Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Tutto Quello Che Devi Sapere Su Cryptolocker.pdf
1. Tutto Quello Che Devi Sapere Su
Cryptolocker
Leggi la seguente guida e scopri cos’è CryptoLocker, come funziona e
cosa puoi fare per sbarazzartene.
Cos'è CryptoLocker?
CryptoLocker è un ormai noto malware particolarmente dannoso per
qualsiasi organizzazione lavori con i dati.
Una volta che il codice viene eseguito, crittografa i file su desktop e reti
condivise e li tiene in ostaggio, chiedendo a chiunque tenti di aprire i file di
pagare un riscatto per decrittarli.
2. Per questo motivo, CryptoLocker e le sue varianti sono diventate note
come ransomware.
Malware come CryptoLocker possono entrare in una rete protetta
attraverso molti vettori, inclusi e-mail, siti di condivisione di file e
download.
Le nuove varianti hanno eluso le tecnologie antivirus e firewall, ed è
ragionevole aspettarsi che nel prossimo futuro ne verranno fuori altre in
grado di aggirare le misure preventive.
Ciononostante, è altamente consigliato rafforzare i controlli di accesso
in modo da limitare la portata dei danni causati da un host infetto e, allo
stesso modo, attenti e ripetuti controlli investigativi e correttivi sono
consigliati per creare una linea di difesa successiva.
Alla fatidica domanda: “Dovresti pagare il riscatto?” ha risposto l’esperto di
Cyber Reputation and Security Andrea Baggio: ti anticipo che la risposta
non è affatto scontata.
Cosa fa CryptoLocker?
All'esecuzione, CryptoLocker inizia a scansionare le unità di rete
mappate a cui è connesso l'host per rintracciare cartelle e documenti.
Dopodiché rinomina e crittografa i contenuti che ha il permesso di
modificare a seconda delle credenziali concesse dall'utente che esegue il
codice.
CryptoLocker utilizza una chiave RSA a 2048 bit per crittografare i file e
rinomina i file aggiungendo un'estensione, come .encrypted oppure
.cryptolocker oppure .[7 caratteri casuali], a seconda della variante.
3. Infine, il malware crea un file in ciascuna directory interessata collegandola
a una pagina Web che contiene le istruzioni di decrittografia che
richiedono all'utente di effettuare un pagamento (spesso tramite
bitcoin).
I nomi dei file delle istruzioni sono generalmente
DECRYPT_INSTRUCTION.txto DECRYPT_INSTRUCTIONS.html.
Man mano che vengono scoperte nuove varianti, la lista dei tipi di
ransomware si aggiorna.
Ad esempio, una variante nota come CTB-Locker crea un singolo file nella
directory in cui inizia per la prima volta a crittografare i file, denominati
!Decrypt-All-Files-[7 caratteri RANDOM].TXT oppure !Decrypt-All-Files-[7
caratteri RANDOM].BMP.
Come prevenire CryptoLocker
Il danno che il malware può infliggere è proporzionato al numero di file ai
quali ha accesso.
4. Limitare l'accesso è quindi un accorgimento prudente che potrà farti
ridurre la quantità di materiale che può essere crittografato: oltre a offrire
una linea di difesa per il malware, mitigherà la potenziale esposizione ad
altri attacchi da parte di attori interni ed esterni.
Sebbene raggiungere un modello con privilegi minimi non sia una
soluzione rapida, è possibile ridurre rapidamente l'esposizione rimuovendo
i gruppi di accesso globale non necessari dagli elenchi di controllo degli
accessi.
Gruppi come “Everyone”, “Authenticated Users” e “Domain Users”, se
utilizzati su contenitori di dati (come cartelle e siti di SharePoint), possono
esporre intere gerarchie di utenti di un'azienda.
5. Oltre ad essere facili bersagli di furto o uso improprio, è molto probabile
che questi set di dati esposti vengano danneggiati da un attacco di
malware.
Infatti, sui file server queste cartelle sono note come “condivisioni aperte”
nel caso in cui sia il file system che le autorizzazioni di condivisione sono
accessibili tramite un gruppo di accesso globale.
Per trovare ed eliminare i gruppi di accesso globali puoi utilizzare
tecnologie apposite; tuttavia è anche possibile individuare le condivisioni
aperte creando un utente che non appartenga a nessun gruppo e
utilizzando le credenziali di tale account per esaminare l'ambiente di
condivisione dei file.
Anche i comandi net di base di una shell cmd di Windows possono
essere utilizzati per enumerare e testare le condivisioni per l'accessibilità:
● net view (enumera gli host vicini)
● net view host (enumera le condivisioni)
● net use X: hostshare (mappa una guida alla condivisione)
● dir /s (enumera tutti i file leggibili dall'utente sotto la condivisione).
Questi comandi possono essere facilmente combinati in uno script batch
per identificare cartelle e file ampiamente accessibili.
Rimediare a questi senza automazione, purtroppo, può trasformarsi in un
processo lungo e rischioso, poiché è facile influenzare la normale attività
aziendale se non si sta attenti.
6. Pertanto, se scopri una grande quantità di cartelle accessibili, considera
una soluzione automatizzata.
Le soluzioni automatizzate possono anche aiutarti ad andare oltre
l'eliminazione dell'accesso globale, rendendo possibile ottenere un vero
modello con privilegi minimi ed eliminare allo stesso tempo la gestione
manuale e inefficace del controllo degli accessi .
Come rilevare CryptoLocker
Spoiler: se vuoi passare direttamente all’azione, abbiamo preparato una
lista con i 150 migliori strumenti per decrittare ransomware cryptolocker.
Ora entriamo nelle pieghe tecniche della rilevazione.
Se l'attività di accesso ai file viene monitorata sui file server interessati, si
osserveranno dei comportamenti anomali che generano un numero
molto elevato di tentativi di apertura, modifica e creazione a un ritmo
molto rapido e saranno, pertanto, abbastanza facili da individuare con
l'automazione che fornisce un prezioso controllo investigativo.
Ad esempio, se un singolo account utente modifica 100 file in un minuto,
puoi scommettere che si tratti di un procedimento automatizzato.
Configura la tua soluzione di monitoraggio per attivare un avviso nel
caso venga osservato questo comportamento.
Se non disponi di una soluzione automatizzata per monitorare l'attività di
accesso ai file, potresti essere costretto ad attivare il native auditing.
In generale, però, sia il native auditing che i sistemi di monitoraggio fiscale
e l'output sono sfortunatamente difficili da decifrare.
7. Invece di tentare di abilitare e raccogliere log di audit nativi su ogni
sistema, dai la priorità alle aree particolarmente sensibili e valuta la
possibilità di impostare un honeypot di condivisione file.
Una condivisione di file honeypot è una condivisione di file accessibile che
contiene file che sembrano normali o preziosi, ma in realtà sono falsi.
Poiché nessuna attività utente legittima deve essere associata a una
condivisione di file honeypot, qualsiasi attività osservata deve essere
esaminata attentamente.
Se i comandi manuali saranno bloccati, dovrai abilitare il native auditing per
registrare l'accesso e creare uno script per avvisarti quando le attività
vengono iscritte nel registro degli eventi di sicurezza (ad esempio
utilizzando dumpel.exe).
Se il tuo meccanismo di controllo investigativo può attivare una risposta
automatica, come la disabilitazione dell'account utente, l'attacco
viene effettivamente fermato prima di infliggere ulteriori danni.
Ad esempio, la risposta a un utente che genera più di 100 azioni di
modifica in un minuto potrebbe includere:
● Notifica agli amministratori IT e della sicurezza (includi il nome utente
e il computer interessati)
● Controllo del registro della macchina per chiavi / valori noti creati da
CryptoLocker:
● Get-Item HKCU:SoftwareCryptoLockerFiles).GetValueNames()
● se il valore esiste, disabilita automaticamente l'utente.
8. Se l'attività di accesso registrata viene salvaguardata ed è adeguatamente
ricercabile, diventa preziosa negli sforzi di ripristino, poiché fornisce una
raccolta completa di tutti i file, account utente e (potenzialmente) host
interessati.
A seconda della variante di CryptoLocker, la crittografia può essere
reversibile con un disassemblatore in tempo reale.
Suggerimenti per la sicurezza contro i ransomware
A conclusione, ti consegno dei piccoli e semplici suggerimenti per
potenziare la sicurezza del tuo dispositivo contro il ransUpdate antivirus
and endpoint protection softwareomware.
● Aggiorna il tuo antivirus e il software di protezione degli
endpoint: queste soluzioni possono aiutare a rilevare alcuni tipi di
ransomware e impedire che crittografino i tuoi file.
9. ● Evita le truffe di phishing: le e-mail di phishing sono il modo più
comune con cui si diffondono i ransomware.
● Conserva i backup dei tuoi documenti: è molto più veloce e facile
recuperare i tuoi documenti da un backup piuttosto che decrittarli nel
caso siano stati compromessi da un attacco ransomware.
● Impegnati a seguire un modello di zero trust o privilegi minimi: il
ransomware può influire solo sulle cartelle in cui un utente può
scrivere, un modello con privilegi minimi limita l'accesso solo a ciò
che è assolutamente necessario.
● Monitora l'attività dei file e il comportamento degli utenti per
rilevare, avvisare e rispondere a potenziali attività di ransomware.
Nuove varianti di ransomware stanno spuntando continuamente: contatta il
team forense dedicato alla sicurezza di HelpRansomware e aggiorna
diligentemente le firme ransomware rilevate in rete.