Come funziona il ransomware DearCry?
Nel marzo 2021, Microsoft ha rilasciato patch per quattro vulnerabilità critiche all'interno dei server Microsoft Exchange. Queste vulnerabilità sono state sfruttate attivamente in una serie di campagne di attacco. DearCry è una variante del ransomware progettata per sfruttare questi vulnerabili server Microsoft Exchange.
Il malware esegue l'enumerazione delle unità per identificare tutti i supporti di archiviazione accessibili da una macchina infetta. Per ciascuna di queste unità, il ransomware DearCry crittograferà determinati tipi di file (in base alle estensioni dei file) utilizzando AES e RSA-2048. Una volta completata la crittografia, DearCry visualizzerà una richiesta di riscatto che chiede agli utenti di inviare un'e-mail agli operatori del ransomware per sapere come decrittografare le loro macchine.
Come proteggersi dal ransomware DearCry
Quando viene visualizzata la richiesta di riscatto di DearCry, il danno è già stato fatto. Il modo migliore per rispondere a DearCry, o a qualsiasi tipo di ransomware, è rilevare e bloccare il ransomware prima che possa iniziare la crittografia dei dati.
L’implementazione di protezioni anti-ransomware è il metodo più efficace per raggiungere questo obiettivo. Strumenti come Threat Emulation di Check Point utilizzano l'analisi comportamentale per identificare i segnali di allarme di un attacco ransomware, consentendo all'utente di porre rimedio alla minaccia prima che si verifichi qualsiasi danno. Poiché tutti i ransomware devono eseguire determinate azioni (come la crittografia dei file) per raggiungere i propri obiettivi, questo approccio è efficace contro tutti i tipi di ransomware.
Tuttavia, le protezioni mirate verso un tipo specifico di ransomware possono aiutare a migliorare la velocità e l'efficacia della risposta di un'organizzazione. Oltre alla protezione generica Threat Emulation per ransomware (che blocca con successo DearCry), Check Point ha rilasciato due protezioni dedicate per i seguenti prodotti:
Questi strumenti di rilevamento dedicati rendono più facile e veloce rilevare ed eliminare una potenziale infezione da DearCry sui sistemi di un'organizzazione.
Migliori pratiche per la prevenzione del ransomware
Per proteggersi dal ransomware DearCry, le protezioni mirate (come quelle implementate in Threat Emulation e Harmony Endpoint) sono le soluzioni più efficaci per un attacco attivo. Anche protezioni ransomware più generali possono rilevare questa minaccia e sono fondamentali per identificare e bloccare gli attacchi ransomware zero-day.
Tuttavia, le organizzazioni dovrebbero implementare una difesa approfondita per ridurre al minimo i potenziali costi e l’impatto degli attacchi ransomware. Alcune best practice per la prevenzione del ransomware includono:
- Gestione delle patch: il ransomware DearCry sfrutta le vulnerabilità critiche nei server Microsoft Exchange. Mantenere il dispositivo aggiornato e aggiornato è essenziale per ridurre al minimo i potenziali vettori di ingresso di cui un utente malintenzionato può trarre vantaggio.
- Formazione dei dipendenti: il ransomware viene comunemente distribuito tramite phishing e altre tecniche che sfruttano i dipendenti. Formare i dipendenti a riconoscere e rispondere adeguatamente a questi tipi di attacchi può ridurre drasticamente il rischio di ransomware e altri tipi di attacchi per un'organizzazione.
- Sicurezza della posta elettronica: la posta elettronica è un importante vettore di infezione per tutti i tipi di malware, compreso il ransomware. Una soluzione di sicurezza e-mail può utilizzare l'apprendimento automatico e l'emulazione sandbox per identificare e rimuovere contenuti dannosi dalle e-mail prima che raggiungano la casella di posta dell'utente.
- Accesso remoto sicuro: la pandemia di COVID-19 ha reso la rete privata virtuale (VPN) e il protocollo desktop remoto (RDP) alcuni dei meccanismi di distribuzione più popolari per il ransomware. Proteggere l'infrastruttura di telelavoro di un'organizzazione può aiutare a bloccare questo potenziale vettore di attacco.
- Endpoint Security: il ransomware può essere distribuito tramite diversi media. Una soluzione Endpoint Security in grado di rilevare e bloccare ransomware e altri tipi di contenuti dannosi può aiutare a ridurre al minimo l'esposizione di un'organizzazione a queste minacce.
Bloccare gli attacchi ransomware con Check Point
Il panorama delle minacce ransomware è in continua evoluzione. DearCry è una delle iterazioni più recenti di una minaccia che esiste da anni e sfrutta le vulnerabilità scoperte di recente in un prodotto ampiamente utilizzato. Le organizzazioni necessitano di soluzioni anti-ransomware mirate in grado di tenere il passo e mitigare le più recenti minacce ransomware.
Il ransomware attacca l’endpoint, pertanto l’endpoint dovrebbe essere il fulcro di qualsiasi strategia anti-ransomware . Harmony Endpoint di Check Point è una soluzione Endpoint Security completa che offre una protezione completa contro il ransomware, incluso il rilevamento generale basato sul comportamento e le protezioni mirate a varianti specifiche.
Il suo supporto per la ricerca delle minacce, mappato sul framework MITRE ATT&CK, consente inoltre al team di sicurezza di un'organizzazione di cercare e indagare in modo proattivo su potenziali minacce e incursioni all'interno della sua rete. Per ulteriori informazioni sulla caccia alle minacce con Harmony Endpoint, consulta questa procedura dettagliata.
Harmony Endpoint fornisce una protezione completa contro minacce come il ransomware DearCry. Per saperne di più sulle sue capacità, dai un'occhiata a questo tour del prodotto. Puoi anche richiedere una demo personalizzata per toccare con mano la potenza di Harmony Endpoint.
Feedback