei cinque segnali che rivelano che l’azienda sta per essere attaccata al fine di agire tempestivamente e bloccare l’attacco

·         Disporre di un piano efficace di incident response e aggiornarlo quando necessario. Qualora l’azienda non abbia le risorse o le competenze specifiche per gestire questi aspetti, è consigliabile rivolgersi a degli esperti per ulteriore supporto e consulenza. Se non ci si sente sicuri di avere le competenze o le risorse per fare questo, per monitorare le minacce o per rispondere agli incidenti di emergenza, è consigliato rivolgersi ad esperti esterni per un aiuto

Le soluzioni di sicurezza proposte da Sophos consentono di bloccare il ransomware Conti e i file ad esso associati.

Sophos

Multinazionale leader nella sicurezza di ultima generazione, Sophos protegge più di 400.00 aziende di ogni dimensione in oltre 150 paesi dalle minacce informatiche più avanzate.

Sviluppate dai SophosLabs – team di ricerca globale – le soluzioni di sicurezza cloud-native e con AI integrata proteggono endpoint, server, device mobili e reti dalle minacce sempre più evolute, incluse violazioni automatizzate, ransomware, malware, exploit, furto di dati, phishing e molto altro. La pluripremiata Sophos Central, piattaforma di gestione in cloud, integra l’intero portafoglio di soluzioni Sophos incluso Intercept X e il firewall di ultima generazione XG in un unico sistema di sicurezza sincronizzata. I prodotti Sophos sono disponibili esclusivamente attraverso un canale globale di oltre 53.000 partner e MSP (Managed Service Provider). L’innovativa tecnologia di Sophos è resa disponibile anche agli utenti domestici grazie a Sophos Home.

La sede dell’azienda è a Oxford, nel regno Unito. Per ulteriori informazioni: www.sophos.it

pubblicità
pubblicità
What's Your Reaction?
Contento
0
Emozionato
0
Innamorato
0
Non sono sicuro
0
Sciocco
0
View Comments (0)

Leave a Reply

Your email address will not be published.

© 2019 Digitude.it - Iscrizione registro Tribunale di Roma n.131 del 10/10/2019
Anno III N°2 Febbraio 2021 P.IVA 15990471003

Direzione Redazione Via Saronno 65 00188 Roma

Tel 06297174 | 3318967481 | 3391586440
redazione@digitude.itgiovanni.pugliese@digitude.itinfo@digitude.it
advertising@digitude.it - sviluppo@digitude.it

Scroll To Top