Come mitigare gli attacchi ransomware operati dall'uomo: infografica

In passato, se qualcuno doveva dirottare il tuo computer, di solito era possibile entrare in possesso del tuo computer sia fisicamente che usando l'accesso remoto. Mentre il mondo è andato avanti con l'automazione, la sicurezza informatica si è rafforzata, una cosa che non è cambiata sono gli errori umani. È qui che entrano in gioco gli attacchi ransomware operati dall'uomo . (Human-operated Ransomware Attacks)Si tratta di attacchi artigianali che trovano una vulnerabilità o una sicurezza mal configurata sul computer e ottengono l'accesso. Microsoft ha elaborato un caso di studio esauriente che conclude che l'amministratore IT può mitigare questi attacchi ransomware operati(Ransomware attacks) da persone con un margine significativo.

mitigare gli attacchi ransomware operati dall'uomo

Mitigazione degli attacchi ransomware operati dall'uomo(Human-operated Ransomware Attacks)

Secondo Microsoft , il modo migliore per mitigare questo tipo di ransomware e le campagne artigianali è bloccare tutte le comunicazioni non necessarie tra gli endpoint. È anche altrettanto importante seguire le migliori pratiche per l'igiene delle credenziali come l' autenticazione a più fattori(Multi-Factor Authentication) , il monitoraggio dei tentativi di forza bruta, l'installazione degli ultimi aggiornamenti di sicurezza e altro ancora. Ecco l'elenco completo delle misure di difesa da adottare:

  • Assicurati di applicare le impostazioni di configurazione consigliate(recommended configuration settings) da Microsoft per proteggere i computer connessi a Internet.
  • Defender ATP offre la gestione delle minacce e delle vulnerabilità(threat and vulnerability management) . Puoi usarlo per controllare regolarmente le macchine per vulnerabilità, configurazioni errate e attività sospette.
  • Usare il gateway MFA(MFA gateway) come Azure Multi-Factor Authentication ( MFA ) o abilitare l'autenticazione a livello di rete ( NLA ).
  • Offri il privilegio minimo agli account(least-privilege to accounts) e abilita l'accesso solo quando richiesto. Qualsiasi account con accesso a livello di amministratore a livello di dominio dovrebbe essere minimo o zero.
  • Strumenti come lo strumento LAPS ( Local Administrator Password Solution ) possono configurare password casuali univoche per gli account amministratore. Puoi archiviarli in Active Directory (AD) e proteggerli utilizzando ACL .
  • Monitora i tentativi di forza bruta. Dovresti essere allarmato, soprattutto se ci sono molti tentativi di autenticazione falliti. (failed authentication attempts. )Filtra(Filter) utilizzando l' ID evento 4625(ID 4625) per trovare tali voci.
  • Gli aggressori in genere cancellano i registri degli eventi di sicurezza e il registro operativo di PowerShell(Security Event logs and PowerShell Operational log) per rimuovere tutte le impronte. Quando ciò si verifica, Microsoft Defender ATP genera un ID evento 1102 .(Event ID 1102)
  • Attiva le funzionalità di protezione dalle manomissioni(Tamper protection)(Tamper protection) per impedire agli aggressori di disattivare le funzionalità di sicurezza.
  • Esaminare(Investigate) l'ID evento 4624(ID 4624) per trovare dove accedono gli account con privilegi elevati. Se entrano in una rete o in un computer compromesso, può essere una minaccia più significativa.
  • Attiva la protezione fornita dal cloud(Turn on cloud-delivered protection) e l'invio automatico dei campioni in Windows Defender Antivirus . Ti protegge da minacce sconosciute.
  • Attiva le regole di riduzione della superficie di attacco. Insieme a questo, abilita le regole che bloccano il furto di credenziali, l'attività ransomware e l'uso sospetto di PsExec e WMI .
  • Attiva  AMSI per Office VBA  se hai Office 365.
  • Impedisci la comunicazione RPC(Prevent RPC) e SMB tra gli endpoint quando possibile.

Leggi(Read) : Protezione dal ransomware in Windows 10(Ransomware protection in Windows 10) .

Microsoft ha presentato un case study su Wadhrama , Doppelpaymer , Ryuk , Samas , REvil

  • Wadhrama viene distribuito utilizzando la forza bruta nei server che dispongono di Desktop remoto(Remote Desktop) . Di solito scoprono sistemi senza patch e utilizzano le vulnerabilità divulgate per ottenere l'accesso iniziale o elevare i privilegi.
  • Doppelpaymer viene diffuso manualmente attraverso reti compromesse utilizzando credenziali rubate per account privilegiati. Ecco perché è essenziale seguire le impostazioni di configurazione consigliate per tutti i computer.
  • Ryuk distribuisce il carico utile tramite e-mail ( Trickboat ) ingannando l'utente finale su qualcos'altro. Di recente gli hacker hanno utilizzato lo spavento del Coronavirus per ingannare l'utente finale. Uno di loro è stato anche in grado di consegnare il carico utile dell'Emotet .

La cosa comune di ciascuno di essi(common thing about each of them) è che sono costruiti in base alle situazioni. Sembra che stiano eseguendo tattiche da gorilla in cui si spostano da una macchina all'altra per consegnare il carico utile. È essenziale che gli amministratori IT non solo tengano d'occhio l'attacco in corso, anche se su piccola scala, e istruiscano i dipendenti su come possono aiutare a proteggere la rete.

Spero che tutti gli amministratori IT possano seguire il suggerimento e assicurarsi di mitigare gli attacchi ransomware operati dall'uomo.(Ransomware)

Lettura correlata(Related read) : cosa fare dopo un attacco ransomware sul tuo computer Windows?(What to do after a Ransomware attack on your Windows computer?)



Francesca Cattaneo

About the author

Sono uno sviluppatore di software freeware e sostenitore di Windows Vista/7. Ho scritto diverse centinaia di articoli su vari argomenti relativi al sistema operativo, inclusi suggerimenti e trucchi, guide di riparazione e best practice. Offro anche servizi di consulenza in ufficio attraverso la mia azienda, Help Desk Services. Ho una profonda conoscenza del funzionamento di Office 365, delle sue funzionalità e di come utilizzarle nel modo più efficace.


Related posts