Comprendere in che modo un ransomware infetta un dispositivo e si diffonde all’interno di un’infrastruttura di rete è fondamentale per evitare che l’organizzazione diventi la prossima vittima di un attacco.
La vera risposta ad un attacco ransomware si racchiude nella prevenzione piuttosto che nella cura.
1. Phishing & Social Engineering
La modalità più comune per compromettere un dispositivo è attraverso un’email di phishing. Questa tipologia di email viene creata sfruttando informazioni sempre più mirate, personalizzate e specifiche per far sì che l’utente non abbia alcun sospetto.
I file allegati nelle email di phishing sono totalmente indistinguibili da file normali, ad esempio un file può chiamarsi “nomefile.pdf”, ma rivelando l’estensione completa in realtà è possibile vedere che si tratta di una file eseguibile, “nomefile.pdf.exe”.
I file possono avere formati standard come allegati MS Office, file PDF o JavaScript. Cliccando su questi file o abilitando le macro il file viene eseguito ed inizia processo di crittografia dei dati.
2. Infezione Attraverso Siti Web Compromessi
Non tutti gli attacchi ransomware sono inseriti in un’email di phishing. I siti web compromessi sono ambienti in cui è molto semplice inserire un codice dannoso. La vittima in questo caso finisce su un sito che visita spesso, ignara che in realtà contenga un ransomware.
Il sito compromesso quindi reindirizza ad una pagina che chiede all’utente di scaricare una versione più recente di alcuni software, come il browser, plug-in o un lettore multimediale.
I reindirizzamenti web come questo sono particolarmente difficili da individuare per gli utenti che non sono in grado di analizzare il codice di ogni sito che visitano.
3. Malvertising e Compromissione del Browser
Se nel browser è presente una vulnerabilità senza patch, può verificarsi un attacco di malvertising. Sfruttando annunci pubblicitari, i criminali informatici possono inserire il codice dannoso che permetterà di scaricare il ransomware una volta visualizzato l’annuncio.
Sebbene questo sia un vettore ransomware meno comune, rappresenta un vero e proprio pericolo perché in questo caso l’utente non deve fare alcuna azione come il download di un file o l’abilitazione di una macro.
4. Kit di Exploit per Malware Personalizzati
Angler, Neutrino e Nuclear sono kit di exploit che sono stati ampiamente utilizzati in attacchi ransomware. Questi framework sono kit con exploit predefiniti che colpiscono vulnerabilità nei plugin del browser come Java e Adobe Flash.
Anche Microsoft Internet Explorer Microsoft Silverlight sono obiettivi molto comuni. Ransomware come Locky e CryptoWall sono stati distribuiti tramite kit di exploit su siti tramite campagne di malvertising.
5. File Infetti e Download di Applicazioni
Qualsiasi file o applicazione con all’interno un ransomware può essere scaricata. I software “craccati” presenti su siti illegali di condivisione di file sono pronti per un compromesso e spesso non sono carichi di malware.
I criminali informatici sono in grado di sfruttare anche siti web legittimi per veicolare un attacco ransomware. È sufficiente che gli utenti scarichino il file o l’applicazione e il ransomware infetta il dispositivo.
6. Applicazioni di Messaggistica Come Vettori di Attacchi
Attraverso applicazioni come Whatsapp e Facebook Messenger, il ransomware può presentarsi come un file vettoriale (SVG) per caricare un file che ignora i tradizionali filtri di estensione. Poiché i file SVG si basano su XML, i criminali informatici sono in grado di includere qualsiasi tipologia di contenuto.
Una volta effettuato l’accesso, il file infetto indirizza le vittime verso un sito apparentemente legittimo. Dopo il caricamento, alla vittima viene richiesto di accettare l’installazione che, se completata distribuisce il payload e si diffonde tra gli altri contatti.
7. Internet Desktop Remote
I criminali informatici utilizzano ransomware come SamSam per compromettere direttamente i dispositivi utilizzando un attacco forzato attraverso server RDP (Remote Desktop Protocol).
RDP consente all’amministratore IT di accedere e controllare da remoto il dispositivo di un utente, ma allo stesso tempo può essere sfruttato come veicolo per infettare dispositivi.
I criminali informatici possono cercare dispositivi vulnerabili utilizzando strumenti come Shodan e scanner di porte come Nmap e Zenmap.
Una volta identificate le macchine, i criminali informatici possono ottenere l’accesso forzando la password e accedendo come amministratore. La combinazione di password deboli o predefinite e strumenti per compromettere account com Aircrack-ng, John The Ripper e DaveGrohl consentono di raggiungere l’obiettivo.
Una volta effettuato l’accesso come amministratore, i criminali hanno il pieno controllo del dispositivo e sono in grado di crittografare i dati; potrebbero inoltre disabilitare la protezione dei dispositivi ed eliminare i backup.
In Conclusione
I ransomware continuano a evolversi, in particolare i ransomware-as-a-service che sono sempre più diffusi. Gli sviluppatori di malware vendono ransomware personalizzati ai criminali informatici in cambio di una percentuale di profitto. L’acquirente decide obiettivi e modalità di consegna.
Questa suddivisione del lavoro e dei rischi sta portando allo sviluppo di malware sempre più sofisticati, innovazione nei metodi di consegna e una frequenza più elevata di attacchi ransomware.
Diventa fondamentale per le aziende investire in soluzioni per la protezione di dispositivi e reti e per la prevenzione da violazioni che si verificano sfruttando l’intelligenza artificiale.
La nuova generazione di endpoint protection permette di proteggere la rete e tutti i dispositivi endpoint contro qualsiasi tipo di minaccia, conosciuta ed ignota, compresi gli attacchi zero-day.
Prevenzione, rilevamento, risposta, remediation ed analisi forense in un'unica piattaforma completa ed integrata basata su machine learning ed intelligenza artificiale.
Se vuoi avere maggiori informazioni su SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per richiedere una demo gratuita della soluzione.
In alternativa, puoi compilare il form sottostante con la tua domanda.
