CaroCry ransomware
DearCry, una variante del ransomware, è progettata per sfruttare quattro vulnerabilità recentemente rivelate in Microsoft Exchange. Una volta ottenuto l'accesso a un computer, crittografa i file ivi memorizzati, rendendoli impossibili da accedere senza la chiave di decrittazione corrispondente (nota solo agli aggressori).
Come funziona il ransomware DearCry?
Nel marzo 2021, Microsoft ha rilasciato patch per quattro vulnerabilità critiche all'interno dei server Microsoft Exchange. Queste vulnerabilità sono state sfruttate attivamente in una serie di campagne di attacco. DearCry è una variante del ransomware progettata per sfruttare questi vulnerabili server Microsoft Exchange.
Il malware esegue l'enumerazione delle unità per identificare tutti i supporti di archiviazione accessibili da una macchina infetta. Per ciascuna di queste unità, il ransomware DearCry crittograferà determinati tipi di file (in base alle estensioni dei file) utilizzando AES e RSA-2048. Una volta completata la crittografia, DearCry visualizzerà una richiesta di riscatto che chiede agli utenti di inviare un'e-mail agli operatori del ransomware per sapere come decrittografare le loro macchine.
Come proteggersi dal ransomware DearCry
Quando viene visualizzata la richiesta di riscatto di DearCry, il danno è già stato fatto. Il modo migliore per rispondere a DearCry, o a qualsiasi tipo di ransomware, è rilevare e bloccare il ransomware prima che possa iniziare la crittografia dei dati.
L’implementazione di protezioni anti-ransomware è il metodo più efficace per raggiungere questo obiettivo. Strumenti come Threat Emulation di Check Point utilizzano l'analisi comportamentale per identificare i segnali di allarme di un attacco ransomware, consentendo all'utente di porre rimedio alla minaccia prima che si verifichi qualsiasi danno. Poiché tutti i ransomware devono eseguire determinate azioni (come la crittografia dei file) per raggiungere i propri obiettivi, questo approccio è efficace contro tutti i tipi di ransomware.
Tuttavia, le protezioni mirate verso un tipo specifico di ransomware possono aiutare a migliorare la velocità e l'efficacia della risposta di un'organizzazione. Oltre alla protezione generica Threat Emulation per ransomware (che blocca con successo DearCry), Check Point ha rilasciato due protezioni dedicate per i seguenti prodotti:
- Emulazione delle minacce – ransomware.Win.DearCry.A
- Check Point Endpoint Security – Ransomware.Win.DearCry.B
Questi strumenti di rilevamento dedicati rendono più facile e veloce rilevare ed eliminare una potenziale infezione da DearCry sui sistemi di un'organizzazione.
Migliori pratiche per la prevenzione del ransomware
For protecting against the DearCry ransomware, targeted protections (like the ones deployed in Threat Emulation and Check Point Endpoint Security) are the most effective solutions for an active attack. More general ransomware protections can also detect this threat and are vital for identifying and blocking zero-day ransomware attacks.
Tuttavia, le organizzazioni dovrebbero implementare una difesa approfondita per ridurre al minimo i potenziali costi e l’impatto degli attacchi ransomware. Alcune best practice per la prevenzione del ransomware includono:
- Gestione delle patch: il ransomware DearCry sfrutta le vulnerabilità critiche nei server Microsoft Exchange. Mantenere il dispositivo aggiornato e aggiornato è essenziale per ridurre al minimo i potenziali vettori di ingresso di cui un utente malintenzionato può trarre vantaggio.
- Formazione dei dipendenti: il ransomware viene comunemente distribuito tramite phishing e altre tecniche che sfruttano i dipendenti. Formare i dipendenti a riconoscere e rispondere adeguatamente a questi tipi di attacchi può ridurre drasticamente il rischio di ransomware e altri tipi di attacchi per un'organizzazione.
- Sicurezza della posta elettronica: la posta elettronica è un importante vettore di infezione per tutti i tipi di malware, compreso il ransomware. Una soluzione di sicurezza e-mail può utilizzare l'apprendimento automatico e l'emulazione sandbox per identificare e rimuovere contenuti dannosi dalle e-mail prima che raggiungano la casella di posta dell'utente.
- Accesso remoto sicuro: la pandemia di COVID-19 ha reso la rete privata virtuale (VPN) e il protocollo desktop remoto (RDP) alcuni dei meccanismi di distribuzione più popolari per il ransomware. Proteggere l'infrastruttura di telelavoro di un'organizzazione può aiutare a bloccare questo potenziale vettore di attacco.
- Endpoint Security: il ransomware può essere distribuito tramite diversi media. Una soluzione Endpoint Security in grado di rilevare e bloccare ransomware e altri tipi di contenuti dannosi può aiutare a ridurre al minimo l'esposizione di un'organizzazione a queste minacce.
Bloccare gli attacchi ransomware con Check Point
Il panorama delle minacce ransomware è in continua evoluzione. DearCry è una delle iterazioni più recenti di una minaccia che esiste da anni e sfrutta le vulnerabilità scoperte di recente in un prodotto ampiamente utilizzato. Le organizzazioni necessitano di soluzioni anti-ransomware mirate in grado di tenere il passo e mitigare le più recenti minacce ransomware.
Ransomware attacks the endpoint, so the endpoint should be the focus of any anti-ransomware strategy. Check Point’s Check Point Endpoint Security is a complete endpoint security solution that offers comprehensive protection against ransomware, including both general behavior-based detection and protections targeted to specific variants.
Its threat hunting support – mapped to the MITRE ATT&CK framework – also enables an organization’s security team to proactively search for and investigate potential threats and incursions within its network. To learn more about threat hunting with Check Point Endpoint Security, check out this walkthrough.
Check Point Endpoint Security provides comprehensive protection against threats like the DearCry ransomware. To learn more about its capabilities, check out this product tour. You’re also welcome to request a personalized demo to see the power of Check Point Endpoint Security for yourself.
