Omnia Group Smart Business

il blog che aiuta le Aziende italiane a crescere attraverso la Tecnologia

Secondo una recente indagine di Sophos, una serie di attacchi ransomware che sfruttano l’accesso di tipo Remote Desktop Protocol (RDP) ha infettato i sistemi di numerose compagnie di piccole e medie dimensioni. Gli hacker utilizzano la debolezza delle password scelte dagli utenti per entrare nei sistemi e installare malware, per richiedere in seguito il pagamento di un riscatto.

Source: //www.securityweek.com/

  • Trovare porte RDP esposte in rete è un’operazione abbastanza semplice, attraverso motori di ricerca specializzati (come Shoda). I cyber criminali sfruttano tool pubblici o privati per ottenere l’accesso ai sistemi rilevati come vulnerabili, ed eseguono poi attività di tipo brute-force per trovare le chiavi di accesso ai sistemi. Avvenuta l’intromissione, gli hacker si autenticano nel network creando un proprio account utente amministratore; in questo modo, l’accesso al sistema sarà garantito anche in seguito alla scoperta dell’introduzione e alla modifica delle credenziali sottratte.
  • Nel corso dell’attacco vengono disattivati i servizi di database, per consentire al malware installato di raggiungere i database; i sistemi di backup automatici vengono interrotti e i backup esistenti cancellati, per impedire alle vittime di ripristinare i file colpiti. Gli attacchi di questo tipo si stanno diffondendo rapidamente; anche il mese scorso è stata osservata una variante del noto ransomware BTCware chiamata PayDay, che sfruttava lo stesso meccanismo per infettare i sistemi.
  • In molti degli attacchi riscontrati, il riscatto richiesto ammontava a 1 Bitcoin. Le vittime di questa ondata di attacchi sono aziende di piccole e media dimensioni, con una media di 50-60 dipendenti. Al fine di proteggere i propri sistemi e l’intero business, le organizzazioni devono disattivare il protocollo RDP sui propri sistemi, o proteggerlo adeguatamente nel caso ci sia la necessità di usarlo con regolarità. Le connessioni verso l’esterno della rete devono avvenire attraverso Virtual Private Network e deve essere sempre presente l’autenticazione a due fattori. In ogni caso, il monitoraggio costante dello stato di sicurezza della rete e l’adozione di soluzioni specifiche rappresenta la strategia migliore.
» Scopri i servizi di Cyber Security Omnia Group