Cybersecurity

Ransomware: attacchi tramite sessioni remote, che fare?

27 Gennaio 2017

Il ransomware, in tutte le sue varianti, continua a imperversare e mietere vittime. L’ultima novità è la diffusione dei CryptoVirus tramite sessioni remote RDP.

E’ il momento di passare al contrattacco con tecniche di prevenzione immediate e con soluzioni a lungo termine.

Dopo mesi di esperienza sul campo, abbiamo parlato di questo nuovo tipo di attacco nel webinar: “Ransomware: attacchi tramite sessioni remote, che fare?”.

Guarda la registrazione della sessione, al termine saprai tutto sulla diffusione dei CryptoVirus tramite sessioni remote RDP:
 

  • quali sono le ultime modalità di attacco e diffusione; 
  • cosa monitorare per bloccare l’infezione;
  • come prevenire e curare un’infezione di questo tipo.

 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (6)

Cancellare la partizione è un’operazione sofisticata, sempra quasi un attacco di uno che sapeva cosa cercare.

Claudio Panerai,

Mi spiace che i tuo collega abbia avuto questa disavventura.
Oltre a un "frequente" cambio di password non posso che consigliare la chiusura totale di RDP: come detto all’interno del webinar se si utilizzano strumenti RMM, anche con RDP chiuso si può accedere in controllo remoto ai server.

Claudio Panerai,

Certo, anche se la cancellazione di un volume da un NAS è una novità.
Al momento il collega sta recuperando la partizione, sembra sia solo stata cancellata e non crittografato il contenuto.
Il fatto che il NAS in questione fosse a singolo disco e non presentasse RAID semplifica di molto le cose.
In realtà sembra fosse presente anche una pianificazione per un backup su supporto removibile, ma che il cliente non collegava da un anno…
Cercheremo di capire dai log del NAS che comando hanno usato per effettuare la cancellazione, io suppongo qualche script telnet/SSH.

Daniele Ipekdjian,

Volevo segnalare a proposito dell’argomento che questa notte il server di un cliente di un mio collega è stato forato da un attacco brute force sull’utente Administrator del server tramite porta RDP non standard.
La password era complessa ma non veniva cambiata da un po’.

La particolarità di questo attacco è che sul NAS Synology, destinato all’archiviazione dei backup, è stato cancellato il volume del disco!!!

Utente e password erano complessi e differenti da quelli del server, e non era mappato in rete ma la connessione avveniva solo in fase di scrittura dei backup.

Daniele Ipekdjian,

Ma se il collegamento RDP vine fatto solo dopo aver stabilito un collegamento VPN, quindi senza porte aperte sul firewall verso tutti, possiamo ritenerci sicuri?

Alessandro Veglia,

@Alessandro: in quel caso la sicurezza aumenta di un livello in quanto non hai porte aperte verso l’esterno.
L’aspetto " negativo" di quello che dici tu è che devi "gestire" le VPN (anche se non conosco la tua situazione), quindi avrai da fare della gestione/manutenzione sul firewall, sul sistema di autenticazione ed eventualmente sui client.
Ad ogni modo non voglio fare terrorismo voglio solo dire che nell’informatica non c’è nulla sul quale possiamo dire "faccio così e me ne dimentico" 🙂

Claudio Panerai,

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.