Ransomware e RDP: accoppiata vincente

CommonRansom

Ransomware e RDP: accoppiata vincente

Una nuova variante di ransomware, CommonRansom, chiede l’accesso RDP al computer della vittima in modo da poter decifrare i file. CommonRansom costituisce l’ultimo tentativo di estendere un attacco ransomare al di là della mera estorsione. In questo caso, dopo aver portato a termine la cifratura del contenuto del PC, il ransomware lascia una nota in formato file di testo chiedendo un riscatto in Bitcoin così come l’accesso come amministratore all’endpoint infettato.

ransom-note

Fonte: ID Ransomware

E’ davvero apprezzabile la volontà di evolversi. In fondo quella dei ransomware è una tattica rimasta più o meno uguale per anni. Un’altra variante al ransomware tradizionale risale al 2016 con Popcorn Time, attacco in cui le vittime poteva decifrare i file pagando il riscatto oppure aiutando gli attaccanti ad infettare altre due persone.

Nel caso attuale, includere la richiesta di accesso RDP è quanto mai attuale dal momento che l’RDP come vettore di attacco è altamente ricercato.

Secondo Positive Technologies, c’è un rapporto 2:1 tra la domanda di accesso RDP rispetto all’attuale ‘offerta’. Le credenziali RDP si vendono anche a 100 dollari sul sito web russo xDedic, ma le si possono generalmente trovare per una somma dai 3 ai 15 dollari sul dark web.

Dato il ritorno relativamente basso derivante dalla vendita di credenziali RDP (in confronto alla richiesta di una certa somma in BitCoin che, al momento attuale, si agggira attorno ai 640 dollari), CommonRansomware cerca di sfruttare le credenziali stesse per metter piede all’interno di un’organizzazione o accedere a dati che potrebbero essere di valore, residenti sull’endpoint stesso.

Così, un’ovvia raccomandazione è non fornire MAI le credenziali dal momento che gli attaccanti potrebbero sottrare dati, infettare ulteriormente l’endpoint e bloccare l’accesso all’intera macchina.

Sembra uno scenario un po’ privo di senso: è veramente bizzarro pensare che un utente sia disposto a dar via le credenziali RDP, ammesso che le conosca. Ma ci sono dati che suggeriscono che gli utenti si sentono in imbarazzo a far sapere all’IT di essere diventati vittime e, assieme alla mentalità che è okay condividere le password con i colleghi, il che porta a ritenere che dar via l’accesso RDP sia l’alternativa migliore.

Allora, che possiamo fare?

  • Educare i nostri Utenti – educhiamoli con un programma efficace di Security Awareness Training in modo che non clicchino mai sopra il link, caschino nell’inganno, aprano l’allegato ecc. che permette l’entrata in esecuzione del ransomware!
  • Fare Backup – per ogni dato che merita di essere protetto (il che include specifici endpoint critici) dovrebbe essere fatto un regolare backup.
  • Bloccare l’RDP – su due fronti: in primo luogo, non consentire agli utenti di accedere a RDP dai loro endpoint. Secondo, non permettere connessioni RDP endpoint da internet.
  • Fortificare gli Endpoint – utilizziamo una soluzione di endpoint protection di nuova generazione, in grado di rilevare le minacce, note e nuove, ad ogni stadio di esecuzione e che permetta il ripristino del sistema anche in caso di attacco ransomware.

La combinazion  RDP + ransomware potrebbe essere di breve durata. Ma, intanto, è importante assicurarsi che i criminali non abbiano successo.


RanSim With Cryptominer Simulation

Nuovo Ransomware Simulator con Cryptomining Scenario

I criminali trovano sempre nuove soluzioni per evitare di essere scoperti. E’ per questo che KnowBe4 ha rinnovato il suo Ransomware Simulator, o “RanSim”, per incluldere anche un nuovo scenario di cryptomining!

Questo scenario simula una operazione del cryptominer Monero su una macchina locale. Le varianti malware di Monero mining intasano CPU e GPU per processare i dati necessari a generare la criptovaluta.

Prova il nuovo Ransomware Simulatore di KnowBe4 per avere una effettiva visione dell’efficacia della protezione della tua rete contro le ultime minacce.

RanSim simula 13 scenari di infezione ransomware e uno scenario di infezione cryptmining per mostrarti se una workstation è vulnerabile.

Come funziona RanSim:

  • sicmulazione innocua al 100% di scenari reali di infezioni ransomware e cryptomining
  • Non utilizza alcuno dei tuoi file
  • Testa 14 tipi differenti di infezioni
  • Basta scaricarlo ed eseguirlo
  • …e ottieni i risultati in pochi minuti!

Questo è uno strumento complementare e richiede al massimo  minuti. RanSim ti può dare una visione preziosa sulla sicurezza dei tuoi endpoint che nemmeno ti aspetti!

Scarica il nuovo Ransim qui:

https://info.knowbe4.com/ransomware-simulator-tool-1

No Comments
Post a Comment