Windows 10: il ransomware Snatch distrugge il PC

ransomware

I cybercriminali rubano i dati dal computer prima che il ransomware sia lanciato, e Sophos ritiene che sia una pratica molto diffusa per il ricatto

Una nuova pericolosa variante del ransomware Snatch è stata individuata sui sistemi Windows 10. L’allarme proviene dalla società informatica Sophos, che ne ha illustrato anche le modalità di attacco. Snatch in particolare infetta il PC durante il riavvio di Windows anche se in Safe Mode. Sophos ritiene che questa sia una nuova tecnica molto pericolosa che evade le difese dei sistemi.

Solitamente i cybercriminali rubano dei dati dal computer prima che il ransomware sia lanciato. Il ricatto in denaro o in valuta digitale diventa così più pressante per le vittime. Questa tendenza tra l’altro nel sottrarre dati prima di avviare Snatch si sta affermando sempre più, come confermato dal report di Sophos.

Ransomware come Snatch, quando si introducono sui sistemi Windows 10 da remoto, permettono agli autori dell’attacco di provocare danni estesi ai dati dell’utente e al sistema stesso, e la rete di criminali viene spesso assemblata tramite i forum dedicati nel Dark Web.

Ransomware Snatch: i consigli su come fronteggiarlo

Consapevole di un attacco che coinvolge più menti criminali, Sophos ha deciso di produrre una serie di consigli su come difendersi da questa pericolosa minaccia informatica, specialmente per le aziende:

  • Dare sempre la caccia delle minacce informatiche avvalendosi di un team di esperti specializzati nella sicurezza.
  • Dove possibile, identificare e chiudere i servizi di accesso remoto aperti alla rete Internet pubblica.
  • Utilizzare una VPN con autenticazione multi-fattore, auditing delle password e controllo preciso sugli accessi oltre al monitoraggio attivo dell’accesso remoto.
  • Qualsiasi server con accesso remoto aperto deve essere aggiornato con le patch più recenti e protetto da controlli preventivi monitorando login e comportamenti anomali.
  • Gli utenti collegati ai servizi di accesso remoto dovrebbero avere privilegi limitati per il resto della rete corporate.
  • Gli amministratori dovrebbero adottare tecniche di autenticazione multi-fattore e utilizzare un account amministrativo diverso dal loro normale account utente.

Metti al sicuro i tuoi dati aziendali da Virus e CryptoLocker: contattaci subito per una consulenza gratuita presso la Vostra sede.
info@assitech.net 

Portale per sconfiggere Ransom

No More Ransor è un portale online con lo scopo di è di fornire una risorsa utile alle vittime di attacchi hacker. Gli utenti possono trovare informazioni su cosa sono i ransomware, come funzionano e, soprattutto, come proteggersi dagli attacchi. Il portale è stato lanciato il 25 luglio 2016, dalla polizia nazionale olandese, da Europol, Intel Security e Kaspersky Lab, segnando l’inizio di una collaborazione tra forze dell’ordine e settore privato.

Durante i primi due mesi, oltre 2.500 persone sono riuscite a decriptare i propri dati senza dover pagare gli hacker, utilizzando i principali strumenti di decriptazione presenti sulla piattaforma (CoinVault, WildFire e Shade), privando gli hacker di oltre un milione di dollari di riscatti.

La sempre più stretta collaborazione tra le autorità e il settore privato porta ad un aumento del numero di decryption tool disponibili; attualmente, quelli presenti sul sito sono cinque. Dal lancio di luglio, sul portale è stato aggiunto il WildFireDecryptor e sono stati aggiornati RannohDecryptor (aggiornato con un decryptor per i ransomware MarsJoke, ovvero Polyglot) e RakhiDecryptor (aggiornato con Chimera).

Inoltre, a tre mesi dal lancio le forze dell’ordine di altri 13 paesi hanno deciso di supportare il progetto: tra queste figura anche il Servizio Polizia Postale e delle Comunicazioni italiano. Il progetto è, inoltre, supportato da Eurojust e dalla Commissione Europea, a dimostrazione del fatto che l’UE è preoccupata per l’aumento delle minacce di ransomware.

“Europol è molto attiva nel supportare l’espansione del progetto No More Ransom sia nell’UE sia a livello internazionale per rispondere agli attacchi ransomware in modo efficiente e secondo gli accordi”, ha affermato Steven Wilson, head of the European Cybercrime Centre. “Nonostante le crescenti sfide, l’iniziativa ha dimostrato che un approccio coordinato tra le forze dell’ordine europee, che include tutti i partner rilevanti, può portare successi significativi nel combattere questo tipo di crimine, focalizzandosi sulle fondamentali fasi di prevenzione e conoscenza del problema. Sono certo che il portale online continuerà a migliorare nei mesi a venire e vogliamo incoraggiare tutte le forze dell’ordine a unirsi a noi”.

“La lotta ai ransomware ottiene maggiori successi quando le autorità e il settore privato collaborano. I ricercatori possono offrire un’analisi più vasta dei malware e servizi come lo scanning di Internet, aiutando a trovare connessioni tra i diversi dati. Questo permette alla polizia di localizzare e sequestrare i server usati per gestire l’attacco. In alcuni casi, anche l’intuizione dei ricercatori può essere utile per rintracciare e arrestare i responsabili. I server sequestrati possono contenere chiavi di decriptazione e, quando vengono condivise con aziende del settore privato, queste chiavi possono diventare decryption tool che aiutano le vittime a sbloccare i propri dati senza pagare un riscatto. Fondamentalmente, condividere le informazioni è la chiave per una collaborazione efficace tra la polizia e i ricercatori in ambito della sicurezza. Più ciò avviene facilmente e velocemente, più la partnership è efficace”, ha affermato Morten Lehn, General Manager Italy di Kaspersky Lab.

Kasperksy VS Cryptolocker

Kaspersky ha sviluppato uno strumento gratuito che rappresenta una piccola speranza di salvezza per chi si trova vittima di ransomware. Un’arma in più contro quelli attacchi che bloccano tutti i dati e chiedono un riscatto per liberarli.

Kaspersky e la polizia olandese si sono alleate per creare uno strumento che ci libera dal ransomware, forse il peggiore tipo di malware esistente – a parte le cyberarmi ovviamente. Si tratta infatti di attacchi che bloccano i dati con crittografia, dopodiché i criminali chiedono un riscatto, generalmente in Bitcoin o simili. Pagando si riceve la password per sbloccare i propri dati, e non farlo significa rischiare la loro totale perdita.

Lo strumento sviluppato da Kaspersky è gratuito e agisce in particolare contro CoinVault, uno dei ransomware più diffusi. Il lavoro è stato reso possibile dalla National High Tech Crime Unit (NHTCU) olandese, che ha trovato diverse chiavi di decodifica di CoinVault e le ha passate alla società russa.

Non si tratta purtroppo di una soluzione definitiva, ma solo di una possibilità di rimuovere CoinVault. Il lavoro di ricerca è ancora in corso e lo strumento sarà aggiornato in futuro, quindi se oggi non è possibile sbloccare un file può darsi che lo sarà domani.

Non si può che accogliere con piacere un’iniziativa simile, soprattutto considerando quanto stia diventando grave il problema del ransomware. Solo in Olanda ComVault ha colpito oltre 700 computer Windows, ma ci sono vittime in tutto il mondo e molte diverse varianti di questo attacco. Ci sono stati diversi attacchi anche in Italia negli ultimi due anni.

Purtroppo quando si parla di sicurezza informatica le soluzioni non sono mai semplici. Non ci si può limitare a incolpare le vittime, perché troppo ingenue o troppo poco preparate. I computer dopotutto non sono che strumenti per fare cose di ogni genere, e la vera sfida, quella più dura, è proprio trovare il modo d’insegnare a tutti le basi della sicurezza. Come esperti o aspiranti tali, forse è anche compito nostro aiutare tutti a diventare più bravi nello schivare i pericoli.