C’è anche il ransomware per le reti, parola di FBI

SicurezzaVirus

L’FBI segnala attacchi alle reti aziendali che cercano di installare ransomware e allo stesso tempo cancellare i backup in rete, per eliminare una sicurezza in più

Del ransomware già sappiamo ampiamente e sappiamo anche che si tratta di una minaccia costante: può essere legato ad attacchi di massa come quello di questi giorni oppure ad attacchi più mirati, spesso attraverso operazioni di phishing. A parte le solite difese anti-malware gli esperti hanno sempre detto che il modo migliore per rendere inefficace un ransomware è avere sempre a disposizione una copia dei dati più importanti in modo che la cifratura del nostro disco sia un evento di sicuro ancora molto fastidioso ma non più dannoso.

Ora però è addirittura l’FBI statunitense ad avvisare che sono in atto attacchi con ransomware che cercano di aggirare – almeno in alcuni scenari legati alle reti aziendali – questa precauzione, andando direttamente alla ricerca di backup in rete e cancellandoli. La mossa è comprensibile: gli hacker ostili ritengono in questo modo di rendere i PC della rete maggiormente vulnerabili alla cifratura delle informazioni perché non esiste più il “paracadute” dei backup automatici in rete.

La schermata ricattatoria di Cryptolocker
La schermata ricattatoria di Cryptolocker

Un Flash Report del FBI ha descritto alcuni casi di infezione di reti aziendali che hanno usato varianti di ransomware già noti e che, spiega il Bureau, si possono ottenere liberamente online. I ransomware cifrano i file dei PC colpiti, come di consueto, la novità è che durante l’attacco di uno o più computer viene mappata la configurazione di tutta la loro rete sfruttando i servizi di directory, generando un file con l’elenco di tutti i nodi raggiungibili. Questi nodi sono poi attaccati in maniera mirata per installarvi il malware.

Oltre a questa diffusione mirata – e non a pioggia – nella rete aziendale partendo dalla conoscenza della sua struttura, gli attacchi descritti dal FBI comprendono anche una parte di scansione della rete e in particolare dei server condivisi alla ricerca di backup. Una volta identificati, i file di backup sono eliminati manualmente. Non esiste ancora, almeno secondo quanto descrive il Bureau, una procedura automatica di scansione della rete e cancellazione dei backup.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore