View Full Version : Storia dell'attacco ransomware finito male: hacker scoperti e battaglia all'ultimo sangue
Redazione di Hardware Upg
01-07-2021, 16:54
Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/storia-dell-attacco-ransomware-finito-male-hacker-scoperti-e-battaglia-all-ultimo-sangue_98896.html
Il team di Sophos ha potuto sventare un attacco ransomware praticamente in tempo reale, dopo una segnalazione avvenuta quasi per caso
Click sul link per visualizzare la notizia.
Sono contento, lo sarei ancora di più se i responsabili potessero essere assicurati alla giustizia. Riscatto milionario ? Bene, vent'anni di galera a spaccare sassi e passa per sempre il "prurito alle mani".
canislupus
01-07-2021, 17:10
Il mio dubbio è sempre lo stesso... come fanno ad installare un ransomware se non hanno permessi amministrativi?
Se le cartelle sui server hanno delle permission limitate e vengono eseguite delle shadow copy, dovrebbe essere possibile contenere i danni.
O sbaglio?
@canislupus E' molto semplice: durante la fase di attacco vengono utilizzati degli exploit (siano essi noti oppure 0-day) che consentono di bucare le macchine vulnerabili (visto che spesso non sono aggiornate o patchate...) e fare privilege escalation, consentendo così ad un utenza non privilegiata di diventare ad esempio Administrator o System, con tutto ciò che ne consegue.
Al netto appunto degli 0-day, il modo più semplice per evitare tutto 'sto casino dei ransomware sarebbe semplicemente quello di tenere sempre i sistemi puliti ed aggiornati. Purtroppo molte realtà non danno peso a questo aspetto, vuoi per pigrizia, vuoi per negligenza, vuoi per procrastinazione.
Io di mestiere mi occupo di sicurezza informatica, e ti garantisco che la quantità di sistemi vulnerabili (anche in aziende "importanti"!) è drammatica...
canislupus
01-07-2021, 18:08
@canislupus E' molto semplice: durante la fase di attacco vengono utilizzati degli exploit (siano essi noti oppure 0-day) che consentono di bucare le macchine vulnerabili (visto che spesso non sono aggiornate o patchate...) e fare privilege escalation, consentendo così ad un utenza non privilegiata di diventare ad esempio Administrator o System, con tutto ciò che ne consegue.
Al netto appunto degli 0-day, il modo più semplice per evitare tutto 'sto casino dei ransomware sarebbe semplicemente quello di tenere sempre i sistemi puliti ed aggiornati. Purtroppo molte realtà non danno peso a questo aspetto, vuoi per pigrizia, vuoi per negligenza, vuoi per procrastinazione.
Io di mestiere mi occupo di sicurezza informatica, e ti garantisco che la quantità di sistemi vulnerabili (anche in aziende "importanti"!) è drammatica...
Grazie dell'informazione.
Io lavoro in una grande multinazionale... e purtroppo la questione sicurezza spesso è un po' presa sottogamba (vabbè da noi... tutto sommato neanche troppo).
Vuoi perchè i sistemi non sempre si possono aggiornare (si hanno sempre dei dubbi sulla compatibilità) e vuoi perchè vi è una sorta di pigrizia.
Di certo se si sfruttano le falle 0-day ci può stare, ma se invece si usano dei bug noti e corretti o peggio ancora si lasciano gli utenti amministratori con diritti pressochè totali su risorse aziendali condivise... allora in quel caso la principale responsabilità è ricercabile all'interno dell'IT (a scanso di equivoci... io ci lavoro... :D :D :D ).
\_Davide_/
01-07-2021, 19:49
Il mio dubbio è sempre lo stesso... come fanno ad installare un ransomware se non hanno permessi amministrativi?
Se le cartelle sui server hanno delle permission limitate e vengono eseguite delle shadow copy, dovrebbe essere possibile contenere i danni.
O sbaglio?
C'è scritto nell'articolo: il primo account compromesso era quello di una figura IT che, per forza di cose, aveva accesso con privilegi amministrativi.
Comunque solito titolo acchiappa click: non mi sembra che siano stati scoperti.
Senza contare che mentre avevo ottimi rapporti con Sophos fino all'anno scorso, nell'ultimo periodo hanno smesso di rispondermi, che non è il massimo per una azienda che tratta sicurezza informatica.
canislupus
01-07-2021, 19:59
C'è scritto nell'articolo: il primo account compromesso era quello di una figura IT che, per forza di cose, aveva accesso con privilegi amministrativi.
Comunque solito titolo acchiappa click: non mi sembra che siano stati scoperti.
Senza contare che mentre avevo ottimi rapporti con Sophos fino all'anno scorso, nell'ultimo periodo hanno smesso di rispondermi, che non è il massimo per una azienda che tratta sicurezza informatica.
L'ho letta quella parte, ma non significa nulla figura IT.
Si può essere un admin di sistema così come un programmatore o un operatore di call center... IT spesso è un mondo... :D :D :D
E ripeto... per quale motivo usa un account amministratore di dominio (altrimenti con quello locale ci fanno poco)?
Io sono un sysadmin... sul mio pc aziendale uso account con privilegi ridotti, quando devo installare qualcosa ho un account amministrativo locale (che mi richiede la password... quindi mi elevo i diritti SOLO in quel preciso momento).
Il pc ha un antivirus aziendale, firewall aziendale, proxy, software che scansiona i programmi installati, la memoria di sistema e quando mi collego ai server (con un token) in VPN viene registrata la sessione.
Non ho poteri di vita e di morte su tutte le share aziendali e in alcune devo usare un account specifico (quindi digito sia utente che password per capirci).
Poi se per comodità questa "figura IT" usava una utenza che era padrona di tutto... beh... qualcosa non funziona benissimo... :D :D :D
Io sono un sysadmin... sul mio pc aziendale uso account con privilegi ridotti,
Se usi un account standard di Win10, ricordati di settare al max (di default non lo è) lo UAC per quell'account, circolano ancora degli exploit in tal senso.
\_Davide_/
02-07-2021, 08:45
Poi se per comodità questa "figura IT" usava una utenza che era padrona di tutto... beh... qualcosa non funziona benissimo... :D :D :D
Ti assicuro che in numerosissime realtà funziona proprio così :)
E dò per scontato che fosse un amministratore, dubito che gli operatori del call center abbiano qualsiasi permesso su zone pubbliche che non siano quelle di loro interesse (che spesso si fermano al CRM).
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.