Ransomware

Ransomware

A proposito di sicurezza un interessante articolo pubblicato da Sophos Ltd, uno dei più noti produttori di soluzioni di cybersecurity:
Il ransomware continua a dominare nei titoli delle news: I SophosLabs hanno scoperto che le nuove varianti del ransomware Petya (noto anche come GoldenEye) sono ciò che ha causato l’epidemia on-line di massa, diffusasi in Europa, Russia, Ucraina e in altri paesi. Nel settore della sicurezza viene anche chiamato PetrWrap.
La caratteristica che contraddistingue questa nuova minaccia dalle altre è l’inclusione dell’exploit EternalBlue come stratagemma per propagarsi all’interno della rete colpita. L’exploit attacca il servizio Windows Server Message Block (SMB), che viene utilizzato per condividere file e stampanti nelle reti locali. Microsoft ha risolto questo problema nel bollettino MS17-010 di marzo, ma l’exploit si è dimostrato determinante per la propagazione di WannaCry il mese scorso.
Un altro metodo impiegato da Petya per diffondersi internamente è la violazione delle password degli amministratori, con successiva infezione di altri PC della rete, grazie all’utilizzo di strumenti di amministrazione remota. La propagazione interna può verificarsi anche mediante l’infezione delle condivisioni di rete in altri computer.

Ed ecco alcuni suggerimenti:

  • Verificare che nei sistemi siano presenti le patch più recenti, inclusa quella pubblicata nel bollettino MS17-010 di Microsoft.
  • Considerare l’opzione di adoperare Sophos Endpoint Protection per il blocco dell’esecuzione dello strumento Microsoft psexec sui computer degli utenti. Una versione di questo strumento viene utilizzata in un’altra tecnica impiegata da Petya per propagarsi automaticamente.
  • Effettuare backup frequenti e conservare off-site la copia di un backup recente. I file possono svanire nel nulla per moltissimi motivi, non solo a causa del ransomware, per cui i backup sono semplicemente una questione di buona prassi. Cifrare i back-up.
  • Evitare di aprire allegati provenienti da e-mail di mittenti sconosciuti.
  • Impostare Sophos Intercept X per proteggere la propria azienda e i clienti dal ransomware.

Per ulteriori approfondimenti il rapporto 2017 sulla sicurezza del Clusit è uno strumento indispensabile. Lo potete trovare a questo indirizzo:

rapporto clusit