Viaggio alla scoperta dei Ransomware: metodi di infezione comuni

Viaggio alla scoperta dei Ransomware: metodi di infezione comuni

I ransomware rimangono la minaccia crescente con nuove famiglie rilasciate ogni settimana. Per questo motivo abbiamo creato una serie di articoli sugli attacchi ransomware, per offrirti una protezione aggiuntiva al nostro software, la consapevolezza. Essendo il primo articolo della serie, parleremo di come si diffonde un ransomware, ovvero del suo attacco.

Gli sviluppatori dei malware e gli hacker utilizzano varie tecniche per la diffusione dei loro malware. Ci sono tre metodi comuni che verranno approfonditi in questo articolo; allegati infetti e link malevoli nelle email, drive-by download ed attacchi RDP. Pensiamo di poterti aiutarti informandoti su questi rischi, così potrai prestare maggior attenzione alle aree di attacco e la prossima volta potrai prevenire le infezioni ancor meglio.

Ecco i metodi più comuni per le infezioni dei ransomware:

Malware via email: una vecchia tecnica, ma sempre attuale ed efficace

Questo metodo di infezione può avvenire in due modalità:

  • Scaricando un allegato infetto;
  • Cliccando un link malevolo in una email.

Entrambe le modalità necessitano di un’azione da parte tua, questi metodi sono abbastanza prevenibili.

Con gli allegati email malevoli, un hacker crea email fasulle spacciandosi per una compagnia legittima come FedExDPD. Un file malevole viene allegato alla mail, in forma zippata, come documento word o come uno script windows. A questo punto è necessario l’intervento dell’utente. Il ricevente apre l’allegato pensando che l’email provenga da una fonte sicura. Una volta che il file viene aperto, od in caso di un file word, che la macro sia abilitata, il ransomware viene scaricato e il processo di infezione inizia.

I link malevoli nelle email sono simili agli allegati, con l’eccezione che i link fanno parte del testo dell’email. Come prima, queste email sono inviate da una persona od una organizzazione che sembra legittima, e quando cliccherai sul link, il ransomware verrà scaricato.

Una email finta di PayPal in circolazione recita “misure di sicurezza” per apparire ancor più legittima, ma contiene persino degli errori di scrittura come “Y ou just need to..”

 

Email finte di USPS che affermano che il tuo pacco non può essere consegnato, offrendoti un link per stampare una nuova etichetta.

Sfortunatamente, al posto di consegnarti il tuo acquisto, ti viene servito un link fittizio contenente un ransomware, tutta la procedura è creata a regola d’arte e sembra incredibilmente legittima.

Lo stile professionale di queste email rende difficile notare la differenza da una email legittima e per questo sono molto efficaci.

Drive-by download: infettano il tuo sistema senza che tu te ne accorga

Gli exploit sono strumenti sofisticati che sfruttano le vulnerabilità in un sistema. Molto spesso vengono eseguiti quando una vittima visita un sito compromesso, intenzionalmente o meno, sarà reindirizzata da un sito legittimo hackerato ad un sito compromesso. Il codice malevolo è nascosto nel codice della pagina, molto spesso tra la pubblicità (malvertisement) e ti reindirizzerà sulla pagina attaccante, senza accorgerti di niente. Un esempio può essere quello del sito del New York Times e della BBC, furono hackerati e migliaia di utenti furono infettati da un sito esterno.

Se ci sono delle vulnerabilità nel tuo sistema, un attacco drive-by potrebbe avvenire in qualsiasi momento ed il tuo computer potrebbe venir compromesso da un ransomware.

La cosa peggiore è che questi tipi di attacchi molto spesso avvengono senza che l’utente debba fare niente, in quanto sfruttano i punti deboli dei software. Queste infezioni terminano con il blocco del computer e l’utente non avrà idea di cosa sia successo.

Attacchi continui ai server RDP infettano le reti aziendali rapidamente

Gli attacchi Remote Desktop Protocol, o RDP, od ‘attacchi a password stupide’ avvengono quando si lasciano delle porte RDP dei client aperte su internet, e, sapendo questo, gli hacker possono scansionare blocchi di indirizzi IP con le porte RDP aperte. Una volta trovate, gli hacker potranno lavorare da remoto sulle password del sistema, cercando di ottenere l’accesso all’account amministratore, utilizzando credenziali come nomeutente:admin e password:admin. Non sbagliarti, la cosa più semplice ed efficace da fare è utilizzare una password sicura, per tutti gli utenti, non solo per i server amministratori.

Dopo aver ottenuto l’accesso al sistema, gli hacker possono eseguire i file che mapperanno i dischi collegati al computer e cripteranno i file. Recentemente, tre database di organizzazioni della sanità sono stati compromessi in questa maniera. Una vulnerabilità nel sistema remote desktop protocol (RDP) è stata sfruttata da un exploit, e i file dei pazienti sono stati presi in ostaggio e più di 655,000 cartelle cliniche sono state vendute nel dark web.

Il disastro MongoDB ha visto 28,200 attacchi al server. Tutto è nato da qualche piccolo incidente che si è trasformato nella distruzione di centinaia di server MongoDB in un solo fine di settimana. Come hanno fatto gli hacker ad accedere ai server così velocemente? Prova ad immaginare. Gli attacker hanno colpito solo quei server lasciati accessibili da internet senza una password nell’account amministratore.

Accedere ad un network con 100 computer è veramente una miniera d’oro per gli hacker. Non solo perchè i file possono essere manipolati, ma anche per la potenza di calcolo dei computer. Una botnet può essere utilizzata per scopi malevoli che richiedono una grande potenza di calcolo. Una botnet tipica consiste in migliaia di computer controllati da un singolo terminale. Gli hacker adorano utilizzare le botnet perchè combinano la potenza di migliaia di computer per scagliarla contro un singolo target, possono inoltre inviare 100,000 email in una volta sola, diffondere i ransomware più rapidamente o catturare nome utente e password per gli exploit. Una volta che hanno ottenuto l’accesso tramite RDP, non potrai più fare niente sul tuo sistema.

Per prevenire i Ransomware necessiti di una protezione su più livelli

I ransomware riescono con facilità ad attaccare il tuo computer, ecco perchè la prevenzione è sempre l’arma migliore. Una suite anti-malware di qualità agisce come un muro solido per una protezione efficace, un rootkit non riuscirà mai a passare.

Ecco alcuni consigli pratici su come chiudere le vulnerabilità nel tuo sistema:

Previeni gli attacchi via email e drive-by con il buon senso

Pensa prima di cliccare. FedEx non ti manderebbe mai un allegato inerente alla spedizione, ma neanche un link ad una pagina web esterna chiedendoti maggior informazioni. Di conseguenza non ti invierebbe mai dei file eseguibili, un documento word od uno script Windows. Se non sei sicuro, prima di aprire la mail, collegati direttamente sul sito ufficiale ed effettua il login, invece di utilizzare il link dell’email.

Previeni gli attacchi RDP utilizzando passowrd complesse

Utilizza sempre password complesse, soprattutto per l’accesso dell’account amministratore. Considera anche di disabilitare l’account amministratore o rinominalo con un nome differente, meno banale. Assicurati che il sistema si blocchi dopo un determinato numero di tentativi falliti. In aggiunta, assicurati che il tuo sistema utilizzi un doppio fattore di autenticazione, specialmente per l’accesso all’account amministratore.

Esegui sempre un anti-malware efficiente per la tua azienda come Emsisoft Anti-Malware for Business, Emsisoft Anti-Malware for Server e gestisci tutte le protezioni centralmente con Emsisoft Enterprise Console.

Previeni ogni tipo di malware con regolari pulizie al sistema

Pulisci il computer regolarmente con questi 5 consigli per prevenire le infezioni dei ransomware.

Utilizza un anti-malware potente e tienilo aggiornato. Rimani protetto con Emsisoft Anti-Malware o scegli una protezione superiore con Emsisoft Internet Security: tutta la potenza del nostro anti-malware con l’aggiunta di un firewall.

Come puoi vedere questi sono vari metodi con i quali i ransomware cercano di entrare nel tuo computer. Alcuni sono prevenibili tramite le tue prevenzioni, altri richiedono una protezione addizionale da parte di una suite di protezione. Ora che conosci i pericoli, speriamo che starai più attento leggendo la prossima email ed aprendo il prossimo sito web. E’ sempre meglio prevenire che curare un ransomware, preparati!

Questo è il nostro primo articolo di una serie sui ransomware. Rimani aggiornato per la seconda parte!

Ti auguriamo una buona giornata, libera dai ransomware!