{"id":16817,"date":"2019-11-07T09:22:32","date_gmt":"2019-11-07T17:22:32","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2019\/11\/07\/news-10556\/"},"modified":"2019-11-07T09:22:32","modified_gmt":"2019-11-07T17:22:32","slug":"news-10556","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2019\/11\/07\/news-10556\/","title":{"rendered":"A proposito del ransomware Ryuk"},"content":{"rendered":"

Credit to Author: Sophos Italia| Date: Fri, 11 Oct 2019 06:49:28 +0000<\/strong><\/p>\n

\n

Nelle ultime settimane i SophosLabs hanno registrato un picco significativo nel ransomware Ryuk. Questa minaccia particolarmente dannosa viene lanciata attraverso un sofisticato attacco in pi\u00f9 fasi, paralizzando le organizzazioni e lasciandole in ostaggio di onerosi riscatti.<\/p>\n

Per capire come fermare Ryuk \u00e8 utile sapere come si svolgono gli attacchi.<\/p>\n

Gli attori dietro Ryuk sono avversari attivi che combinano tecniche di attacco avanzate con l’hacking interattivo e pratico per aumentare il loro tasso di successo.<\/p>\n

Si rivolgono in genere a organizzazioni che non possono resistere a tempi di inattivit\u00e0, come giornali, comuni e servizi pubblici, per aumentare la probabilit\u00e0 di pagamento. E a proposito di pagamenti, spesso si tratta di somme a 6 cifre pagabili in Bitcoin.<\/p>\n

Gli attacchi Ryuk sono complessi. Spesso iniziano con un\u2019aggressione Emotet o TrickBot, consegnata tramite allegati dannosi in e-mail di spam, che consente ai criminali informatici di accedere alla tua rete.<\/p>\n

Una volta dentro, essi rubano le credenziali e creano un nuovo utente amministratore. Con i loro privilegi di amministratore, gli hacker possono spostarsi all’interno della rete, esaminare Active Directory ed eliminare i backup.<\/p>\n

Dopo aver rimosso la rete di sicurezza, tentano di disabilitare i prodotti di sicurezza informatica prima di rilasciare finalmente il ransomware Ryuk, crittografando i file e richiedendo enormi pagamenti di riscatto.<\/p>\n

\"\"<\/a><\/p>\n

Come fermare Ryuk con Sophos Intercept X Advanced<\/h3>\n

Fermare Ryuk non significa solo bloccare un pezzo di software, si tratta di fermare un avversario attivo e interrompere la catena di attacco che lo mette in grado di far funzionare Ryuk. Sophos Intercept X Advanced racchiude al suo interno una gamma di tecnologie per rilevare e interrompere diverse fasi dell’attacco, tra cui:<\/p>\n

    \n
  • Rilevamento e blocco delle tecniche di exploit utilizzate per scaricare e installare Emotet e Trickbot (spesso tramite PowerShell o WMI), impedendo agli hacker di accedere alla rete.<\/li>\n
  • Blocco dei movimenti laterali attraverso la rete lavorando in tempo reale con Sophos XG Firewall.<\/li>\n
  • Prevenzione del furto di credenziali, impedendo cos\u00ec l’accesso non autorizzato ai sistemi e l’escalation dei privilegi di amministratore.<\/li>\n
  • Arresto dell’esecuzione del ransomware esaminando il suo “DNA” con la nostra rete neurale di deep learning.<\/li>\n
  • Rilevamento e rollback della crittografia non autorizzata dei file tramite le funzionalit\u00e0 di CryptoGuard<\/li>\n<\/ul>\n

    Guarda questo video per vedere le funzionalit\u00e0 di CryptoGuard in Intercept X in merito al rollback del ransomware Ryuk.<\/p>\n