Il ransomware CryptoLocker è in aumento: ecco cosa fare in caso di attacco

Facebook
Twitter
LinkedIn
WhatsApp

Gli attacchi di CryptoLocker sono in aumento, insieme a molti altri tipi di ransomware. Mentre queste minacce possono essere un grave danno per un’azienda, ci sono alcune misure di sicurezza che possono ridurre il rischio di un tale attacco e migliorare il livello di sicurezza generale.

Ecco cosa fare in caso di incidente e come prevenire attacchi simili in futuro.

Note importanti sulle minacce

Le organizzazioni dovrebbero iniziare adottando una politica di gestione delle patch aggressiva, in particolare con le vulnerabilità del browser esistenti in plug-in come Adobe Flash e Java, utilizzati da gran parte dei dipendenti. Le patch dovrebbero essere applicate tempestivamente. Ad esempio, IBM ha notato che le recenti patch Adobe per il ransomware devono essere applicate il prima possibile. Adobe ha definito questo periodo di tempo entro 72 ore.

Sfortunatamente, l’applicazione di patch non è di grande aiuto quando si tratta di ransomware come CryptoLocker . Quando un computer viene infettato da ransomware , il malware in genere genera una quantità molto ridotta di traffico di rete esterno. Dopo l’infezione, la maggior parte delle versioni di ransomware utilizza un algoritmo di generazione del dominio (DGA) per randomizzare la richiesta DNS che effettua al server di comando e controllo (C&C). Ciò rende molto più difficile inserire nella lista nera i domini noti: il malware utilizzerà il DGA per generare migliaia di nomi di dominio casuali, ma solo uno può essere un dominio legittimo utilizzato per connettersi al server C&C.

Questo contatto iniziale con il server C&C registra il computer e ottiene le chiavi di crittografia pubbliche che utilizza quindi per crittografare tutti i file dell’utente. Pertanto, un dump della memoria o un’acquisizione del traffico di rete farà ben poco per ottenere le informazioni necessarie per ripristinare i file poiché la chiave privata necessaria per decrittografare i file non esiste mai sul computer della vittima.

Come prevenire e curare i CryptoLocker

Il modo migliore per riprendersi completamente da un attacco ransomware è non diventare mai una vittima. I metodi di prevenzione includono:

  • Eseguire il backup dei dati.
  • Addestrare clienti o dipendenti a non aprire e-mail di phishing.
  • Installa un programma di sicurezza in grado di rilevare i siti Web in cui il ransomware utilizza le chiavi di crittografia.
  • Utilizza un buon programma antivirus, che rileverà le versioni precedenti del virus, ma tieni presente che alcune versioni di CryptoLocker utilizzano il rilevamento dei virus a proprio vantaggio facendo eseguire la scansione del sistema infetto fino a quando non vengono rilevati segnali di allarme.

Ci sono anche alcuni passaggi critici che le organizzazioni dovrebbero prendere in considerazione rispetto alla loro prontezza per un potenziale attacco:

  1. Preparazione;
  2. Rilevamento e analisi;
  3. Contenimento, eradicazione e recupero ; e
  4. Attività post-incidente.

Le organizzazioni dovrebbero prendere in considerazione l’utilizzo di diversi prodotti antivirus per scopi diversi. Ad esempio, un prodotto antivirus potrebbe essere utilizzato per i computer desktop, uno diverso per i server e un altro per il gateway di posta elettronica. Questa strategia può fornire la massima copertura per le minacce emergenti che potrebbero non essere rilevate da una soluzione ma potrebbero essere identificate da altre.

Scarica la guida completa alla risposta al ransomware IBM