Come Agiscono gli Attacchi Ransomware
24 Novembre 2020
0
0
Il ransomware è un problema che continua ad affliggere le organizzazioni. Da un sondaggio a cui hanno partecipato diverse
aziende in 26 paesi, è emerso che più della metà aveva subito un attacco ransomware nei 12 mesi precedenti*.
Questi tipi di attacco stanno diventando sempre più complessi ed efficaci nello sfruttare le vulnerabilità di rete e sistemi,
un’evoluzione che per alcune organizzazioni comporta costi salatissimi per rimediare ai danni, un tipico attacco ransomware mirato agisce come segue:
- OTTIENE L’ACCESSO
a. Un’e-mail di spam o di phishing che contiene un allegato malevolo, oppure un download dal web o un documento contenente exploit
b. Funzionalità di condivisione/gestione dei file da remoto quali RDP
- CERCA DI ASSICURARSI PRIVILEGI PIÙ ELEVATI, FINO A OTTENERE QUELLI DI UN AMMINISTRATORE
Gli autori dell’attacco sfruttano le vulnerabilità dei sistemi per ottenere privilegi di accesso più elevati, che permettano loro di bypassare i software di sicurezza. Per raggiungere i propri obiettivi, possono riavviare l’host compromesso ed eseguirlo in modalità provvisoria.
- CERCA DI DISATTIVARE/BYPASSARE IL SOFTWARE DI SICUREZZA UTILIZZANDO FILE ALTAMENTE PERSONALIZZATI
Se ciò non fosse possibile, tenta di violare la console di gestione del sistema di protezione e di disattivare i sistemi di sicurezza.
- DISTRIBUISCE IL PAYLOAD
a. Utilizzando un exploit automatico
b. Perlustrando manualmente la rete Per prima cosa, cerca backup memorizzati nella rete locale e li elimina. Questo complica ulteriormente il ripristino e aumenta le probabilità di ricevere un pagamento dalla vittima. Spesso esfiltra dati aziendali di natura sensibile, che possono poi essere rivenduti sul dark web.
- DISTRIBUISCE IL PAYLOAD
a. Utilizzando un exploit automatico
b. Perlustrando manualmente la rete Per prima cosa, cerca backup memorizzati nella rete locale e li elimina. Questo complica ulteriormente il ripristino e aumenta le probabilità di ricevere un pagamento dalla vittima. Spesso esfiltra dati aziendali di natura sensibile, che possono poi essere rivenduti sul dark web.
- DIFFONDE IL RANSOMWARE
Gli hacker cifrano quindi i dati e i file delle organizzazioni, sfruttando vulnerabilità della rete e dell’host, oppure protocolli
semplici di condivisione dei file, per compromettere altri sistemi all’interno della rete e diffondere ransomware che agisce cifrando i file.
- LASCIA UNA NOTA DI RISCATTO CON UNA RICHIESTA DI PAGAMENTO PER DECIFRARE I FILE
- ATTENDE CHE LA VITTIMA CONTATTI GLI AUTORI DELL’ATTACCO TRAMITE E-MAIL O UNA PAGINA DEL DARK WEB
Nel 2020 il trend osservato è stato un aumento costante degli attacchi basati sui server. Si tratta di attacchi estremamente
mirati e sofisticati, che richiedono un impegno notevole per essere implementati. Tipicamente sono però molto più
pericolosi, perché puntano a cifrare le risorse di maggior valore che, se compromesse, possono mettere in ginocchio le
aziende colpite, con richieste di riscatto che ammontano a vari milioni di dollari. Fortunatamente, questi tipi di attacco
possono essere prevenuti applicando adeguate best practice di sicurezza.
