Cybersecurity

Ransomware: attacchi tramite sessioni remote, che fare?

27 Gennaio 2017

Il ransomware, in tutte le sue varianti, continua a imperversare e mietere vittime. L’ultima novità è la diffusione dei CryptoVirus tramite sessioni remote RDP.

E’ il momento di passare al contrattacco con tecniche di prevenzione immediate e con soluzioni a lungo termine.

Dopo mesi di esperienza sul campo, abbiamo parlato di questo nuovo tipo di attacco nel webinar: “Ransomware: attacchi tramite sessioni remote, che fare?”.

Guarda la registrazione della sessione, al termine saprai tutto sulla diffusione dei CryptoVirus tramite sessioni remote RDP:
 

  • quali sono le ultime modalità di attacco e diffusione; 
  • cosa monitorare per bloccare l’infezione;
  • come prevenire e curare un’infezione di questo tipo.

 

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.
Commenti (6)
Iscriviti
Notificami
guest
6 Commenti
Più vecchio
Più recente Più votato
Inline Feedbacks
Guarda tutti i commenti
Claudio Panerai
Claudio Panerai
7 anni fa

Cancellare la partizione è un’operazione sofisticata, sempra quasi un attacco di uno che sapeva cosa cercare.

Claudio Panerai
Claudio Panerai
7 anni fa

Mi spiace che i tuo collega abbia avuto questa disavventura.
Oltre a un "frequente" cambio di password non posso che consigliare la chiusura totale di RDP: come detto all’interno del webinar se si utilizzano strumenti RMM, anche con RDP chiuso si può accedere in controllo remoto ai server.

Daniele Ipekdjian
Daniele Ipekdjian
7 anni fa

Certo, anche se la cancellazione di un volume da un NAS è una novità.
Al momento il collega sta recuperando la partizione, sembra sia solo stata cancellata e non crittografato il contenuto.
Il fatto che il NAS in questione fosse a singolo disco e non presentasse RAID semplifica di molto le cose.
In realtà sembra fosse presente anche una pianificazione per un backup su supporto removibile, ma che il cliente non collegava da un anno…
Cercheremo di capire dai log del NAS che comando hanno usato per effettuare la cancellazione, io suppongo qualche script telnet/SSH.

Daniele Ipekdjian
Daniele Ipekdjian
7 anni fa

Volevo segnalare a proposito dell’argomento che questa notte il server di un cliente di un mio collega è stato forato da un attacco brute force sull’utente Administrator del server tramite porta RDP non standard.
La password era complessa ma non veniva cambiata da un po’.

La particolarità di questo attacco è che sul NAS Synology, destinato all’archiviazione dei backup, è stato cancellato il volume del disco!!!

Utente e password erano complessi e differenti da quelli del server, e non era mappato in rete ma la connessione avveniva solo in fase di scrittura dei backup.

Alessandro Veglia
Alessandro Veglia
6 anni fa

Ma se il collegamento RDP vine fatto solo dopo aver stabilito un collegamento VPN, quindi senza porte aperte sul firewall verso tutti, possiamo ritenerci sicuri?

Claudio Panerai
Claudio Panerai
6 anni fa

@Alessandro: in quel caso la sicurezza aumenta di un livello in quanto non hai porte aperte verso l’esterno.
L’aspetto " negativo" di quello che dici tu è che devi "gestire" le VPN (anche se non conosco la tua situazione), quindi avrai da fare della gestione/manutenzione sul firewall, sul sistema di autenticazione ed eventualmente sui client.
Ad ogni modo non voglio fare terrorismo voglio solo dire che nell’informatica non c’è nulla sul quale possiamo dire "faccio così e me ne dimentico" 🙂