▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Ransomware ed exploit zero day, fine anno difficile per Windows

Il ransomware Snatch riavvia Windows in modalità provvisoria per agire indisturbato, l'exploit zero day di Windows concede ai cyber criminali l'accesso al sistema come amministratore.

Business Consumer Tecnologie/Scenari Vulnerabilità
È ancora un ransomware a disturbare la quiete di fine anno. Il suo nome è Snatch e secondo gli esperti di sicurezza di Sophos è particolarmente insidioso. La scoperta di questo strumento malevolo risale al 2018. Il suo comportamento noto aveva permesso di bloccarlo mediante le protezioni che intercettano le attività tipiche dei ransomware. A quanto pare, i cyber criminali hanno affinato la tecnica e questa difesa non è più così efficace.

Nel report "Snatch Ransomware Reboots PCs into Safe Mode to Bypass Protection" si legge che, per agire indisturbato, Snatch riavvia i PC in modalità provvisoria prima di iniziare il processo di crittografia. Gli esperti di SophosLabs e Sophos Managed Threat Response spiegano le modalità d'attacco. Snatch è il classico esempio di strumento per un attacco attivo. I cyber criminali si insinuano nel sistema vittima abusando dei servizi di accesso remoto IT non protetti. Un esempio è il Remote Desktop Protocol (RDP).
snatch 1Snatch riavvia il computer in Modalità provvisoria. In questo ambiente la maggior parte dei software (inclusi quelli di sicurezza) non funziona. Il ransomware può così crittografare indisturbato i dati delle vittime. A quel punto non c'è più nulla da fare, se non denunciare l'accaduto alle forze dell'ordine. La tecnica non è inedita, è usata anche da altri gruppi di ransomware, come Bitpaymer.

SophosLabs ritiene che il rischio sia talmente alto da giustificare un'elevata attenzione da parte dei responsabili della sicurezza IT e degli utenti finali. Anche perché Snatch non è in singolo strumento, ma una raccolta di strumenti. Include un ransomware, uno strumento per il furto di dati, e uno Cobalt Strike per rivelare le vulnerabilità del sistema. Ci sono inoltre strumenti pubblici che non sono intrinsecamente dannosi, ma che possono essere utilizzati in modo fraudolento.

La buona notizia è che questo malware funziona solo su Windows, dalla versione 7 alla 10, nelle versioni a 32 e 64 bit.
snatch 2La difesa segue le solite regole del buon senso: tenere costantemente sotto controllo le minacce, implementare tecniche di Intelligenza Artificiale per il rilevamento delle anomalie. Dove possibile bisogna chiudere i servizi di accesso remoto, negli altri casi attivare una VPN con autenticazione multi-fattore.

I server con accesso remoto aperto alla rete devono essere tempestivamente aggiornati con le patch più recenti e con software per la protezione degli endpoint. Non ultimo, chi si collega ai servizi di accesso remoto dovrebbe avere privilegi limitati.

Exploit zero day di Windows

Per chi usa i sistemi Windows, Snatch non è l'unica minaccia. Kaspersky ha individuato una vulnerabilità zero-day. Permette agli attaccanti di ottenere l’accesso al sistema come amministratore (“elevation of privilege”, EoP) e di eludere la protezione del browser Google Chrome. È lo stesso strumento malevolo incorporato in un exploit Google Chrome rilevato lo scorso novembre 2019. Di recente è stato impiegato nell’operazione WizardOpium.
exploit eop utilizzato nell attaccoExploit EoP utilizzato nell'attacco
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter