Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il recente attacco hacker tramite ransomware ai server VMWare ESXi ha messo in luce le vulnerabilità che affliggono le infrastrutture IT delle imprese e della pubblica amministrazione. Questo articolo espone le cause e gli effetti dell’attacco e si concentra in particolare sul ransomware cryptolocker e sulle sue modalità di infiltrazione malevola. Attraverso un’analisi delle principali vulnerabilità note dei server VMWare ESXi, si evidenziano le lacune nelle difese informatiche delle aziende che li utilizzano. Inoltre, vengono esaminate le tecniche utilizzate dal ransomware per criptografare i file e richiedere un riscatto. Si discute anche l’importanza di agire tempestivamente per proteggere le infrastrutture IT, applicando patch di sicurezza. Infine, l’articolo suggerisce strumenti e soluzioni per migliorare la protezione delle infrastrutture IT.
Un ransomware cryptolocker è un ladro che ti cambia le serrature e ti lascia fuori di casa. Tutto succede però nel contesto dell’infrastruttura IT aziendale in cui il virus riesce a intrufolarsi con l’inganno. In questo articolo, raccontiamo che cos’è e come funziona questo tipo di malware a partire da un caso di cronaca significativo nel campo della cyber security: l’attacco sferrato ai server VMWare ESXi.
Rendi più sicura l’infrastruttura IT delle aziende clienti. SCRIVICI O CHIAMACI DA QUI
L’attacco informatico subito da centinaia di server VMWare ESXi nel mondo l’anno scorso rappresenta un esempio rivelatore della pericolosità dei ransomware cryptolocker. Il temporaneo blocco di molte infrastrutture IT basate su macchine virtuali a causa del virus è stato anche significativo di una generale debolezza delle misure di sicurezza informatica: la vulnerabilità sfruttata dal malware, in questo caso, era nota fin dal 2021.
Era già disponibile una patch apposita, ma non tutti l’hanno implementata. Molte imprese hanno lasciato le macchine su internet senza patch e senza un buon firewall a proteggerle. Queste mancanze hanno offerto il fianco alle azioni criminali degli hacker.
Cerchiamo ora di fare un identikit abbastanza circostanziato dei “patogeni” in codice di cui ci occupiamo in questo articolo: i virus cryptolocker. Appartengono al vasto universo del malware, collocandosi nella categoria dei ransomware, cioè di quegli applicativi malevoli che al danno aggiungono la richiesta di riscatto (“ransom” in inglese significa proprio “riscatto”).
Hanno però un’ulteriore caratteristica che li identifica come sottocategoria dei ransomware: utilizzano l’“encryption”, cioè sono applicativi che criptano file e documenti e li rendono inaccessibili. Per accedere, quindi, a contenuti e risorse salvate sul PC diventa necessaria una password, che resta nelle mani degli hacker, naturalmente.
In che modo si diffonde un virus cryptolocker?
Il lupo si nasconde sotto i boccoli dell’agnello. Quando un PC è stato infettato da un cryptolocker, cioè un temibile ransomware, c’è un download di mezzo, fatto volontariamente, e soprattutto incautamente.
La categoria di malware dei ransomware cryptolocker ha successo nel diffondersi da un device all’altro grazie alla capacità di mimetizzarsi sotto le spoglie di mittenti affidabili.
La facciata rassicurante e ingannevole scelta dagli hacker è quella di istituzioni come banche e poste. Il vettore del malware, così, diventa una email che sembra innocua, inviata da un ente di cui ci fidiamo.
Porta un allegato, un “dono dannoso”, che sembra un pdf, ma non lo è. Ci basta scaricarlo per far la frittata: un impiastro di risorse criptate dal virus che rendono inutile il nostro PC e potenzialmente tutta l’infrastruttura IT aziendale.
Tipicamente il documento che veicola il virus cryptolocker è allegato alla email sotto forma di file zip.
Al suo interno si trova il pdf fittizio. Ma perché non ci accorgiamo subito della contraffazione?
L’icona e l’estensione traggono in inganno per un motivo molto semplice: come impostazione predefinita i sistemi operativi Microsoft non fanno vedere direttamente le estensioni dei file, ma solo il loro nome.
Dunque, se il nome del file contiene nella parte finale “.pdf”, lo scambiamo effettivamente per quel tipo di formato. In realtà, se ci imbattiamo in un cryptolocker ransomware, si tratta di un eseguibile, un file con estensione “.exe”.
Non esiste in commercio un software specifico per la rimozione dei virus cryptolocker dai dispositivi infettati. Di sicuro è importante agire con tempestività: appena si manifesta l’attacco informatico, occorre preparare la reazione.
Se si colgono i segni dell’infezione prima della richiesta di riscatto – file con estensioni non familiari, modifiche dei loro nomi, allarme dello scanner antivirus – è possibile eliminare il malware impedendo che si diffonda ad altre macchine e risorse.
Esistono alcune soluzioni gratuite cui si può fare riferimento quando il danno da cryptolocker è fatto. Un passaggio importante per ripristinare il buono stato dell’infrastruttura IT aziendale è decriptare i file che hanno subito il trattamento dell’applicazione malevola.
Un attacco informatico causato da un virus cryptolocker, ci lascia in balìa di crucci e domande su come recuperare i file perduti. Dopo aver ricevuto il messaggio “abbiamo criptato i vostri file con il virus cryptolocker”, lo sconforto è inevitabile, e soprattutto il pandemonio in azienda, perché l’operatività è compromessa.
Il primo passo da fare è la disconnessione completa dalla rete internet, dal cloud, da periferiche, dispositivi cablati e wireless: in questo modo, blocchiamo la diffusione del software malevolo, impediamo che siano infettati altri device.
Dopo aver disconnesso il PC sotto attacco da internet e altri collegamenti virtuali o fisici, è bene avviare una scansione del software antivirus. Così, otteniamo una corretta identificazione di file pericolosi e minacce, elementi che possono conseguentemente essere rimossi o messi in quarantena.
Il decriptaggio dei file può essere effettuato attraverso uno strumento apposito: ce ne sono, per esempio, targati Avast. È sconsigliabile, invece, pagare il riscatto perché non c’è garanzia che effettivamente gli hacker procedano alla decriptazione e in più con il pagamento si alimenta un giro criminale.
Ultimo e fondamentale passaggio per ritornare all’operatività dell’infrastruttura IT aziendale è il ripristino dei backup. L’operazione è a portata di mano – o meglio, di competenze di tecnici informatici – se dati e risorse sono stati archiviati e conservati periodicamente e sistematicamente secondo criteri di ridondanza.
Insomma, la strada più sicura per difendersi da cryptolocker e ransomware di tutti i tipi è senz’altro la prevenzione, quindi l’implementazione di adeguate misure di sicurezza informatica.
Dagli attacchi ai server VMWare ESXi, abbiamo visto che non implementare le patch, cioè non fare i corretti aggiornamenti, mette in pericolo l’infrastruttura informatica aziendale. Dunque, un primo passo fondamentale per attuare una buona prevenzione dai cryptolocker e da ransomware di altro tipo è aggiornare sistema operativo e software secondo le indicazioni della casa di produzione.
È importante far sempre attenzione all’estensione dei file e alla provenienza delle email, evitando di cliccare precipitosamente su materiale sconosciuto.
Un’altra importante misura di sicurezza è il firewall.
Dotarsi, per esempio, del firewall Kerio Control è un’ottima soluzione per gestire da MSP le minacce in modo centralizzato. Kerio Control è uno strumento di ultima generazione: unisce un network firewall di router e rete aziendale, un gateway antivirus, un sistema IPS di protezione e rilevamento, VPN e altri filtri e applicativi per la sicurezza informatica.
L’antivirus N-able EDR gioca un ruolo chiave in una buona strategia di prevenzione degli attacchi informatici, anche di virus cryptolocker. Infatti, è una soluzione pensata per affrontare un contesto complesso in cui proliferano gli attacchi zero day, i malware fileless e i ransomware: questi ultimi, in particolare, costituiscono più della metà delle offensive hacker osservate dagli MSP.
N-able EDR utilizza IA e machine learning per reagire con maggior prontezza e proattività alle minacce informatiche, facendo analisi statistiche e previsioni sui nuovi schemi comportamentali. Mette a disposizione lo strumento rollback per i dispositivi infettati con sistema operativo Windows.
Ultimo nella lista ma essenziale per assicurare che dati e risorse dell’azienda siano sempre accessibili e recuperabili, è il backup. Si tratta, infatti, della risorsa imprescindibile per ogni processo di disaster recovery in seguito a un qualunque tipo di attacco informatico.
Validissima soluzione per gli MSP è 1Backup Enterprise di CoreTech, che garantisce tutta la sicurezza del cloud, con ben due copie di dati e risorse aziendali conservate nei datacenter.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia