Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Ransomware Alert! Come gestire un attacco ransomware in corso contro il tuo sistema
- GIOVEDÌ 26 APRILE 2018


Quick Heal è in grado di individuare un attacco ransomware già quando è in corso. Questo post sottolinea e indica quali importanti passi puoi eseguire per salvare i tuoi dati.

Riguardo all'attacco ransomware
Quick heal ha individuato recentemente svariati attacchi ransomware che compiono attacchi di brute-force contro il Remote Desktop Protocol. Tuttavia, gli attacchi ransomware avvengono attraverso svariate strade e forme:
  • email di spam e phishing;
  • exploit kit
  • vulnerabilità del protocollo SMB (Eternablue, usato da WannaCry e NotPetya)
  • Drive by download ( tipo di attacco contro il quale Quick Heal ha ottenuto la BEST+++ Certification nel test di AVLab)
  • scaricato da altro malware già presente nel sistema.
Che cosa è il Remote Desktop Protocol (RDP)?
Il protocollo Remote Desktop è utilizzato per connettersi ad un altro computer in remoto. Generalmente viene usato per assistenza tecnica e per ogni forma di gestione remota dei dispositivi. Questo protocollo funziona sulla porta TCP/UDP 3389.

Che cosa è un attacco Brute Force?
è un tipo di attacco nel quale si provano a scoprire credenziali e password tentando tutte le combinazioni di lettere, caratteri e numeri. Generalmente viene compiuto grazie all'aiuto di script automatici. Se l'attacco brute force ha successo, un attaccante può accedere tramite l'RDP alla macchina della vittima. Ottenute le credenziali infatti l'attaccante può connettersi, tramite l'RDP, da remoto controllando il sistema. Moltissimi attacchi ransomware avvengono proprio così. 


Come ti protegge Quick Heal?
A Quick Heal abbiamo studiato approfonditamente l'attacco del ransomware Dharma, che usa l'attacco brute force contro l'RDP per la diffusione. In questo scenario l'attaccante, se l'attacco ha successo, ottiene il controllo del sistema con privilegi di amministratore: può quindi installare/disinstallare qualsiasi software sul computer infetto. In quel caso, del ransomware Dharma, osservammo come l'attaccante si fosse concentrato per prima cosa a disinstallare i software antivirus e di sicurezza, garantendosi la totale libertà per installare il ransomware. Quick Heal però è dotato di una protezione multilivello, utilissima contro questo tipo di attacchi:
  1. Anti Ransomware: funzione pensata appositamente per fronteggiare attacchi ransomware. Individua i ransomware tracciando la sequenza di esecuzione.
  2. Firewall: blocca i tentativi dannosi di accedere alla connessione di rete.
  3. IDS/IPS: individua i tentativi di brute force e blocca l'IP dell'attaccante remoto per un lasso di tempo predefinito. 
  4. Protezione Virus: servizio di protezione online contro i virus che individua le varianti conosciute di un ransomware.
  5. Sistema di individuazione comportamentale: traccia le attività del file eseguibili (.exe) e blocca i file dannoso.
  6. Backup e Restore: mantiene regolari backup dei file, consentendo il ripristino in qualsiasi momento possa essere necessario. 
Che cosa puoi fare anche tu per restare al sicuro durante un attacco?
  1. Assicurati di aver abilitato tutti i livelli di protezione di Quick Heal.
  2. Disabilita il Remote Desktop Protocol (RDP) se non lo usi. Troverai utili indicazioni per come poterlo fare alla fine di questo post. 
  3. Cambia la porta RDP di default con una porta non standard. (qui alcune istruzioni)
  4. Configura il Firewall nel seguente modo:
      # Nega l'accesso a IP pubblici alle porte importanti (in questo caso la porta RDP 3389);
      # Concedi l'accesso solo a quegli IP che sono sotto il tuo controllo;
  5. Usa un accesso VPN alla rete, al posto di esporre l'RDD in Internet.
  6. Se possibile, implementa l'Autenticazione a Due Fattori.
  7. Crea una cartella di rete separata per ogni utente quando gestisci l'accesso alle cartelle di rete condivise.
  8. Non tenere un software condiviso in formato eseguibile. 
  9. Non assegnare privilegi di amministrazione agli utenti. Ancora più importante, non rimanere loggati come amministratore, a meno che non sia strettamene necessario. Consigliamo anche, quando si è loggati come amministratore, di non navigare sul web, non aprire documenti ne svolgere altre attività di lavoro regolari. 
Ulteriori importanti misure...
E' importante capire che questo tipo di attacchi è mirato contro vittime con infrastrutture di sicurezza deboli. Ciò rende estremamente importante, sia per le aziende che per gli home user, rafforzare il perimetro di sicurezza. 

1. Esegui regolarmente il backup dei dati
  • Esegui regolarmente il backup dei dati e mantieni una copia degli stessi offline. Cripta il tuo backup. Se il tuo computer viene infettato da un ransomware, i tuoi file potranno essere recuperati una volta rimosso il malware.
  • Usa sempre una combinazione di backup offline e online.
  • Non tenere collegati al sistema i backup offline: in caso di attacco ransomware si rischia la compromissione del backup. 
2. Tieni aggiornati i software e il sistema operativo
  • Tieni sempre aggiornato il tuo software di sicurezza.
  • Mantieni aggiornato il Sistema Operativo e gli altri software. L'update dei software contiene spesso patch per vulnerabilità recentemente scoperte che potrebbero essere sfruttate da un attaccante.
  • Applica le patch e gli update sopratutto per software quali Microsoft Office, Java, Adobe Reader, Flash e tutti i browser come Internet Explorer, Chrome, Firefox, Opera ecc... compresi i loro plugin. 
3. Non scaricare mai software non verificati, craccati/piratati, poichè potrebbero installare un malware e compromettere il tuo computer. 

4. Evita di scaricare software da siti torrent o P2P inaffidabili. Nella maggior parte dei casi sono solo file dannosi. 

5. Presta attenzione ai tentativi di phishing
  • Non fare mai clic sui link e non scaricare mail allegati contenuti in email inaspettati o indesiderati. La maggior parte dei tentativi di phishing cerca di creare un senso di urgenza per ridurre la soglia di attenzione e lucidità della vittima. 
  • Assicurati che il tuo software antivirus abbia una funzione anti phishing integrata che blocchi automaticamente email e siti di phishing. 
Come disabilitare l'RDP?
  1. Dal Pannello di Controllo fai clic su Sistema, quindi su "Protezione Sistema" (per Windows 10, per altre versioni cercare "Sicurezza").
  2. Nella schermata "Protezione Sistema", fare clic su "Connessione Remota".
  3. Nella schermata di "Connessione Remota" seleziona "Non consentire connessioni remote al computer". Fare clic su "Applica" quindi saltare gli altri passaggi. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login