ALERT RANSOMWARE
Nelle scorse settimane, l’agenzia americana di CyberSecurity ha lanciato due allarmi Ransomware particolarmente rilevanti relativo al ransomware “MedusaLocker” e all’attività di esfiltrazione dati eseguita dal gruppo di criminali informatici conosciuto come “Karakurt”.
L’allarme rilanciato dalla nostra agenzia nazionale, assume particolare rilevanza e noi lo abbiamo classificato come gravità “ALTA” in quanto rilevato un preoccupante incremento di queste attività anche in Toscana.
Mentre i criminali che utilizzano il ransomware “MedusaLocker” ottengono molto spesso l’accesso ai dispositivi delle vittime attraverso configurazioni vulnerabili del Remote Desktop Protocol (RDP) e/o mediante campagne di posta elettronica di phishing e spam, allegando direttamente il ransomware all’e-mail, come vettori di intrusione iniziale per poi procedere alla CRITTOGRAFIA dei files e procedere alla richiesta di riscatto, il gruppo di criminali conosciuto come “Karakurt” non utilizza la crittografia dei files per la richiesta di riscatto, ma rubano i dati e minacciano di metterli all’asta o di renderli noti sul web inviando un link a tutti i vostri contatti ed altre migliaia di email pubbliche, a meno che non ricevano il pagamento del riscatto richiesto.
Le richieste di riscatto conosciute, sono andate da € 25.000 a € 13.000.000 in Bitcoin, con scadenze di pagamento che in genere scadono entro una settimana dal primo contatto con la vittima.
Data la gravità di questi allarmi si invitano tutti gli utenti ad adottare quanto prima le seguenti misure di mitigazione (che poi sono sempre le stesse e valgono anche per altre minacce):
• Implementare un piano di ripristino che mantenga e conservi più copie dei dati e/o dei server, sensibili o riservati, in una posizione fisicamente separata, segmentata e sicura (ad esempio: dispositivo di archiviazione esterno e cloud crittografato, ecc).
• Implementare la segmentazione della rete (vlan) e mantenere i backup dei dati offline in luogo sicuro (es. cassaforte) per garantire un’interruzione limitata dell’organizzazione.
• Eseguire regolarmente il backup dei dati e proteggere con password le copie di backup archiviate offline. Assicurarsi che le copie dei dati critici non siano accessibili per la modifica o l’eliminazione.
• Installa, aggiorna regolarmente e abilita il rilevamento in tempo reale per il software antivirus su tutti i dispositivi della rete.
• Utilizzare un sistema di protezione in grado di rilevare e bloccare programmi/processi potenzialmente pericolosi anche se non classificati e conosciuti dagli antivirus.
• Utilizzare un sistema di protezione che utilizzi un servizio di “Threat Hunting Investigation” per analizzare il flusso di telemetria e generare indicatori di attacco che consentano di bloccare attacchi in funzione di “schemi” di eventi che potrebbe appartenere a un attacco informatico.
• Eseguire una analisi di valutazione delle vulnerabilità della rete.
• Installare gli aggiornamenti per sistemi operativi, software e firmware il prima possibile.
• Esaminare i controller di dominio, i server, le workstation e le directory attive per individuare account nuovi e/o non riconosciuti.
• Controllare gli account utente con privilegi amministrativi e configurare i controlli di accesso in base al principio del minimo privilegio.
• Non concedere a tutti gli utenti privilegi amministrativi.
• Disabilitare le porte inutilizzate: nei sistemi operativi utilizzando i firewall software; nella connessione a internet preferibilmente mediante firewall hardware.
• Prendi in considerazione l’aggiunta di un banner e-mail alle e-mail ricevute dall’esterno dell’organizzazione.
• Disabilita i collegamenti ipertestuali nelle e-mail ricevute.
• Applicare l’autenticazione a più fattori (MFA).
• Utilizzare standard di riferimento per lo sviluppo e la gestione delle politiche relative alle password:
– Utilizzare password più lunghe composte da almeno 8 caratteri e non più di 64 caratteri.
– Evita di riutilizzare le password.
– Implementa la funzione “blocca l’account dopo n tentativi di accesso”.
– Disabilita i “suggerimenti” della password.
– Astenersi dal richiedere modifiche della password più frequentemente di una volta all’anno, a meno che non vi siano prove di compromissione della password. Nota: le linee guida del NIST suggeriscono di privilegiare password più lunghe invece di richiedere reimpostazioni regolari e frequenti delle password. È più probabile che le frequenti reimpostazioni delle password portino gli utenti a sviluppare “modelli” di password che i criminali informatici possono facilmente decifrare.
– Richiedere le credenziali di amministratore per installare il software.
• Utilizzare solo reti sicure; NON utilizzare reti Wi-Fi pubbliche.
• Prendere in considerazione l’installazione e l’utilizzo di una rete privata virtuale (VPN) per stabilire connessioni remote sicure.
• Concentrati sulla consapevolezza e la formazione sulla sicurezza informatica. Fornire regolarmente agli utenti una formazione sui principi e le tecniche di sicurezza delle informazioni, nonché sui rischi e le vulnerabilità emergenti come ransomware e truffe di phishing.
Se non avete un Cyber Security Specialist interno o il vostro fornitore abituale non ha un esperto in sicurezza informatica nel proprio team, non esitate a contattarci per una consulenza gratuita.