7 modi comuni in cui i ransomware possono infettare la vostra organizzazione
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
7 modi comuni in cui i ransomware possono infettare la vostra organizzazione di SentinelOne
INDICE Introduzione 3 1. Violazioni tramite phishing e social engineering 4 2. Infezione tramite siti web compromessi 5 3. Malvertising e violazione del browser 6 4. Kit di exploit che introducono malware personalizzati 7 5. Download di file e di applicazioni infette 8 6. Applicazioni di messaggistica utilizzate come vettori di infezione 9 7. Attacchi brute force tramite server RDP 10 Conclusione 12
Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
Introduzione
Comprendere come i ransomware infettano un dispositivo e si diffondono in
una rete è fondamentale per garantire che la vostra organizzazione non diventi
la prossima vittima di un attacco. Come trend recenti hanno dimostrato, il
rischio di perdere l'accesso a dati, dispositivi e servizi è aggravato da autori di
minacce che estraggono i dati allo scopo di divulgarli su siti pubblici se le
vittime non pagano. Gli autori di ransomware sono consapevoli del fatto che il
loro stesso successo rappresenta una minaccia al loro modello di business:
l'accresciuta attenzione dell'opinione pubblica, infatti, ha spinto le aziende, o
almeno alcune di esse, a investire in sistemi di backup e ripristino. Ma queste
precauzioni diventano superflue quando gli autori degli attacchi hanno in mano
i dati più sensibili dei clienti e dell'azienda.
Dopo un'infezione, un ransomware può diffondersi ad altre macchine o
crittografare file condivisi nella rete dell'organizzazione. In alcuni casi, può
oltrepassare i confini aziendali e infettare la supply chain, i clienti e altre
organizzazioni, come è avvenuto con alcune campagne di malware dirette in
modo specifico ai provider di servizi gestiti. La risposta al ransomware è
prevenire anziché curare. In che modo questi devastanti malware infettano
solitamente i dispositivi?Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
1. Violazioni tramite Phishing e
Social Engineering
Ancora oggi, il metodo piu utilizzato dagli hacker per introdurre un ransomware
in un endpoint è mediante l'invio di e-mail di phishing. Sempre più spesso, in
queste e-mail vengono utilizzate informazioni mirate, personalizzate e specifiche
per ottenere la fiducia delle potenziali vittime e spingerle ad aprire allegati o a
cliccare su link per scaricare file PDF e altri documenti infetti. Tali documenti
possono risultare indistinguibili da quelli normali e gli autori di attacchi possono
sfruttare una configurazione predefinita di Windows per nascondere la reale
estensione dei file. Ad esempio, il nome di un allegato potrebbe essere
visualizzato come “nomefile.pdf”, ma rivelando l'estensione completa è possibile
vedere che si tratta in realtà di un file eseguibile, “nomefile.pdf.exe”.
I file possono avere un formato all'apparenza standard, come nel caso degli
allegati di MS Office, dei documenti PDF o dei file JavaScript. Quando si clicca
su di essi o si abilitano le macro, viene avviata l'esecuzione dei file e ha inizio il
processo di crittografia dei dati sulla macchina della vittima.
Vedere anche:
Phishing | Quali sono i bersagli più vulnerabiliLe 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
2. Infezione tramite siti web
compromessi
Non tutti gli attacchi ransomware vengono perpetrati utilizzando un'e-mail
malevola. I siti web compromessi si prestano bene a includere codici
dannosi. È sufficiente che la vittima ignara visiti il sito, soprattutto se si
tratta di siti a cui accede spesso. Il sito compromesso reindirizza l'utente a
una pagina in cui gli viene richiesto di scaricare una versione più recente di
un software, ad esempio il browser web, un plugin o il lettore multimediale.
Per gli utenti è particolarmente difficile rilevare queste minacce senza
analizzare il codice sottostante ciascun sito che che visitano.
Se il sito è stato preparato per introdurre un ransomware, il malware
potrebbe essere attivato direttamente o, più comunemente, potrebbe
eseguire un programma di installazione che scarica e rilascia il ransomware.Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
3. Malvertising e violazione
del browser
Se il browser di un utente presenta una vulnerabilità priva di patch, può essere
soggetto a un attacco di pubblicità malevola (malvertising). Gli hacker si
servono di comuni annunci pubblicitari sui siti web per inserire codice dannoso
che scarica il ransomware quando un annuncio viene visualizzato. Sebbene si
tratti di un vettore meno comune per i ransomware, rappresenta una seria
minaccia, in quanto non richiede alla vittima di intraprendere alcuna azione
evidente, come scaricare un file o abilitare macro.
Vedere anche:
Sicurezza di macOS | In che modo i Mac vengono infettati dal malware?Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
4. Kit di exploit che introducono
malware personalizzati
Angler, Neutrino e Nuclear sono kit di exploit ampiamente utilizzati in attacchi
ransomware. Questi framework sono toolkit malevoli che utilizzano exploit
predefiniti per prendere di mira le vulnerabilità nei plugin del browser, come
Java e Adobe Flash. Anche Microsoft Internet Explorer e Microsoft Silverlight
sono bersagli comuni. Ransomware come Locky e CryptoWall sono stati
introdotti tramite kit di exploit su siti disseminati di trappole e attraverso
campagne di malvertising.Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
5. Download di file e
di applicazioni infette
Tutti i file e le applicazioni scaricabili possono essere utilizzati anche per i
ransomware. I software pirata sui siti illegali di condivisione di file si prestano a
essere utilizzati per questo scopo e, spesso, includono malware. I recenti casi di
MBRLocker confermano questa tendenza. Gli hacker possono sfruttare anche siti
web legittimi per introdurre un eseguibile infetto. Affinché il ransomware venga
iniettato, è sufficiente che la vittima scarichi il file o l'applicazione infetta.Le 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
6. Applicazioni di messaggistica utilizzate
come vettori di infezione
Attraverso applicazioni di messaggistica come WhatsApp e Facebook
Messenger, i ransomware possono assumere le sembianze di oggetti SVG
(Scalable Vector Graphics) e caricare un file che bypassa i tradizionali filtri delle
estensioni. Poiché la tecnologia SVG si basa su XML, i criminali informatici sono
in grado di incorporare il tipo di contenuto che desiderano. Una volta aperto, il
file di immagine infetto indirizza le vittime a un sito apparentemente legittimo.
Dopo il caricamento, alla vittima viene richiesto di accettare un'installazione
che, se eseguita, introduce il payload e accede ai contatti dell'utente per
diffondersi ulteriormente.
Vedere anche:
Codice nascosto all'interno di immagini: in che modo i malware utilizzano
la steganografiaLe 7 cose che ogni dall'attacco informatico all'Australian
CISO può imparare National University (ANU)
7. Attacchi brute force tramite
server RDP
Gli aggressori si servono di ransomware come SamSam per compromettere
direttamente gli endpoint utilizzando un attacco brute force mediante server
RDP (Remote Desktop Protocol) con connessione internet. RDP consente agli
amministratori IT di accedere al dispositivo di un utente e di controllarlo da
remoto, ma questo meccanismo può anche essere sfruttato dagli hacker per
scopi malevoli.
Gli hacker possono cercare macchine vulnerabili utilizzando strumenti come
Shodan e scanner di porte come Nmap e Zenmap. Una volta identificate le
macchine bersaglio, gli hacker possono eseguire il brute forcing della password
ed effettuare l'accesso come amministratori. Se gli utenti utilizzano credenziali
predefinite o password deboli, gli hacker possono ottenere l'accesso servendosi
di strumenti open source per la creazione di password, come Aircrack-ng, John
The Ripper e DaveGrohl. Una volta effettuato l'accesso come amministratori, gli
hacker hanno il pieno controllo della macchina e sono in grado di installarvi il
ransomware e crittografare i dati. Possono anche disattivare la protezione degli
endpoint ed eliminare i backup per aumentare le probabilità di riscuotere il
pagamento o raggiungere altri scopi.
Vedere anche:
7 modi in cui gli hacker sottraggono le passwordConclusione
I ransomware continuano a evolversi e il ransomware-as-a-service è sempre più
diffuso. Gli autori di malware vendono ai criminali informatici ransomware
personalizzati in cambio di una percentuale dei profitti. L'acquirente del servizio
decide i bersagli e le modalità di introduzione. Questa suddivisione di compiti e
rischi sta portando a malware sempre più mirati, a metodi di introduzione
innovativi e, in ultima analisi, a una maggiore frequenza degli attacchi
ransomware.
Insieme alla minaccia di estorsione per divulgazione di dati, queste recenti
tendenze rendono vitale per le organizzazioni investire nella sicurezza degli
endpoint e delle reti e nella prevenzione delle violazioni, in primo luogo attraverso
motori di rilevamento comportamentali AI non basati sulla reputazione ne sulla
connettività cloud. Per scoprire in che modo SentinelOne può aiutarvi a proteggere
la vostra azienda dai ransomware e da altre minacce, contattateci oggi stesso o
richiedete una demo gratuita.
Un ringraziamento a Daniel Card e Chris Roberts per l'assistenza fornita per
questo post.
INFORMAZIONI SU SENTINELONE
SentinelOne è l'unica soluzione di sicurezza informatica che integra prevenzione basata su AI, rilevamento, risposta e threat
hunting per carichi di lavoro cloud, dei container e degli endpoint e per i dispositivi IoT, in un'unica piattaforma autonoma.
SentinelOne offre alle aziende la completa visibilità su tutto ciò che accade nella rete a velocità di macchina, per neutralizzare
ogni attacco in qualsiasi fase del ciclo di vita della minaccia. Per saperne di più, visitate www.sentinelone.com o seguiteci su
@SentinelOne, su LinkedIn o Facebook.Puoi anche leggere
