Tutto Quello Che Devi Sapere Su Cryptolocker

Leggi la guida e scopri cos’è CryptoLocker, come funziona e cosa puoi fare per sbarazzartene.

Cos’è CryptoLocker?

CryptoLocker è un ormai noto malware particolarmente dannoso per qualsiasi organizzazione lavori con i dati.

Una volta che il codice viene eseguito, crittografa i file su desktop e reti condivise e li tiene in ostaggio, chiedendo a chiunque tenti di aprire i file di pagare un riscatto per decrittarli.

Per questo motivo, CryptoLocker e le sue varianti sono diventate note come ransomware.

Malware come CryptoLocker possono entrare in una rete protetta attraverso molti vettori, inclusi e-mail, siti di condivisione di file e download.

Le nuove varianti hanno eluso le tecnologie antivirus e firewall, ed è ragionevole aspettarsi che nel prossimo futuro ne verranno fuori altre in grado di aggirare le misure preventive.

Ciononostante, è altamente consigliato rafforzare i controlli di accesso in modo da limitare la portata dei danni causati da un host infetto e, allo stesso modo, attenti e ripetuti controlli investigativi e correttivi sono consigliati per creare una linea di difesa successiva.

Alla fatidica domanda: “Dovresti pagare il riscatto?” ha risposto l’esperto di Cyber Reputation and Security Andrea Baggio: ti anticipo che la risposta non è affatto scontata.

Cosa fa CryptoLocker?

All’esecuzione, CryptoLocker inizia a scansionare le unità di rete mappate a cui è connesso l’host per rintracciare cartelle e documenti, dopodiché rinomina e crittografa i contenuti che ha il permesso di modificare a seconda delle credenziali concesse dall’utente che esegue il codice.

CryptoLocker utilizza una chiave RSA a 2048 bit per crittografare i file e rinomina i file aggiungendo un’estensione, come .encrypted oppure .cryptolocker oppure .[7 caratteri casuali], a seconda della variante.

Infine, il malware crea un file in ciascuna directory interessata collegandola a una pagina Web che contiene le istruzioni di decrittografia che richiedono all’utente di effettuare un pagamento (spesso tramite bitcoin).

I nomi dei file delle istruzioni sono generalmente DECRYPT_INSTRUCTION.txto DECRYPT_INSTRUCTIONS.html.

Man mano che vengono scoperte nuove varianti, la lista dei tipi di ransomware si aggiorna.

Ad esempio, una variante nota come CTB-Locker crea un singolo file nella directory in cui inizia per la prima volta a crittografare i file, denominati !Decrypt-All-Files-[7 caratteri RANDOM].TXT oppure !Decrypt-All-Files-[7 caratteri RANDOM].BMP.

Come prevenire CryptoLocker

Il danno che il malware può infliggere è proporzionato al numero di file ai quali ha accesso.

Come prevenire CryptoLocker guida helpransomware

Limitare l’accesso è quindi un accorgimento prudente che potrà farti ridurre la quantità di materiale che può essere crittografato: oltre a offrire una linea di difesa per il malware, mitigherà la potenziale esposizione ad altri attacchi da parte di attori interni ed esterni.

Sebbene raggiungere un modello con privilegi minimi non sia una soluzione rapida, è possibile ridurre rapidamente l’esposizione rimuovendo i gruppi di accesso globale non necessari dagli elenchi di controllo degli accessi.

Gruppi come “Everyone”, “Authenticated Users” e “Domain Users”, se utilizzati su contenitori di dati (come cartelle e siti di SharePoint), possono esporre intere gerarchie di utenti di un’azienda.

Oltre ad essere facili bersagli di furto o uso improprio, è molto probabile che questi set di dati esposti vengano danneggiati da un attacco di malware.

Infatti, sui file server queste cartelle sono note come “condivisioni aperte” nel caso in cui sia il file system che le autorizzazioni di condivisione sono accessibili tramite un gruppo di accesso globale.

Per trovare ed eliminare i gruppi di accesso globali puoi utilizzare tecnologie apposite; tuttavia è anche possibile individuare le condivisioni aperte creando un utente che non appartenga a nessun gruppo e utilizzando le credenziali di tale account per esaminare l’ambiente di condivisione dei file.

Anche i comandi net di base di una shell cmd di Windows possono essere utilizzati per enumerare e testare le condivisioni per l’accessibilità:

  • net view (enumera gli host vicini);
  • net view \\host (enumera le condivisioni);
  • net use X: \\host\share (mappa una guida alla condivisione);
  • dir /s (enumera tutti i file leggibili dall’utente sotto la condivisione).

Questi comandi possono essere facilmente combinati in uno script batch per identificare cartelle e file ampiamente accessibili.

Rimediare a questi senza automazione, purtroppo, può trasformarsi in un processo lungo e rischioso, poiché è facile influenzare la normale attività aziendale se non si sta attenti.

Pertanto, se scopri una grande quantità di cartelle accessibili, considera una soluzione automatizzata.

Le soluzioni automatizzate possono anche aiutarti ad andare oltre l’eliminazione dell’accesso globale, rendendo possibile ottenere un vero modello con privilegi minimi ed eliminare allo stesso tempo la gestione manuale e inefficace del controllo degli accessi.

Come rilevare CryptoLocker

Spoiler: se vuoi passare direttamente all’azione, abbiamo preparato una lista con i 150 migliori strumenti per decrittare ransomware cryptolocker.

Ora entriamo nelle pieghe tecniche della rilevazione.

Se l’attività di accesso ai file viene monitorata sui file server interessati, si osserveranno dei comportamenti anomali che generano un numero molto elevato di tentativi di apertura, modifica e creazione a un ritmo molto rapido e saranno, pertanto, abbastanza facili da individuare con l’automazione che fornisce un prezioso controllo investigativo.

Ad esempio, se un singolo account utente modifica 100 file in un minuto, puoi scommettere che si tratti di un procedimento automatizzato.

Configura la tua soluzione di monitoraggio per attivare un avviso nel caso venga osservato questo comportamento.

Se non disponi di una soluzione automatizzata per monitorare l’attività di accesso ai file, potresti essere costretto ad attivare il native auditing.

In generale, però, sia il native auditing che i sistemi di monitoraggio fiscale e l’output sono sfortunatamente difficili da decifrare.

Invece di tentare di abilitare e raccogliere log di audit nativi su ogni sistema, dai la priorità alle aree particolarmente sensibili e valuta la possibilità di impostare un honeypot di condivisione file.

Una condivisione di file honeypot è una condivisione di file accessibile che contiene file che sembrano normali o preziosi, ma in realtà sono falsi.

Poiché nessuna attività utente legittima deve essere associata a una condivisione di file honeypot, qualsiasi attività osservata deve essere esaminata attentamente.

Se i comandi manuali saranno bloccati, dovrai abilitare il native auditing per registrare l’accesso e creare uno script per avvisarti quando le attività vengono iscritte nel registro degli eventi di sicurezza (ad esempio utilizzando dumpel.exe).

Se il tuo meccanismo di controllo investigativo può attivare una risposta automatica, come la disabilitazione dell’account utente, l’attacco viene effettivamente fermato prima di infliggere ulteriori danni.

Ad esempio, la risposta a un utente che genera più di 100 azioni di modifica in un minuto potrebbe includere:

  • Notifica agli amministratori IT e della sicurezza (includi il nome utente e il computer interessati);
  • Controllo del registro della macchina per chiavi / valori noti creati da CryptoLocker;
  • Get-Item HKCU:\Software\CryptoLocker\Files).GetValueNames();
  • se il valore esiste, disabilita automaticamente l’utente.

Se l’attività di accesso registrata viene salvaguardata ed è adeguatamente ricercabile, diventa preziosa negli sforzi di ripristino, poiché fornisce una raccolta completa di tutti i file, account utente e (potenzialmente) host interessati.

A seconda della variante di CryptoLocker, la crittografia può essere reversibile con un disassemblatore in tempo reale.

Suggerimenti per la sicurezza contro i ransomware

A conclusione, ti consegno dei piccoli e semplici suggerimenti per potenziare la sicurezza del tuo dispositivo contro il ransomware.

Suggerimenti per la sicurezza contro i ransomware guida helpransomware
  • Aggiorna il tuo antivirus e il software di protezione degli endpoint: queste soluzioni possono aiutare a rilevare alcuni tipi di ransomware e impedire che crittografino i tuoi file;
  • Evita le truffe di phishing: le e-mail di phishing sono il modo più comune con cui si diffondono i ransomware;
  • Conserva i backup dei tuoi documenti: è molto più veloce e facile recuperare i tuoi documenti da un backup piuttosto che decrittarli nel caso siano stati compromessi da un attacco ransomware;
  • Impegnati a seguire un modello di zero trust o privilegi minimi: il ransomware può influire solo sulle cartelle in cui un utente può scrivere, un modello con privilegi minimi limita l’accesso solo a ciò che è assolutamente necessario;
  • Monitora l’attività dei file e il comportamento degli utenti per rilevare, avvisare e rispondere a potenziali attività di ransomware.

Nuove varianti di ransomware stanno spuntando continuamente: contatta il team forense dedicato alla sicurezza di Help Ransomware e aggiorna diligentemente le firme ransomware rilevate in rete.

Lascia un commento