Circa il 60% degli attacchi ransomware condotti dall’uomo prevede la cifratura remota. Continuate a leggere per saperne di più su questo diffusissimo vettore di attacco ransomware e sulle capacità di protezione all’avanguardia di Sophos.
Che cos’è il ransomware remoto?
Il ransomware remoto, noto anche come cifratura remota dannosa, si verifica quando un endpoint compromesso viene utilizzato per criptare i dati di altri dispositivi sulla stessa rete.
Negli attacchi condotti dall’uomo, gli avversari tentano in genere di distribuire il ransomware direttamente sui computer che vogliono cifrare. Se il loro tentativo iniziale viene bloccato (ad esempio, dalle tecnologie di sicurezza sui dispositivi di destinazione), raramente si arrendono, scegliendo invece di passare a un approccio alternativo e di riprovare più volte.
Una volta che gli aggressori riescono a compromettere un computer, possono sfruttare l’architettura di dominio dell’organizzazione per cifrare i dati sui dispositivi gestiti collegati al dominio. Tutte le attività dannose (ingresso, esecuzione del payload e cifratura) avvengono sulla macchina già compromessa, aggirando così i moderni stack di sicurezza. L’unica indicazione di violazione è la trasmissione di documenti da e verso altre macchine.
L’80% delle compromissioni della cifratura remota ha origine da dispositivi non gestiti della rete, anche se alcune partono da macchine poco protette che non dispongono delle difese necessarie per fermare gli aggressori.
Perché il ransomware remoto è così diffuso?
Un fattore chiave che determina la diffusione di questo approccio è la sua scalabilità: un singolo endpoint non gestito o poco protetto può esporre l’intero patrimonio di un’organizzazione alla cifratura remota dannosa, anche se tutti gli altri dispositivi sono dotati di una soluzione di sicurezza per endpoint di nuova generazione.
A peggiorare le cose, gli avversari hanno a disposizione un’ampia gamma di varianti di ransomware per questi attacchi. Svariate famiglie di ransomware supportano la cifratura maligna remota, tra cui Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk e WannaCry.
Inoltre, la maggior parte dei prodotti per la sicurezza degli endpoint è inefficace in questo scenario perché si concentra sul rilevamento di file e processi ransomware dannosi sull’endpoint protetto. Con gli attacchi di crittografia remota, invece, i processi vengono eseguiti sul computer compromesso, lasciando che il sistema di protezione non si accorga dell’attività dannosa.
Fortunatamente, Sophos Endpoint include una solida difesa contro la cifratura remota dannosa, grazie a CryptoGuard, una soluzione unica nel settore.
Sophos CryptoGuard: protezione universale e all’avanguardia contro il ransomware
Sophos Endpoint contiene diversi livelli di protezione che difendono le organizzazioni dal ransomware, tra cui CryptoGuard, la nostra esclusiva tecnologia anti-ransomware inclusa in tutti gli abbonamenti Sophos Endpoint.
A differenza di altre soluzioni per la sicurezza degli endpoint che si limitano a cercare file e processi dannosi, CryptoGuard analizza i file di dati alla ricerca di segni di cifratura dannosa, indipendentemente dal luogo in cui i processi sono in esecuzione. Questo approccio lo rende estremamente efficace nel bloccare tutte le forme di ransomware, compresa la cifratura remota dannosa. Se rileva un’attività di questo tipo, CryptoGuard la blocca automaticamente e riporta i file al loro stato di “non cifratura”.
CryptoGuard esamina attivamente il contenuto di tutti i documenti durante la lettura e la scrittura dei file, utilizzando l’analisi matematica per determinare se sono stati cifrati. Questo approccio universale è unico nel settore e consente a Sophos Endpoint di bloccare gli attacchi ransomware che altre soluzioni non riescono a intercettare, compresi quelli da remoto e le varianti di ransomware mai viste prima.
Rileva la cifratura dannosa analizzando il contenuto dei file
A differenza di altre soluzioni che affrontano il ransomware da una prospettiva anti-malware, concentrandosi sul rilevamento del codice dannoso, CryptoGuard cerca la cifratura rapida di massa dei file analizzando il contenuto con algoritmi matematici.
Blocca gli attacchi ransomware sia locali che remoti
Poiché CryptoGuard si concentra sul contenuto dei file, è in grado di rilevare i tentativi di cifratura ransomware anche quando il processo dannoso non è in esecuzione sul dispositivo della vittima.
Annulla automaticamente la cifratura dannosa
CryptoGuard crea backup temporanei dei file modificati e annulla automaticamente le modifiche quando rileva una cifratura di massa. Sophos utilizza un approccio proprietario, a differenza di altre soluzioni che impiegano la Volume Shadow Copy di Windows, notoriamente aggirata dagli avversari. Non ci sono limiti alle dimensioni e al tipo di file che possono essere recuperati, riducendo al minimo l’impatto sulla produttività aziendale.
Blocca automaticamente i dispositivi remoti
In caso di attacco ransomware remoto, CryptoGuard blocca automaticamente l’indirizzo IP del dispositivo che cerca di criptare i file sul computer della vittima.
Protegge il master boot record (MBR)
CryptoGuard protegge il dispositivo anche dai ransomware che cifrano il master boot record (impedendo l’avvio) e dagli attacchi che cancellano il disco rigido.
CryptoGuard è una delle funzionalità esclusive di Sophos Endpoint ed è in dotazione con tutti gli abbonamenti a Sophos Intercept X Advanced, Sophos XDR e Sophos MDR. Inoltre, la funzionalità viene attivata automaticamente per default, garantendo alle aziende una protezione completa dagli attacchi ransomware sia locali che remoti, senza bisogno di alcuna impostazione o configurazione.
Scoprite i dispositivi non protetti
Un singolo endpoint non protetto può rendere la vostra organizzazione vulnerabile a un attacco di cifratura remota. L’implementazione di Sophos Endpoint fornisce una solida protezione universale contro questo tipo di attacchi. Ma come si fa a capire se nella rete sono presenti dispositivi non protetti?
È qui che Sophos Network Detection and Response (NDR) può aiutarvi. Sophos NDR monitora il traffico di rete alla ricerca di flussi sospetti e, così facendo, identifica i dispositivi vulnerabili e le risorse non autorizzate presenti nell’ambiente.
Per ottenere la massima protezione contro gli attacchi ransomware remoti, installate Sophos Endpoint su tutti i computer della rete e implementate Sophos NDR per individuare i dispositivi non protetti presenti nella rete.
Potenziate la vostra protezione contro il ransomware remoto oggi stesso
La cifratura remota dannosa è una tecnica di ransomware molto diffusa che la maggior parte delle principali soluzioni di sicurezza per endpoint fatica a bloccare. Se non utilizzate Sophos Endpoint, è molto probabile che siate esposti.
Per saperne di più su Sophos Endpoint e su come può aiutare la vostra azienda a difendersi meglio dalle odierne tecniche di attacco avanzate, incluso il ransomware remoto, parlate oggi stesso con un consulente Sophos o con il vostro partner Sophos. Potete anche fare una prova nel vostro ambiente con una demo gratuita di 30 giorni, non vincolante.