A proposito del ransomware Ryuk
Credit to Author: Sophos Italia| Date: Fri, 11 Oct 2019 06:49:28 +0000
Nelle ultime settimane i SophosLabs hanno registrato un picco significativo nel ransomware Ryuk. Questa minaccia particolarmente dannosa viene lanciata attraverso un sofisticato attacco in più fasi, paralizzando le organizzazioni e lasciandole in ostaggio di onerosi riscatti.
Per capire come fermare Ryuk è utile sapere come si svolgono gli attacchi.
Gli attori dietro Ryuk sono avversari attivi che combinano tecniche di attacco avanzate con l’hacking interattivo e pratico per aumentare il loro tasso di successo.
Si rivolgono in genere a organizzazioni che non possono resistere a tempi di inattività, come giornali, comuni e servizi pubblici, per aumentare la probabilità di pagamento. E a proposito di pagamenti, spesso si tratta di somme a 6 cifre pagabili in Bitcoin.
Gli attacchi Ryuk sono complessi. Spesso iniziano con un’aggressione Emotet o TrickBot, consegnata tramite allegati dannosi in e-mail di spam, che consente ai criminali informatici di accedere alla tua rete.
Una volta dentro, essi rubano le credenziali e creano un nuovo utente amministratore. Con i loro privilegi di amministratore, gli hacker possono spostarsi all’interno della rete, esaminare Active Directory ed eliminare i backup.
Dopo aver rimosso la rete di sicurezza, tentano di disabilitare i prodotti di sicurezza informatica prima di rilasciare finalmente il ransomware Ryuk, crittografando i file e richiedendo enormi pagamenti di riscatto.
Come fermare Ryuk con Sophos Intercept X Advanced
Fermare Ryuk non significa solo bloccare un pezzo di software, si tratta di fermare un avversario attivo e interrompere la catena di attacco che lo mette in grado di far funzionare Ryuk. Sophos Intercept X Advanced racchiude al suo interno una gamma di tecnologie per rilevare e interrompere diverse fasi dell’attacco, tra cui:
- Rilevamento e blocco delle tecniche di exploit utilizzate per scaricare e installare Emotet e Trickbot (spesso tramite PowerShell o WMI), impedendo agli hacker di accedere alla rete.
- Blocco dei movimenti laterali attraverso la rete lavorando in tempo reale con Sophos XG Firewall.
- Prevenzione del furto di credenziali, impedendo così l’accesso non autorizzato ai sistemi e l’escalation dei privilegi di amministratore.
- Arresto dell’esecuzione del ransomware esaminando il suo “DNA” con la nostra rete neurale di deep learning.
- Rilevamento e rollback della crittografia non autorizzata dei file tramite le funzionalità di CryptoGuard
Guarda questo video per vedere le funzionalità di CryptoGuard in Intercept X in merito al rollback del ransomware Ryuk.
Testa la protezione anti-ransomware di Intercept X. Per te con una prova gratuita di 30 giorni.
Il tuo team dedicato di cacciatori di minacce
Mentre molti ceppi di ransomware sono distribuiti tramite campagne di spam su larga scala, Ryuk utilizza mezzi automatizzati per ottenere un punto d’appoggio iniziale, quindi utilizza l’ingegno umano per eludere il rilevamento. In altre parole, c’è un essere umano dietro l’attacco il cui obiettivo è quello di aggirare o manipolare i controlli di sicurezza esistenti.
Per attacchi avversi attivi come questi, avere una squadra dedicata di cacciatori di minacce ed esperti di risposta può fare la differenza. Il team di Sophos Managed Threat Response caccia in modo proattivo, rileva e risponde agli attacchi in tempo reale per neutralizzare il ransomware e altre minacce avanzate prima che possano compromettere i dati. Scopri di più su Sophos MTR oggi.
Best practice per arrestare il ransomware
Indipendentemente dalle dimensioni della tua azienda e dal settore in cui ti trovi, ti consigliamo di seguire queste best practice per ridurre al minimo il rischio di cadere vittima di un attacco di ransomware:
- Educa i tuoi utenti. Insegna loro l’importanza delle password complesse e attiva l’autenticazione a due fattori ovunque sia possibile.
- Proteggi i diritti di accesso. Offri agli account utente e agli amministratori solo i diritti di accesso di cui hanno bisogno e niente di più.
- Effettua backup regolari e tienili fuori sede dove i cybercriminali non riescono a trovarli. Potrebbero essere la tua ultima linea di difesa contro una richiesta di riscatto a sei cifre.
- Aggiorna sempre e spesso. Ransomware come WannaCry e NotPetya si sono affidati a vulnerabilità senza patch per diffondersi in tutto il mondo.
- Blocca il tuo PSR. Disattiva RDP se non ti serve e utilizza la limitazione della velocità, 2FA o una VPN se lo fai.
- Assicurati che la protezione antimanomissione sia abilitata. Ryuk e altri ransomware tentano di disabilitare la protezione dell’endpoint. La protezione antimanomissione è progettata per impedire che ciò accada.
- Educa la tua squadra al phishing. Il phishing è uno dei principali meccanismi di consegna del ransomware.
- Usa la protezione anti-ransomware. Sophos Intercept X e XG Firewall sono progettati per funzionare insieme nella lotta al ransomware e ai suoi effetti. Sophos Managed Threat Response (MTR) fornisce un team di cacciatori di minacce che cercano, rilevano e neutralizzano in modo proattivo attacchi che richiedono l’intervento umano.