Uscire dal labirinto: guida veloce per difendersi dal ransomware Maze ( e da tutti i ransomware)

27 aprile 2020
Uscire dal labirinto: guida veloce per difendersi dal ransomware Maze ( e da tutti i ransomware)

A partire dalla fine del 2019, il ransomware Maze è diventato (tragicamente) famoso per le sue attività di criptazione, furto dati e vendita dei dati rubati online. Tra i motivi della sua popolarità anche il fatto che mira sempre obiettivi specifici e che chiede riscatti molto alti.

Fin dalla sua prima individuazione, risalente al Maggio 2019, i gestori di Maze si sono rivolti contro più settori, tra i quali però spiccano quello sanitario e della ricerca, perchè rappresentano un vero e proprio tesoro di dati sensibili. Questo non significa che Maze non abbia preso di mira anche aziende private e enti pubblici / governativi. Nella maggior parte dei casi, gli attaccanti si sono presentati come agenzie governative o vendor di soluzioni di sicurezza, inviando email ai dipendenti per convincerli ad aprire allegati o collegarsi a siti web: in alcuni casi invece le reti erano già state violate molto tempo prima della distribuzione del ransomware.

Le richieste di riscatto variano in base ai dati sottratti dalla rete compromessa, ma anche dalla capacità di pagamento della vittima. Le richieste di riscatto, rigorosamente in Bitcoin, variano dalle poche centinaia ai milioni di dollari.

Maze non usa soltanto le email come vettore di attacco, ma anche exploit kit come fallout EK e Spelevo EK, che sfruttano vulnerabilità di Adobe Flash Player e Internet Explorer (CVE-2018-8174, CVE-2018-4878 e CVE-2018-15982), e attacchi RDP. Vi sono stati comunque anche rari casi di impiego di diversi vettori.

Sotto è possibile vedere una tipica nota di riscatto di Maze, lasciata in ogni cartella contenente file criptati

Se l'attacco ha successo e la vittima non risponde alle richieste di riscatto, gli attaccanti pubblicano i dati criptati e li mettono in vendita nel dark web.

Le soluzioni di sicurezza di Quick Heal sono equipaggiate con tecnologie di individuazione multi livello come IDS/IPS, DNA Scan, Controllo Email, Sistema di individuazione comportamentale e funzionalità anti ransomware brevettata. Questo approccio multi livello ci aiuta a proteggere i nostri clienti dal ransomware Maze e da altre minacce, sconosciute e conosciute.

Misure preventive:

Uno dei mezzi di diffusione più usati da Maze è quello delle email di phishing contenenti allegati in formati Microsoft Office, ma anche siti web fake / di phishing compromessi con gli exploit kit. Consigliamo quindi ai nostri utenti finali di prestare estrema attenzione nel gestire email provenienti da fonti sconosciute e email contenenti allegati MS Office (sopratutto nel caso in cui venisse richiesta l'abilitazione di una macro per poter correttamente visualizzare il documento allegato).

Vi sono però alcune linee guida che riteniamo utili fornire perchè aiutano a ridurre al minimo la superficie di attacco, quindi i possibili danni all'infrastruttura IT.

Patch per Sistemi operativi e Software:

E' molto importante mantenere aggiornati i Sistemi Operativi e i software in uso. Gli aggiornamenti dei software contengono spesso patch per nuove vulnerabilità individuate recentemente, che potrebbero essere sfruttate dagli attaccanti.
Bisogna prestare attenzione agli aggiornamenti e alle patch di software come Microsoft Office, Java, Adobe Reader, Adobe Flash, ma anche ai browser come Internet Explorer, Chrome, Firefox, Opera... compresi i plugin dei browser.
Anche le soluzioni di sicurezza (antivirus e firewall) vanno aggiornate costantemente per poter proteggere computer e dispositivi da nuove varianti malware.
Non scaricare software cracckati / piratati, perchè potrebbero contenere backdoor utilizzabili per installare malware sul computer.
E'importante evitare il download da software P2P non verificati o da siti torrent. Nella maggior parte dei casi questi diffondono solo malware.

Utenti e Privilegi:

E' utile verificare gli utenti Amministratori e utenti standard, rimuovendo o disabilitando quelli non utili.
Cambiare le password di tutti gli account con una password unica e molto complessa per ogni computer (usano caratteri maiuscoli, minuscoli, numeri, caratteri speciali). Evitare però alcune password apparentemente complesse, ma banali come P@assw0rd o Admin@123# ecc...).
Impostare una durata massima delle password e un numero massimo di tentativi di inserimento password errata prima del lockdown.
Non assegnare privilegi di amministrazione agli utenti.
Dove possibile, abilitare l'autenticazione multi-fattore.
Evitare di rimanere loggati come amministratori, se non strettamente necessario.
Evitare la navigazione, l'apertura di documenti e altre regolari attività lavorative mentre si è loggati come amministratori.

Disabilitare le macro per Microsoft Office:

Non abilitare le macro ne la modalità di modifica di default all'esecuzione di un documento. specialmente se l'allegato è arrivato via email. Moltissimi malware riescono a infettare i computer proprio grazie al fatto che la vittima abilita la macro dannosa.
Prendere in considerazione l'installazione di Microsoft Office Viewers: questa applicazione consente di visualizzare l'aspetto di un documento senza aprirlo con Word o Excel. Questo software di visualizzazione inoltre non supporta affatto le macro, quindi azzera il rischio che l'utente possa abilitarle, anche involontariamente.
Mantenere aggiornati gli antivirus e le firme.
Indubbiamente ci sono molti benefici a mantenere aggiornate le soluzioni antivirus e altre protezioni basate sulle firme dei malware.
Se le protezioni basate sulle firme dei malware non sono sufficienti, da sole, ad individuare e prevenire un sofisticato attacco ransomware pensato appositamente per evadere le tradizionali protezioni, queste restano comunque importanti meccanismi nell'ambito di una protezione completa della rete e dei dispositivi.
Antivirus aggiornati mantengono le reti e gli endpoint al riparo da malware conosciuti che hanno già una firma esistente e riconosciuta.
E' molto importante non ignorare, e anzi prestare la massima attenzione, agli alert visualizzati dal sistema di individuazione comportamentale e dal sistema di Protezione Antiransomware. E' consigliato bloccare / negare qualsiasi applicazione non conosciuta individuata da questi sistemi.

Navigare in sicurezza

E' consigliabile il blocco dei pop-up nel browser.
E' molto utile verificare sempre se si stia accedendo ad un sito genuino verificandone l'indirizzo nella barra degli indirizzi del browser. Siti di phishing infatti potrebbero mostrare contenuto genuino, ma sono individuabili tramite gli indirizzi.
Mettere tra i segnalibri i siti visitati quotidianamente, per evitare di essere vittime di phishing.
Non condividere informazioni sensibili non conosciuti come nome, numero di telfono, email, credenziali di accesso a vari account su siti web.
Evitare di installare sul browser estensioni sulle quali non si ha piena certezza.

Backup dei dati e dei file

La migliore protezione contro i ransomware è disporre di un backup dei file più importanti che venga eseguito ciclicamente.
E' preferibile l'esecuzione automatica dei backup su tutti gli endpoint in uso ai dipendenti.
E' consigliabile memorizzare il backup in un luogo sicuro e separato fisicamente da reti insicure.
Usare sempre una combinazione di backup online e offline.
In caso di attacco ransomware, non recuperare i file da backup fintanto che l'infezione malware non è stata risolta.
Non lasciare connessi al proprio sistema i backup offline: in caso di attacco ransomware finirebbe criptato anche quello.

Sicurezza email

Rafforzare le misure di sicurezza che le email prevedono per l'individuazione di allegati dannosi.
Implementare l'autenticazione multi fattore.
Impostare sia la scadenza delle password che le policy di lockdown.
Mantenere sempre attiva la protezione email del software antivirus.
Prestare attenzione agli allegati email

Formazione dei dipendenti

La maggior parte dei cyber incidenti avviene a causa di errori umani. E' importante formare i dipendenti perchè sappiano riconoscere queste potenziali minacce. Rispetto ai ransomware è utile concentrarsi sulle email di phishing e di spam, dato che sono vettori di attacco comunemente utilizzati. Un dipendente consapevole e ben formato può impedire un disastro annunciato. Impostare policy di segnalazione immediata non appena vengono riscontrare stranezze.

Ultime news

Per saperne di più

Seqrite Endpoint Security (EPS) supporta Windows 11

15 ottobre 2021

Microsoft ha pubblicato il suo nuovo sistema operativo, Windows 11. In questo articolo sottolineamo alcune delle novità chiave di ...

Per saperne di più

Vishing e smart working: tecniche di attacco e come difendersi

01 ottobre 2021

Il Vishing non è altro che una variante del phishing: in questo caso è il telefono il vettore utilizzato per portare a termine un ...

Per saperne di più

Che cosa è la Data Privacy e perchè è così importante?

22 settembre 2021

Traduzione dell'intervista a Aparajithan Vaidyanathan - Senior Director - Technical Architecture & Innovation, Technical Archi...

P.IVA: 05345670482

	Global
	Italy
	Japan
	Poland
	LATAM

	Global
	Italy
	Japan
	Poland
	LATAM

PROTEZIONE ENDPOINT E DATI

SICUREZZA GATEWAY

PROTEZIONE SERVER

27 aprile 2020Uscire dal labirinto: guida veloce per difendersi dal ransomware Maze ( e da tutti i ransomware)

Ultime news

Seqrite Endpoint Security (EPS) supporta Windows 11

Vishing e smart working: tecniche di attacco e come difendersi

Che cosa è la Data Privacy e perchè è così importante?

Supporto

Risorse

Chi siamo

27 aprile 2020
Uscire dal labirinto: guida veloce per difendersi dal ransomware Maze ( e da tutti i ransomware)