Prevenire gli attacchi ransomware da remoto: la strada più semplice

Gli attacchi ransomware sono ormai sempre più frequenti e sofisticati. Uno dei trend attuali, estremamente preoccupante, è la crescita di attacchi ransomware da remoto, conosciuti anche come cifratura remota dannosa. In questo contesto, gli attaccanti sfruttano endpoint compromessi per criptare i dati su altri dispositivi collegati alla stessa rete. Qualche dato su questo fenomeno? Il Microsoft Digital Defense Report 2023 riporta come circa il 60% degli attacchi ransomware gestiti manualmente dagli attaccanti sia ormai proprio di questa tipologia.

In questo articolo definiremo anzitutto il concetto di ransomware da remoto quindi dettaglieremo il livello di sicurezza garantito da Seqrite Endpoint Security contro questa minaccia. Passando da un tema estremamente delicato: l’importanza di identificare e mettere in sicurezza i dispositivi non protetti entro una rete per mitigare il rischio.

Un attacco ransomware da remoto, detto anche cifratura remota dannosa, si verifica quando un attaccante riesce a compromettere un endpoint per utilizzarlo poi come “trampolino di lancio” per criptare i dati presenti negli altri dispositivi collegati alla stessa rete aziendale. Una prassi, questa, piuttosto diversa da quella alla quale ci hanno abituato le famiglie ransomware più tradizionaliste: solitamente infatti gli attaccanti preferiscono distribuire il ransomware direttamente in una macchina bersaglio. Tuttavia, se il tentativo di accesso iniziale viene bloccato dalle tecnologie e soluzioni di sicurezza, gli attaccanti passano a metodi alternativi: la cifratura remota dannosa è una di queste alternative.

Una volta che l’attaccante ha infiltrato con successo un sistema, possono sfruttare l’architettura di dominio aziendale per criptare i dati sulle altre macchine appartenenti al dominio. Tutte le attività dannose come l’accesso, l’esecuzione del payload e la criptazione avvengono sulla macchina compromessa, eludendo i moderni controlli di sicurezza. L’unico, concreto, segnale di compromissione è il trasferimento di file da e verso altre macchine.

Un fattore degno di nota, che rende molto appetibile la diffusione di ransomware da rermoto è la sua scalabilità. Un singolo endpoint non gestito o scarsamente protetto può mettere a rischio l’intera rete aziendale esponendola ad attacchi ransomware da remoto, indipendentemente dal fatto che gli altri dispositivi in rete siano o meno protetti con soluzioni avanzate di sicurezza per endpoint. Basta un solo anello debole nella catena.

Il largo impiego ormai raggiunto dagli attacchi ransomware da remoto è dovuto a più fattori, tra i quali la scalabilità e la vasta gamma di varianti ransomware che supportano questo vettore di attacco. Notoriamente infatti famiglie ransomware molto diffuse come Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk e WannaCry hanno tutte capacità di cifratura remota dannosa.

La maggior parte dei prodotti di sicurezza endpoint tradizionali sono inefficaci quando si trovano a contrastare un attacco ransomware da remoto. Infatti questi prodotti sono concentrati principalmente sull’individuare file e processi dannosi del ransomware sull’endpoint protetto. Tuttavia, nei casi di attacchi ransomware remoti, i processi sono eseguiti sul computer compromesso: il sistema di protezione non si accorgerà dell’attività dannosa.

Seqrite Endpoint Security garantisce una solida protezione contro attacchi ransomware da remoto. Al contrario di altre soluzioni di sicurezza per endpoint che si limitano a individuare processi e file dannosi, Seqrite EPS ha un approccio diverso: analizza i file in cerca di segni di criptazione dannosa, indipendentemente da dove si stiano eseguendo i processi. Esamina cioè attivamente il contenuto di ogni documento mentre viene letto e scritto per determinare se sono stati criptati in modo dannoso.

Questo approccio distingue Seqrite EPS dalla concorrenza: consente infatti di rilevare e bloccare tutte le varianti ransomware, compresi gli attacchi ransomware da remoto e perfino varianti ransomware mai individuate prima.

Invece di rilevare il codice dannoso, Seqrite EPS è pensato per individuare routine di criptazione rapida dei file eseguite da un singolo processo. Questa analisi si basa sulla firma del file dannoso: è un approccio, questo, che consente di individuare e bloccare i tentativi di criptazione ransomware anche nei casi in cui il processo dannoso non dovesse essere attivamente in esecuzione sul dispositivo della vittima.

Quando Seqrite EPS individua una criptazione di massa dei file, inizia automaticamente a mettere in quarantena i file. Per alcuni dei malware analizzati, fornisce anche soluzioni di mitigazione.

In un attacco ransomware da remoto, Seqrite EPS blocca automaticamente l’IPv4 del dispositivo remoto che tenta la criptazione de i file sulla macchina bersaglio. Questa funzione proattiva aiuta a impedire la diffusione del ransomware lungo la rete verso altri endpoint neutralizzando, di fatto, l’attacco remoto.

Seqrite EPS, inoltre, salvaguarda i dispositivi dagli attacchi ransomware che prendono di mira il master boot record (MBR). La corruzione dell’MBR impedisce completamente l’avvio del sistema. Inoltre, protegge dai tentativi di formattazione del disco, salvaguardando dati critici.

Gli attacchi ransomware da remoto rappresentano un grande rischio per le aziende. Con il ricorso sempre più frequente alla criptazione dannosa da remoto, diviene essenziale prendere contromisure implementando solide misure di sicurezza a protezione dei dati aziendali.

Seqrite EPS, dotata delle migliori tecnologie del momento, garantisce una protezione completa contro questa tipologia di attacchi. Il suo approccio, unico nel settore, può drasticamente ridurre il rischio di cadere vittima di attacchi ransomware.

Seqrite / Quick Heal è la prima compagnia indiana con un brevetto ufficiale USA per la tecnologia anti ransomware