Le 3 fasi di un attacco ransomware e come proteggersi. I consigli di Ivanti

[Redazione di Hardware Upg]

Link alla notizia: https://edge9.hwupgrade.it/news/secu...nti_94934.html

Chris Goettl, Director of Product Management for Security Products di Ivanti, analizza gli step necessari per sferrare un attacco di tipo ransomware, sottolineando le contromisure da prendere in ogni fase, incluso il recovery da backup

Click sul link per visualizzare la notizia.

[Piedone1113]

Manca una cosa fondamentale:
passate la fase 1 e la 2 il ransonware contatta un server esterno alla rete per ottenere il codice di crifratura.
Se il firewall consente connessioni solo verso alcuni siti autorizzati dall'admin il criptaggio dei dati non inizierà affatto ( il virus non riceve la chiave di criptazione) e nel frattempo le firme AV avranno la nuova minaccia nel database potendolo individuare e rimuovere.
Insomma nella fase 3 si è sieropositi, ma ancora in ottima salute, solo dopo arriva il baluardo 4 ( nell'articolo identificato come 3).
Fermo restando che tutti i punti dovrebbero essere rispettati, perchè altrimenti una piccola falla o disattenzione aprirebbe una breccia nel sistema da fare molti danni.

[panic-error]

Quindi ogni qualvolta un utente interno deve andare su un nuovo sito deve chiede all’amministratore del firewall di essere abilitato? Non mi sembra molto realistica come soluzione

[Piedone1113]

Quote:

Originariamente inviato da panic-error

Quindi ogni qualvolta un utente interno deve andare su un nuovo sito deve chiede all’amministratore del firewall di essere abilitato? Non mi sembra molto realistica come soluzione

Invece si, oltre che un utente non può decidere di andare dove vuole, chi ha necessità di fare questo viene messe in dmz senza possibilità di accesso alla rete protetta ( al max gli si affida un utenza a basso profilo su desktop remoto)
Se poi vuoi fare le cose molte sul serio ti affidi ad un fw con abbonamento che ti gestisce i siti sicuri e le connessioni ( con relativi protocolli e porte) accettate.
Se poi vai a guardare nelle aziende i siti che vengono interrogati sono pochissimi, facebook e siti non inerenti la produzione dovrebbero essere fruibili su dmz, mentre le varie sedi in vpn punto punto.

[panic-error]

Appunto ci sono soluzioni come web gateway, next generation firewall, cloud security che si occupano di categorizzare i siti e consentire/vietare l’accesso in modo dinamico senza che tu, amministratore, debba impazzire a metterti a fare regole sul firewall per ogni nuovo sito legittimo che un dipendente deve raggiungere. Quella è preistoria. Tanto vale che gli impedisci di usare il computer e gli dai carta e penna.

Comunque inibire i social network a priori è altrettanto obsoleto come metodo di prevenzione. Ci sono molte aziende di inbound marketing che vivono di questi siti.

[Piedone1113]

Quote:

Originariamente inviato da panic-error

Appunto ci sono soluzioni come web gateway, next generation firewall, cloud security che si occupano di categorizzare i siti e consentire/vietare l’accesso in modo dinamico senza che tu, amministratore, debba impazzire a metterti a fare regole sul firewall per ogni nuovo sito legittimo che un dipendente deve raggiungere. Quella è preistoria. Tanto vale che gli impedisci di usare il computer e gli dai carta e penna.

Comunque inibire i social network a priori è altrettanto obsoleto come metodo di prevenzione. Ci sono molte aziende di inbound marketing che vivono di questi siti.

Non ho capito se operi nel settore o parli per sentito dire.
Il settore commerciale non avrà affatto bisogno di accedere alle stesse risorse del pr, la produzione non deve poter accedere affatto all'esterno, mentre la progettazione avrà bisogno di accedere a ben pochi siti esterni.
Per i social: se permetti sono ad oggi il mezzo più sfruttato per gli attacchi e se non necessari vanno eliminato da ogni sezione.
Il sezionamento della rete interna effettuato correttamente in caso di attacco ( e non solo da ransoware) permette di arginare agevolmente i danni affinché non diventi una catastrofe.
Poi è normale che se tu fatturi con i social o col porno avrai accesso alle risorse esterne, ma certamente non avrai accesso alle risorse di trading.

[FedericoV]

Questi criminali ne inventano sempre una nuova, talvolta installano un key logger per carpire le password degli admin. La cifratura non sempre viene fatta velocemente, ma può anche procedere in maniera lenta e subdola e l’utente non se ne accorge perché i criminali installano un filter driver simile al bit locker che decifra il file in lettura. Vi sono situazioni in cui lavorano file per file, magari cifrando solo un KB ogni 100. Poi attaccano la piattaforma di backup. Talvolta cancellano anche gli snapshots dagli storage arrays. Li ho visti addirittura sfruttare le interfaccia ILO e fare il boot da ISO Linux per poi danneggiare sistemi dove neppure gli Admin avevano la possibilità di cancellare dati. Non sono più dei nerd cantinari con voglia di sfregiare un server perché di indole “strana”, ma sono delle profittevoli aziende per cattive azioni con bravi R&D, e sarà sempre peggio. Almeno, come un medico, ci guadagno sui mali altrui 😇