![](\"https:\/\/sophos.files.wordpress.com\/2019\/10\/ransomware-2.jpg\"\/)
<\/p>\nPi\u00f9 di un decennio dopo la sua prima apparizione, possiamo affermare che il mondo \u00e8 pi\u00f9 vicino a fermare il ransomware?<\/p>\n
A giudicare dal crescente numero<\/a> di grandi organizzazioni che sono cadute vittima di quella che \u00e8 diventata l’arma preferita da cos\u00ec tanti criminali, ci sentiamo di dire di no.<\/p>\n Il problema per i difensori, come documentato nel nuovo rapporto dei SophosLabs \u201cHow Ransomware Attacks<\/a>\u201d, \u00e8 che sebbene quasi tutti i ransomware utilizzino lo stesso trucco – crittografare file o interi dischi ed estorcere un riscatto per la loro restituzione \u2013 il modo in cui elude le difese per raggiungere i dati continua a evolversi .<\/p>\n Ci\u00f2 significa che una tecnica di analisi statica che ha bloccato ad oggi una variet\u00e0 di ransomware potrebbe non arrestare una controparte evoluta nel giro di poche settimane. Questo rappresenta una grande sfida sia per le aziende che per le societ\u00e0 di sicurezza.<\/p>\n Come ci ricorda il crescente numero di attacchi ransomware di alto profilo, esso \u00e8 cresciuto proprio come un’azienda perch\u00e9 funziona per chi lo usa, il che significa che batte le difese delle vittime abbastanza spesso da offrire un flusso di entrate significativo.<\/p>\n Il rapporto tratta nel dettaglio il funzionamento dei pi\u00f9 importanti esempi di ransomware degli ultimi tempi, tra cui Ryuk, BitPaymer, MegaCortex, Dharma, SamSam, GandCrab, Matrix, WannaCry, LockerGoga, RobbinHood e Sodinokibi.<\/p>\n I difensori possono, tuttavia, armarsi di conoscenza. Nel loro rapporto, i SophosLabs si occupano delle tecniche pi\u00f9 comuni utilizzate dal ransomware, a partire dai suoi meccanismi di distribuzione.<\/p>\n Il primo tipo sono i criptoworm che si prefiggono di infettare il maggior numero possibile di macchine, il pi\u00f9 rapidamente possibile, utilizzando vulnerabilit\u00e0 note e talvolta sconosciute per aumentarne l’efficacia.<\/p>\n Sebbene relativamente rara, la replica simile a un worm attira molta attenzione su s\u00e9 stessa. Quando i criptoworms funzionano, sono inclini a essere spettacolari, ad esempio l’attacco globale WannaCry<\/a> che \u00e8 avvenuto nel 2017.<\/p>\n Una tecnica pi\u00f9 mirata \u00e8 “l’avversario attivo automatizzato”, una tecnica manuale in cui i criminali informatici cercano attivamente organizzazioni vulnerabili scansionando i punti deboli della configurazione di rete come il Remote Desktop Protocol (RDP)<\/a> o le vulnerabilit\u00e0 del software. Una volta dietro i firewall, il ransomware viene installato sul maggior numero possibile di server, bloccando i difensori fuori dai propri sistemi.<\/p>\n Il pi\u00f9 comune di tutti \u00e8 il ransomware-as-a-service (RaaS), che essenzialmente consente a criminali informatici inesperti di creare campagne automatizzate utilizzando kit di terze parti venduti sul dark web. Un buon esempio di questo \u00e8 Sodinokibi<\/a> (aka Sodin o REvil), una modifica di GandCrab accusato di numerosi attacchi nel 2019.<\/p>\n Una volta che hanno un punto d’appoggio, gli aggressori usano una tavolozza di strumenti simile per aggirare le difese rimaste, compresa l’implementazione di certificati digitali legittimi rubati appositamente per rendere il loro malware affidabile.<\/p>\n Naturalmente, per raggiungere server e condivisioni importanti, viene utilizzato il movimento laterale cos\u00ec come l’escalation dei privilegi per ottenere il potere di elevare un attacco allo stato di amministratore necessario per fare pi\u00f9 danni.<\/p>\n Un tema ricorrente in attacchi di successo \u00e8 rappresentato da un attento tempismo, afferma Mark Loman,\u00a0Director of Threat Mitigation dei SophosLabs, autore del rapporto:<\/p>\n In alcuni casi, il grosso dell’attacco si svolge di notte quando il team IT \u00e8 a casa nel suo letto.<\/em><\/p>\n Sembra terribilmente ovvio, ma succede sempre cos\u00ec. Attaccare di notte \u00e8 uno dei modi pi\u00f9 semplici per guadagnare pi\u00f9 tempo per il ransomware (che richiede ore per eseguire tutta la sua crittografia) senza alcuno sforzo aggiuntivo.<\/p>\n Il consiglio di Loman \u00e8 un’attenta vigilanza, a partire dal garantire che le macchine vengano sempre aggiornate contro le principali vulnerabilit\u00e0 come EternalBlue<\/a>, che continua a infastidire due anni e mezzo dopo aver alimentato WannaCry.<\/p>\n Sembra abbastanza semplice: basta applicare le patch. Ma questo deve essere fatto su tutti i sistemi vulnerabili perch\u00e9 il ransomware necessita anche solo di una macchina debole per ottenere un punto d’appoggio.<\/p>\n Ci\u00f2 richiede che i difensori controllino anche lo stato del software di tutti i sistemi, cosa che non tutti gli amministratori si preoccupano di fare. Infatti individuare i punti deboli prima degli attacchi \u00e8 una misura necessaria.<\/p>\n In secondo luogo il consiglio \u00e8 quello di abilitare l’autenticazione a pi\u00f9 fattori ovunque sia possibile. Questo \u00e8 un ulteriore livello affidabile di sicurezza che gli aggressori dovrebbero trovare difficolt\u00e0 a superare, se \u00e8 stato configurato correttamente.<\/p>\n Come minimo, bisogna non solo mantenere i backup, ma pensare a come verranno ripristinati. Spesso, le vittime hanno backup ma non le risorse umane, il tempo o il denaro per non dover passare giorni o settimane a rimettere le cose come erano.<\/p>\n Esistono anche alcuni controlli integrati nei sistemi operativi come Windows 10, ad esempio l’accesso controllato alle cartelle (CFA) introdotto nel 2017 per limitare le applicazioni che possono accedere a determinate cartelle di dati. Da allora molti ricercatori ci hanno trovato vulnerabilit\u00e0, quindi non \u00e8 infallibile, ma vale comunque la pena usarlo sugli endpoint.<\/p>\n Per ulteriori consigli, leggete \u201cHow Ransomware Attacks<\/a>\u201d e controllate la pagina \u201cLa fine del ransomware<\/a>\u201d di Sophos.<\/p>\n<\/p><\/div>\nLa conoscenza \u00e8 difesa<\/h2>\n
Fermare il ransomware<\/h2>\n