Oltre a Interfax, altri due media russi hanno sofferto del virus ransomware, uno dei quali è l'edizione di San Pietroburgo di Fontanka, lo sa Group-IB.
Il caporedattore di Fontanka, Alexander Gorshkov, ha dichiarato a Vedomosti che i server di Fontanka sono stati attaccati da aggressori sconosciuti. Ma Gorshkov assicura che non si parla di attacco ransomware a Fontanka: i computer della redazione sono funzionanti, il server responsabile del sito è stato hackerato.
Le suddivisioni di Interfax in Gran Bretagna, Azerbaigian, Bielorussia e Ucraina, così come il sito web Interfax-Religion, continuano a funzionare, ha detto Pogorely a Vedomosti. Non è chiaro perché il danno non abbia interessato altri reparti, forse questo è dovuto alla topologia della rete Interfax, dove sono geograficamente dislocati i server, e con il sistema operativo che è installato su di essi, dice.
Martedì pomeriggio "Interfax" ucraino ha riferito di un attacco di hacker all'aeroporto internazionale di Odessa. L'aeroporto sulla sua pagina si è scusato con i passeggeri "per l'aumento forzato dei tempi di servizio", ma a giudicare dal suo tabellone online, martedì ha comunque continuato a inviare e ricevere aerei.
Anche la metropolitana di Kiev ha riferito dell'attacco informatico sul suo account Facebook: ci sono stati problemi con il pagamento dei viaggi con le carte bancarie. Front News ha riferito che la metropolitana è stata attaccata da un virus ransomware.
Il gruppo IB conclude che c'è una nuova epidemia. Negli ultimi mesi, due ondate di attacchi ransomware hanno spazzato il mondo: il virus WannaCry è apparso il 12 maggio e il virus Petya (noto anche come NotPetya ed ExPetr) è apparso il 27 giugno. Si sono infiltrati nei computer Windows senza aggiornamenti installati, hanno crittografato il contenuto dei dischi rigidi e hanno richiesto $ 300 per la decrittazione. Come si è scoperto in seguito, Petya non aveva intenzione di decifrare i computer delle vittime. Il primo attacco ha colpito centinaia di migliaia di computer in più di 150 paesi, il secondo 12.500 computer in 65 paesi. Anche le russe Megafon, Evraz, Gazprom e Rosneft sono state vittime degli attacchi. Il virus ha colpito anche i centri medici Invitro, che per diversi giorni non hanno effettuato test sui pazienti.
In quasi un mese e mezzo, Petya è riuscita a raccogliere solo $ 18.000, ma il danno è stato incomparabilmente maggiore. Una delle sue vittime, il gigante della logistica danese Moller-Maersk, ha stimato in 200-300 milioni di dollari le entrate perse dall'attacco informatico.
Tra le divisioni di Moller-Maersk, il colpo principale è caduto su Maersk Line, che è impegnata nel trasporto marittimo di container (nel 2016, Maersk Line ha guadagnato un totale di $ 20,7 miliardi, la divisione impiega 31.900 persone).
Le aziende si sono rapidamente riprese dall'attacco, ma le aziende e le autorità di regolamentazione sono rimaste in guardia. Ad esempio, ad agosto, i direttori delle sue filiali sono stati avvertiti di un possibile attacco informatico da parte del ransomware Federal Grid Company UES (gestisce la rete elettrica tutta russa), e pochi giorni dopo le banche russe hanno ricevuto un avvertimento simile da FinCERT ( la struttura della Banca Centrale che si occupa di cybersecurity).
Un nuovo attacco ransomware è stato notato anche da Kaspersky Lab, secondo il quale la maggior parte delle vittime dell'attacco si trova in Russia, ma ci sono infezioni in Ucraina, Turchia e Germania. Tutti i segnali indicano che si tratta di un attacco mirato alle reti aziendali, afferma Vyacheslav Zakorzhevsky, capo del dipartimento di ricerca antivirus di Kaspersky Lab: vengono utilizzati metodi simili agli strumenti ExPetr, ma non è possibile rintracciare alcuna connessione con questo virus.
E secondo la società di antivirus Eset, il ransomware è ancora un parente di Petya. L'attacco ha utilizzato il malware Diskcoder.D, una nuova modifica dell'encryptor.
Pogorely ha affermato che l'antivirus Symantec è stato installato sui computer di Interfax. Ieri i rappresentanti di Symantec non hanno risposto alla richiesta di Vedomosti.
Il 12 aprile 2017, sono apparse informazioni sulla rapida diffusione di un virus ransomware chiamato WannaCry, che può essere tradotto come "Voglio piangere", in tutto il mondo. Gli utenti hanno domande sull'aggiornamento di Windows dal virus WannaCry.
Il virus sullo schermo del computer ha questo aspetto:
Il brutto virus WannaCry che crittografa tutto
Il virus crittografa tutti i file sul computer e richiede un riscatto per il portafoglio Bitcoin per un importo di $ 300 o $ 600 per presumibilmente decrittografare il computer. I computer in 150 paesi del mondo sono stati infettati, il più colpito è la Russia.
Megafon, le ferrovie russe, il Ministero degli affari interni, il Ministero della salute e altre società si sono trovate faccia a faccia con questo virus. Tra le vittime ci sono anche normali utenti di Internet.
Quasi tutti sono uguali prima del virus. La differenza, forse, è che nelle aziende il virus si diffonde nell'intera rete locale all'interno dell'organizzazione e infetta istantaneamente il maggior numero possibile di computer.
Il virus WannaCry crittografa i file sui computer che eseguono Windows. Nel marzo 2017, Microsoft ha rilasciato gli aggiornamenti MS17-010 per varie versioni di Windows XP, Vista, 7, 8, 10.
Si scopre che coloro che hanno configurato gli aggiornamenti automatici di Windows sono fuori dalla zona a rischio per il virus, perché hanno ricevuto l'aggiornamento in modo tempestivo e sono stati in grado di evitarlo. Non ho la presunzione di dire che è davvero così.
Riso. 3. Messaggio durante l'installazione dell'aggiornamento KB4012212
L'aggiornamento di KB4012212 dopo l'installazione ha richiesto un riavvio del laptop, cosa che non mi è piaciuta molto, perché non so come potrebbe finire, ma dove dovrebbe andare l'utente? Tuttavia, il riavvio è andato bene. Ciò significa che vivremo in pace fino al prossimo attacco di virus e che tali attacchi saranno - ahimè, non c'è motivo di dubitare.
Alcuni virus vincono, altri compaiono di nuovo. Questa lotta sarà ovviamente infinita.
Video "I Want to Cry": virus ransomware ha infettato 75mila sistemi in 99 paesi
Ricevi gli ultimi articoli di alfabetizzazione informatica direttamente nella tua casella di posta.
Già di più 3.000 iscritti
Le moderne tecnologie consentono agli hacker di migliorare costantemente i metodi di frode in relazione agli utenti ordinari. Di norma, per questi scopi, viene utilizzato un software antivirus che penetra nel computer. I virus ransomware sono considerati particolarmente pericolosi. La minaccia risiede nel fatto che il virus si diffonde molto rapidamente, crittografando i file (l'utente semplicemente non può aprire alcun documento). E se è abbastanza semplice, è molto più difficile decifrare i dati.
Cosa fare se un virus ha file crittografati sul tuo computer
Chiunque può essere attaccato da un ransomware, anche gli utenti che dispongono di un potente software antivirus non sono assicurati. I trojan per la crittografia dei file sono rappresentati da vari codici che potrebbero essere al di là della potenza di un antivirus. Gli hacker riescono ad attaccare in questo modo anche grandi aziende, che non si sono prese cura della necessaria protezione delle loro informazioni. Quindi, dopo aver "raccolto" il programma ransomware online, è necessario prendere una serie di misure.
I principali segni di infezione sono le prestazioni lente del computer e la modifica dei nomi dei documenti (è possibile vederlo sul desktop).
- Riavvia il computer per interrompere la crittografia. Se abilitato, non confermare l'avvio di programmi sconosciuti.
- Esegui il tuo antivirus se non è stato attaccato da un ransomware.
- In alcuni casi, le copie shadow ti aiuteranno a recuperare le informazioni. Per trovarli, apri le "Proprietà" del documento crittografato. Questo metodo funziona con i dati crittografati dell'estensione Vault, di cui sono disponibili informazioni sul portale.
- Scarica l'ultima utility per combattere i virus ransomware. I più efficaci sono offerti da Kaspersky Lab.
Virus ransomware nel 2016: esempi
Quando si combatte un attacco di virus, è importante capire che il codice cambia molto spesso, integrato da una nuova protezione antivirus. Naturalmente, i programmi di protezione richiedono un po' di tempo prima che lo sviluppatore aggiorni i database. Abbiamo selezionato i virus ransomware più pericolosi degli ultimi tempi.
Ishtar ransomware
Ishtar è un ransomware che estorce denaro all'utente. Il virus è stato notato nell'autunno del 2016, infettando un numero enorme di computer di utenti provenienti dalla Russia e da molti altri paesi. Viene distribuito utilizzando una distribuzione e-mail con documenti allegati (installatori, documenti, ecc.). Ai dati infettati dal ransomware Ishtar viene assegnato il prefisso "ISHTAR" nel nome. Nel processo, viene creato un documento di prova, che indica dove andare per ottenere una password. Gli aggressori chiedono da 3000 a 15000 rubli per questo.
Il pericolo del virus Ishtar è che oggi non esiste un decryptor che possa aiutare gli utenti. Le aziende di software antivirus impiegano del tempo per decifrare tutto il codice. Ora puoi solo isolare le informazioni importanti (se di particolare importanza) su un supporto separato, in attesa del rilascio di un'utilità in grado di decrittare i documenti. Si consiglia di reinstallare il sistema operativo.
Neitrino
Il ransomware Neitrino è apparso su Internet nel 2015. Per il principio dell'attacco, è simile ad altri virus di una categoria simile. Modifica i nomi di cartelle e file aggiungendo "Neitrino" o "Neutrino". Il virus è difficile da decifrare: non tutti i rappresentanti delle aziende antivirus lo intraprendono, riferendosi a un codice molto complesso. Alcuni utenti potrebbero trovare utile ripristinare una copia shadow. Per fare ciò, fare clic con il tasto destro del mouse sul documento crittografato, andare su Proprietà, la scheda Versioni precedenti, fare clic su Ripristina. Non sarà superfluo utilizzare un'utilità gratuita di Kaspersky Lab.
Portafoglio o .portafoglio.
Il virus ransomware Wallet è apparso alla fine del 2016. Nel processo di infezione, cambia il nome dei dati in "Nome..portafoglio" o qualcosa di simile. Come la maggior parte dei virus ransomware, entra nel sistema tramite allegati di posta elettronica inviati dai criminali informatici. Poiché la minaccia è apparsa di recente, i programmi antivirus non la notano. Dopo la crittografia, crea un documento in cui il truffatore specifica la posta per la comunicazione. Attualmente, gli sviluppatori di software antivirus stanno lavorando per decifrare il codice del ransomware [e-mail protetta] Gli utenti attaccati possono solo aspettare. Se i dati sono importanti, si consiglia di salvarli su un'unità esterna pulendo il sistema.
Enigma
Il virus ransomware Enigma ha iniziato a infettare i computer degli utenti russi alla fine di aprile 2016. Il modello di crittografia utilizzato è AES-RSA, che si trova oggi nella maggior parte dei virus ransomware. Il virus entra in un computer utilizzando uno script che l'utente stesso avvia aprendo file da un'e-mail sospetta. Non esiste ancora uno strumento universale per combattere il ransomware Enigma. Gli utenti con una licenza antivirus possono chiedere aiuto sul sito Web ufficiale dello sviluppatore. È stata anche trovata una piccola "scappatoia": Windows UAC. Se l'utente fa clic su "No" nella finestra che appare durante l'infezione da virus, potrà successivamente recuperare le informazioni utilizzando copie shadow.
Granito
Il nuovo virus ransomware Granit è apparso sul Web nell'autunno del 2016. L'infezione si verifica secondo il seguente scenario: l'utente avvia il programma di installazione, che infetta e crittografa tutti i dati sul PC, nonché sulle unità collegate. Combattere il virus è difficile. Per rimuoverlo, puoi utilizzare utilità speciali di Kaspersky, ma il codice non è stato ancora decifrato. Forse il ripristino delle versioni precedenti dei dati sarà d'aiuto. Inoltre, uno specialista con una vasta esperienza può decifrare, ma il servizio è costoso.
Tyson
È stato avvistato di recente. È un'estensione del noto ransomware no_more_ransom, che puoi trovare sul nostro sito web. Arriva ai personal computer dalla posta elettronica. Molti PC aziendali sono stati attaccati. Il virus crea un documento di testo con le istruzioni per lo sblocco, proponendosi di pagare un riscatto. Il ransomware Tyson è apparso di recente, quindi non esiste ancora una chiave per sbloccarlo. L'unico modo per recuperare le informazioni è restituire le versioni precedenti, se non sono state rimosse da un virus. Puoi, ovviamente, correre il rischio trasferendo denaro sul conto indicato dai criminali informatici, ma non c'è alcuna garanzia che riceverai una password.
Spora
All'inizio del 2017, un certo numero di utenti è caduto vittima del nuovo ransomware Spora. Secondo il principio del lavoro, non differisce molto dalle sue controparti, ma può vantare prestazioni più professionali: le istruzioni per ottenere una password sono compilate meglio, il sito Web sembra più carino. Creato un virus ransomware Spora in linguaggio C, utilizza una combinazione di RSA e AES per crittografare i dati della vittima. Di norma, sono stati attaccati i computer su cui viene utilizzato attivamente il software di contabilità 1C. Il virus, che si nasconde sotto le spoglie di una semplice fattura .pdf, lo fa lanciare dai dipendenti dell'azienda. Nessuna cura è stata ancora trovata.
1C.Drop.1
Questo virus ransomware per 1C è apparso nell'estate del 2016, interrompendo il lavoro di molti reparti contabili. È stato sviluppato specificamente per i computer che utilizzano il software 1C. Passando attraverso un file in una e-mail su un PC, invita il proprietario ad aggiornare il programma. Qualunque sia il pulsante premuto dall'utente, il virus inizierà a crittografare i file. Gli specialisti di Dr.Web stanno lavorando su strumenti di decrittazione, ma non sono ancora state trovate soluzioni. Ciò è dovuto al codice complesso, che può essere in diverse modifiche. La protezione contro 1C.Drop.1 è solo la vigilanza degli utenti e l'archiviazione regolare di documenti importanti.
da_vinci_code
Nuovo ransomware con un nome insolito. Il virus è apparso nella primavera del 2016. Si differenzia dai suoi predecessori per il codice migliorato e la modalità di crittografia avanzata. da_vinci_code infetta un computer grazie a un'applicazione esecutiva (solitamente allegata a un messaggio di posta elettronica), che l'utente avvia da solo. Il codice da vinci copia il corpo nella directory di sistema e nel registro, assicurando che si avvii automaticamente all'avvio di Windows. Al computer di ogni vittima viene assegnato un ID univoco (aiuta a ottenere una password). È quasi impossibile decifrare i dati. Puoi pagare soldi ai criminali informatici, ma nessuno garantisce che riceverai una password.
[e-mail protetta] / [e-mail protetta]
Due indirizzi e-mail che sono stati frequentemente associati a virus ransomware nel 2016. Sono loro che servono a collegare la vittima con l'attaccante. In allegato c'erano indirizzi per vari tipi di virus: da_vinci_code, no_more_ransom e così via. È altamente sconsigliato contattare e trasferire denaro a truffatori. Gli utenti nella maggior parte dei casi rimangono senza password. Quindi, dimostrando che il ransomware dei criminali informatici sta lavorando per generare entrate.
Breaking Bad
È apparso all'inizio del 2015, ma si è diffuso attivamente solo un anno dopo. Il principio dell'infezione è identico ad altri ransomware: installazione di un file da un'e-mail, crittografia dei dati. Gli antivirus regolari di solito non notano il virus Breaking Bad. Alcuni codici non possono ignorare l'UAC di Windows, quindi l'utente ha la possibilità di ripristinare le versioni precedenti dei documenti. Nessuna società di software antivirus ha ancora fornito un decodificatore.
XTBL
Un ransomware molto comune che ha causato problemi a molti utenti. Una volta su un PC, il virus cambia l'estensione del file in .xtbl in pochi minuti. Viene creato un documento in cui un utente malintenzionato estorce denaro. Alcune varietà di virus XTBL non possono distruggere i file di Ripristino configurazione di sistema, consentendo la restituzione di documenti importanti. Il virus stesso può essere rimosso da molti programmi, ma è molto difficile decifrare i documenti. Se sei il proprietario di un antivirus con licenza, utilizza il supporto tecnico allegando campioni di dati infetti.
Kukaracha
Il ransomware "Cucaracha" è stato individuato nel dicembre 2016. Un virus con un nome interessante nasconde i file degli utenti utilizzando l'algoritmo RSA-2048, che è altamente resistente. Kaspersky Anti-Virus lo ha designato come Trojan-Ransom.Win32.Scatter.lb. Kukaracha può essere rimosso dal tuo computer in modo che altri documenti non vengano infettati. Tuttavia, gli infetti oggi sono quasi impossibili da decifrare (algoritmo molto potente).
Come funziona un virus ransomware
Esiste un numero enorme di ransomware, ma funzionano tutti secondo un principio simile.
- Contatto con un personal computer. In genere, grazie a un allegato di posta elettronica. L'installazione viene avviata dall'utente stesso aprendo il documento.
- Infezione da file. Quasi tutti i tipi di file sono crittografati (a seconda del virus). Viene creato un documento di testo che contiene i contatti per la comunicazione con gli aggressori.
- Tutto quanto. L'utente non può accedere ad alcun documento.
Rimedi di controllo da laboratori popolari
L'uso diffuso di ransomware, che sono riconosciuti come le minacce più pericolose per i dati degli utenti, è diventato l'impulso per molti laboratori antivirus. Ogni azienda popolare fornisce ai propri utenti programmi per aiutarli a combattere il ransomware. Inoltre, molti di loro aiutano con la decrittazione dei documenti proteggendo il sistema.
Kaspersky e virus ransomware
Uno dei laboratori antivirus più famosi in Russia e nel mondo offre oggi i mezzi più efficaci per combattere i virus ransomware. Il primo ostacolo per il virus ransomware sarà Kaspersky Endpoint Security 10 con gli ultimi aggiornamenti. L'antivirus semplicemente non consentirà alla minaccia di entrare nel computer (anche se potrebbe non bloccare le nuove versioni). Per decrittografare le informazioni, lo sviluppatore presenta diverse utility gratuite contemporaneamente: XoristDecryptor, RakhniDecryptor e Ransomware Decryptor. Aiutano a trovare il virus e indovinare la password.
Dott. Web e ransomware
Questo laboratorio consiglia di utilizzare il loro programma antivirus, la cui caratteristica principale è il backup dei file. L'archiviazione con copie di documenti è inoltre protetta da accessi non autorizzati da parte di intrusi. I proprietari del prodotto concesso in licenza Dr. Web, è disponibile la funzione per contattare il supporto tecnico. È vero, anche gli specialisti esperti non sono sempre in grado di resistere a questo tipo di minaccia.
ESET Nod 32 e ransomware
Anche questa azienda non si è fatta da parte, fornendo ai suoi utenti una buona protezione contro i virus che entrano nel computer. Inoltre, il laboratorio ha recentemente rilasciato un'utilità gratuita con database aggiornati: Eset Crysis Decryptor. Gli sviluppatori affermano che aiuterà nella lotta anche contro il ransomware più recente.
Il nuovo ransomware WannaCry (noto anche come WannaCry Decryptor, WannaCrypt, WCry e WanaCrypt0r 2.0) si è fatto conoscere al mondo il 12 maggio 2017, quando i file sui computer di diverse strutture sanitarie nel Regno Unito sono stati crittografati. Come è apparso presto chiaro, le aziende di dozzine di paesi si sono trovate in una situazione simile e la Russia, l'Ucraina, l'India e Taiwan hanno sofferto di più. Secondo Kaspersky Lab, il virus è stato rilevato in 74 paesi il primo giorno dell'attacco.
Perché WannaCry è pericoloso? Il virus crittografa vari tipi di file (ottenendo l'estensione .WCRY, i file diventano completamente illeggibili) e quindi richiede un riscatto di $ 600 per la decrittazione. Per accelerare la procedura di trasferimento di denaro, l'utente è intimidito dal fatto che dopo tre giorni l'importo del riscatto aumenterà e dopo sette giorni, i file non verranno affatto decifrati.
I computer che eseguono sistemi operativi Windows sono a rischio di essere infettati dal virus ransomware WannaCry. Se utilizzi versioni con licenza di Windows e aggiorni regolarmente il sistema, non puoi preoccuparti che il virus penetri nel tuo sistema in questo modo.
Gli utenti MacOS, ChromeOS e Linux, così come i sistemi operativi mobili iOS e Android, non dovrebbero assolutamente temere gli attacchi WannaCry.
E se fossi una vittima di WannaCry?
La British National Crime Agency (NCA) raccomanda alle piccole imprese vittime di ransomware e preoccupate per la diffusione del virus sulla rete di intraprendere le seguenti azioni:
- Isola immediatamente il tuo computer, laptop o tablet dalla rete aziendale/interna. Disabilita il Wi-Fi.
- Cambia driver.
- Senza connetterti a una rete Wi-Fi, connetti direttamente il tuo computer a Internet.
- Aggiorna il tuo sistema operativo e tutti gli altri software.
- Aggiorna ed esegui il programma antivirus.
- Riconnettersi alla rete.
- Monitora il traffico di rete e/o esegui una scansione antivirus per assicurarti che il ransomware sia sparito.
Importante!
I file crittografati dal virus WannaCry non possono essere decifrati da nessuno tranne che dagli intrusi. Pertanto, non perdere tempo e denaro con quei "geni dell'IT" che promettono di salvarti da questo mal di testa.
Vale la pena pagare soldi ai criminali informatici?
Le prime domande poste dagli utenti di fronte al nuovo virus ransomware WannaCry sono: come recuperare file e come rimuovere un virus... Non trovando soluzioni gratuite ed efficaci, si trovano di fronte a una scelta: pagare soldi al ricattatore o no? Poiché gli utenti hanno spesso qualcosa da perdere (documenti personali e archivi fotografici sono archiviati nel computer), nasce il desiderio di risolvere il problema con i soldi.
Ma la NCA sollecita nonPagare... Se decidi di farlo, tieni presente quanto segue:
- Innanzitutto, non vi è alcuna garanzia che avrete accesso ai vostri dati.
- In secondo luogo, il tuo computer può ancora rimanere infetto da un virus anche dopo il pagamento.
- Terzo, molto probabilmente donerai i tuoi soldi ai criminali informatici.
Come proteggersi da WannaCry?
Quali azioni intraprendere per prevenire l'infezione da virus, spiega Vyacheslav Belashov, capo del dipartimento di implementazione dei sistemi di sicurezza delle informazioni presso SKB Kontur:
La particolarità del virus WannaCry è che può penetrare nel sistema senza intervento umano, a differenza di altri virus ransomware. In precedenza, il virus richiedeva che l'utente fosse distratto, facendo clic su un collegamento dubbio da un'e-mail che in realtà non era destinata a lui o scaricando un allegato dannoso. Nel caso di WannaCry, una vulnerabilità viene sfruttata direttamente nel sistema operativo stesso. Pertanto, in primo luogo, il gruppo di rischio erano i computer basati su Windows su cui non erano installati gli aggiornamenti del 14 marzo 2017. Una workstation infetta dalla rete locale è sufficiente affinché il virus si diffonda al resto con la vulnerabilità esistente.
Gli utenti colpiti dal virus hanno una domanda principale: come decifrare le loro informazioni? Sfortunatamente, finora non esiste una soluzione garantita ed è improbabile che sia prevista. Anche dopo aver pagato l'importo specificato, il problema non è risolto. Inoltre, la situazione può essere aggravata dal fatto che una persona, nella speranza di recuperare i propri dati, corre il rischio di utilizzare decrittatori presumibilmente "gratuiti", che in realtà sono anche file dannosi. Pertanto, il consiglio principale che si può dare è quello di stare attenti e fare tutto il possibile per evitare una situazione del genere.
Cosa si può e si deve fare esattamente al momento:
1. Installa gli ultimi aggiornamenti.
Questo vale non solo per i sistemi operativi, ma anche per la protezione antivirus. È possibile trovare informazioni sull'aggiornamento di Windows.
2. Fare copie di backup di informazioni importanti.
3. Prestare attenzione quando si lavora con la posta e Internet.
Presta attenzione alle e-mail in arrivo con collegamenti e allegati discutibili. Per lavorare con Internet, si consiglia di utilizzare plug-in che consentono di eliminare annunci pubblicitari non necessari e collegamenti a fonti potenzialmente dannose.
15/05/2017, Lun, 13:33, ora di Mosca, Testo: Pavel Pritula
Di recente, in Russia si è verificato uno dei più grandi e "rumorosi" attacchi informatici, a giudicare dalla stampa: le reti di diversi dipartimenti e grandi organizzazioni, tra cui il Ministero degli affari interni, sono state attaccate da criminali informatici. Il virus ha crittografato i dati sui computer dei dipendenti e ha estorto ingenti somme di denaro in modo che potessero continuare il loro lavoro. Questo è un chiaro esempio del fatto che nessuno è immune dal ransomware. Tuttavia, questa minaccia può essere combattuta: mostreremo diversi modi offerti da Microsoft.
Cosa sappiamo del ransomware? Sembra che questi siano criminali che richiedono denaro o cose da te sotto la minaccia di conseguenze negative. Negli affari, questo accade di tanto in tanto, tutti hanno un'idea approssimativa di come agire in tali situazioni. Ma cosa dovresti fare se un virus ransomware si è insediato sui tuoi computer di lavoro, blocca l'accesso ai tuoi dati e ti richiede di trasferire denaro a determinate persone in cambio di un codice di sblocco? È necessario contattare gli specialisti della sicurezza delle informazioni. Ed è meglio farlo in anticipo per evitare problemi.
Il numero di crimini informatici è cresciuto di un ordine di grandezza negli ultimi anni. Secondo uno studio di SentinelOne, la metà delle aziende nei principali paesi europei è stata attaccata da virus ransomware, e oltre l'80% di esse è stato preso di mira tre o più volte. Un quadro simile si osserva in tutto il mondo. La società di sicurezza delle informazioni Clearswift nomina una sorta di paesi "principali" più colpiti dal ransomware: il ransomware: Stati Uniti, Russia, Germania, Giappone, Gran Bretagna e Italia. Le piccole e medie imprese sono di particolare interesse per i criminali informatici, perché dispongono di più denaro e dati più sensibili rispetto agli individui e non dispongono di potenti servizi di sicurezza come le grandi aziende.
Cosa fare e, soprattutto, come prevenire un attacco ransomware? Innanzitutto, valutiamo la minaccia stessa. L'attacco può essere effettuato in diversi modi. Uno dei più comuni è la posta elettronica. I criminali utilizzano attivamente metodi di ingegneria sociale, la cui efficacia non è minimamente diminuita dai tempi del famoso hacker del XX secolo, Kevin Mitnick. Possono chiamare un dipendente dell'azienda vittima per conto di una controparte reale e, dopo la conversazione, inviare una lettera con un allegato contenente un file dannoso. Il dipendente ovviamente lo aprirà perché ha appena parlato con il mittente al telefono. Oppure il commercialista può ricevere una lettera presumibilmente dal servizio di ufficiale giudiziario o dalla banca che serve la sua azienda. Nessuno è assicurato, e nemmeno il Ministero degli Interni soffre per la prima volta: alcuni mesi fa, gli hacker hanno inviato una fattura falsa di Rostelecom al dipartimento contabilità della Direzione lineare di Kazan del Ministero degli affari interni con un virus ransomware che bloccato il sistema contabile.
La fonte dell'infezione può essere un sito di phishing, a cui l'utente ha avuto accesso tramite un collegamento ingannevole, o un'unità flash "dimenticata accidentalmente" da uno dei visitatori dell'ufficio. Sempre più spesso, l'infezione avviene attraverso i dispositivi mobili non protetti dei dipendenti, dai quali accedono alle risorse aziendali. E l'antivirus potrebbe non funzionare: ci sono centinaia di malware noti per aggirare gli antivirus, per non parlare degli attacchi zero-day che sfruttano i buchi appena aperti nel software.
Che cos'è il ransomware?
Un programma noto come ransomware, ransomware, ransomware blocca l'accesso dell'utente al sistema operativo e di solito crittografa tutti i dati sul disco rigido. Sullo schermo viene visualizzato un messaggio che informa che il computer è bloccato e che il proprietario è obbligato a trasferire una grande quantità di denaro all'attaccante se vuole riprendere il controllo dei dati. Molto spesso, sullo schermo viene attivato un conto alla rovescia di 2-3 giorni in modo che l'utente si affretti, altrimenti il contenuto del disco verrà distrutto. A seconda degli appetiti dei criminali e delle dimensioni dell'azienda, gli importi del riscatto in Russia vanno da alcune decine a diverse centinaia di migliaia di rubli.
Tipi di ransomware
Fonte: Microsoft, 2017
Questi programmi dannosi sono noti da molti anni, ma negli ultimi due o tre anni hanno avuto un vero e proprio fiorire. Come mai? Primo, perché le persone pagano i criminali informatici. Secondo Kaspersky Lab, il 15% delle aziende russe attaccate in questo modo preferisce pagare il riscatto, e 2/3 delle aziende nel mondo sottoposte a tale attacco hanno perso in tutto o in parte i propri dati aziendali.
In secondo luogo, gli strumenti dei criminali informatici sono diventati più sofisticati e accessibili. E il terzo: i tentativi indipendenti della vittima di "indovinare la password" non finiscono bene e la polizia raramente riesce a trovare criminali, specialmente durante il conto alla rovescia.
A proposito. Non tutti gli hacker passano il loro tempo a cercare di fornire una password a una vittima che ha trasferito loro l'importo richiesto.
Qual è il problema aziendale?
Il problema principale nel campo della sicurezza delle informazioni per le piccole e medie imprese in Russia è che non hanno soldi per potenti strumenti specializzati di sicurezza delle informazioni e ci sono sistemi IT e dipendenti più che sufficienti con cui possono verificarsi tutti i tipi di incidenti . Per combattere il ransomware non basta avere solo firewall, antivirus e policy di sicurezza configurati. È necessario utilizzare tutti gli strumenti disponibili, forniti principalmente dal fornitore del sistema operativo, perché è economico (o incluso nel costo del sistema operativo) ed è compatibile al 100% con il proprio software.
La stragrande maggioranza dei computer client e una parte significativa dei server funzionano con Microsoft Windows. Tutti conoscono gli strumenti di sicurezza integrati, come Windows Defender e Windows Firewall, che, insieme agli ultimi aggiornamenti del sistema operativo e ai diritti utente limitati, forniscono un livello di sicurezza abbastanza sufficiente per un normale dipendente in assenza di strumenti specializzati.
Ma la particolarità del rapporto tra business e cybercriminali è che spesso i primi non sono consapevoli di essere attaccati dai secondi. Pensano di essere protetti, ma in realtà il malware è già penetrato nel perimetro della rete e sta tranquillamente facendo il suo lavoro - dopotutto, non tutti si comportano sfacciatamente come i Trojan ransomware.
Microsoft ha cambiato l'approccio per garantire la sicurezza: ora ha ampliato la sua linea di prodotti per la sicurezza delle informazioni e si concentra non solo sul rendere l'azienda il più sicura possibile dagli attacchi moderni, ma anche sulla possibilità di indagare su di essi in caso di infezione verificarsi.
Protezione della posta
Il sistema di posta come principale canale di penetrazione delle minacce nella rete aziendale deve essere ulteriormente protetto. Per fare ciò, Microsoft ha sviluppato il sistema Exchange ATP (Advanced Treat Protection), che analizza gli allegati di posta elettronica oi collegamenti Internet e risponde in modo tempestivo agli attacchi rilevati. È un prodotto separato, si integra con Microsoft Exchange e non ha bisogno di essere distribuito su ogni macchina client.
Exchange ATP può persino rilevare gli attacchi zero-day perché avvia tutti gli allegati in una sandbox speciale senza rilasciarli al sistema operativo e ne analizza il comportamento. Se non contiene segni di attacco, l'allegato è considerato sicuro e l'utente può aprirlo. Un file potenzialmente dannoso viene inviato in quarantena e l'amministratore ne viene informato.
Per quanto riguarda i collegamenti nelle lettere, sono anche controllati. Exchange ATP sostituisce tutti i collegamenti intermedi. L'utente fa clic sul collegamento nella lettera, accede al collegamento intermedio e in questo momento il sistema controlla l'indirizzo per sicurezza. Il controllo è così veloce che l'utente non si accorge del ritardo. Se il collegamento conduce a un sito o file infetto, è vietato quanto segue.
Come funziona Exchange ATP
Fonte: Microsoft, 2017
Perché il controllo avviene al momento del clic e non alla ricezione della lettera - dopotutto, c'è più tempo per la ricerca e, quindi, sarà necessaria meno potenza di calcolo? Questo viene fatto specificamente per proteggersi dal trucco dei criminali informatici di sostituire il contenuto del collegamento. Un esempio tipico: una lettera arriva nella casella di posta di notte, il sistema controlla e non rileva nulla, e al mattino il sito ha già pubblicato questo link, ad esempio un file con un trojan che l'utente scarica in sicurezza.
E la terza parte del servizio Exchange ATP è il sistema di reporting integrato. Consente di indagare sugli incidenti che si sono verificati e fornisce i dati per rispondere alle domande: quando si è verificata l'infezione, come e dove si è verificata. Ciò consente di trovare la fonte, determinare il danno e capire di cosa si trattava: un colpo accidentale o un attacco mirato e mirato contro questa azienda.
Questo sistema è utile anche per la prevenzione. Ad esempio, un amministratore può aumentare le statistiche su quanti clic sono stati effettuati su collegamenti contrassegnati come pericolosi e chi degli utenti lo ha fatto. Anche se l'infezione non si è verificata, è comunque necessario svolgere un lavoro esplicativo con questi dipendenti.
È vero, ci sono categorie di dipendenti che sono costrette dalle responsabilità lavorative a visitare una varietà di siti, ad esempio gli esperti di marketing che effettuano ricerche di mercato. Per loro, le tecnologie Microsoft consentono di configurare la politica in modo che tutti i file scaricati vengano scansionati nella "sandbox" prima di essere salvati sul computer. Inoltre, le regole si impostano in pochi clic.
Protezione delle credenziali
Uno degli obiettivi degli attacchi dannosi sono le credenziali dell'utente. Esistono molte tecnologie per rubare nomi utente e password degli utenti e devono essere contrastate da una protezione forte. C'è poca speranza per i dipendenti stessi: escogitano password semplici, usano una password per accedere a tutte le risorse e le annotano su un adesivo incollato al monitor. Questo può essere combattuto con misure amministrative e impostando a livello di codice i requisiti per le password, ma non ci sarà comunque alcun effetto garantito.
Se un'azienda si preoccupa della sicurezza, i diritti di accesso sono differenziati in essa e, ad esempio, un ingegnere o un responsabile delle vendite non può accedere al server di contabilità. Ma gli hacker hanno un altro trucco in serbo: possono inviare una lettera dal conto catturato di un normale dipendente allo specialista di destinazione che possiede le informazioni necessarie (dati finanziari o segreti commerciali). Dopo aver ricevuto una lettera da un "collega", il destinatario la aprirà al cento per cento e avvierà l'allegato. E il ransomware avrà accesso a dati preziosi per l'azienda, per il cui ritorno l'azienda può pagare molti soldi.
Per impedire a un account violato di accedere a un sistema aziendale, Microsoft suggerisce di proteggerlo con Azure Multifactor Authentication. Cioè, per entrare, devi inserire non solo una coppia nome utente / password, ma anche un codice PIN inviato in SMS, notifica push, generato da un'applicazione mobile o rispondere a una telefonata al robot. L'autenticazione a più fattori è particolarmente utile quando si lavora con dipendenti remoti che possono accedere al sistema aziendale da diverse parti del mondo.
Autenticazione a più fattori di Azure
