I ransomware Conti attaccano l’Italia

i-ransomware-conti-attaccano-l’italia

ransomware conti attaccano italia

San Carlo, Comune di Torino e Artsana. Si allunga la lista degli attacchi di Conti ai danni di organizzazioni italiane. Ransomware inviati per limitare gli accessi dei sistemi infettati. Sblocco solo dopo il pagamento.

Inizialmente limitati alla Russia, gli attacchi hacker che sfruttano i ransomware interessano ora tutto il mondo. I primi specifici riscontri tecnici già a inizio 2013 da una delle maggiori case specializzate in sicurezza software: la McAfee.

250.000 diversi tipi di malware ransomware registrati. Più del doppio dell’anno precedente. Tra questi spiccava all’occhio “CryptoLocker”, worm ransomware apparso a fine 2013.

3 i milioni di dollari ottenuti dal malware prima di essere reso innocuo dalle autorità.

Conti: come opera il nuovo ransomware invisibile

Dall’analisi dei campioni rilevati sono state riscontrate delle caratteristiche uniche che contraddistinguono questo particolare tipo di ransomware. Vediamole insieme:

  • utilizza un’unica routine di codifica che si applica a quasi ogni stringa di comando adoperata dal malware.
  • impiega le tecniche di offuscamento anche per nascondere le chiamate API di Windows utilizzate durante la fase di esecuzione.
  • compromette e cripta, tramite riga di comando, il disco rigido locale, le condivisioni di rete SMB ed anche indirizzi IP specifici.
  • interrompe il ripristino del sistema locale, eliminando le copie Shadow.
  • blocca i servizi di Windows che potrebbero interferire con la corretta esecuzione delle proprie routine tramite una serie di comandi.
  • utilizza anche il servizio Restart Manager di Windows per forzare la chiusura di tutte quelle applicazioni ancora aperte e che potrebbero bloccare/rallentare il processo di crittografia.
  • una volta acquisita anche la cache ARP, per continuare una diffusione laterale all’interno della rete cui il sistema compromesso risulta collegato, il malware scansiona la rete per individuare gli indirizzi IP locali nel tentativo di accedere e crittografare i relativi dispositivi.

Come attenuare i rischi

A oggi i leader dei cyber security software non sono ancora riusciti a garantire soluzioni efficaci per debellare del tutto la problematica.

Ecco quindi alcuni semplici accorgimenti utili per mitigarne il rischio:

  • aggiornare periodicamente sistemi e applicazioni.
  • limitare gli accessi remoti o proteggerli tramite autenticazione multi fattore.
  • disattivare gli account amministrativi standard, utilizzandone altri creati allo scopo.
  • segmentare la rete separando e isolando i sistemi critici.
  • custodire adeguatamente le copie di sicurezza, adottando strategie di backup preferibilmente con soluzioni offline o cloud based.
  • infondere nella cultura aziendale la consapevolezza della sicurezza e delle buone regole di condotta.

La domanda sorge ora spontanea: ma come mi accorgo dell’attacco di un ransomware Conti?

Purtroppo questo può avvenire solo a “operazione conclusa” poiché:

  • tutti i file compromessi, risultano avere un’estensione extra in comune “.CONTI”.
  • viene generata una nota di riscatto denominata CONTI_README.txt.

Alla luce di quanto emerso fin ora fa riflettere il dato emerso dal report di Acronis secondo cui solo il 47% delle aziende coinvolte nell’analisi adottano soluzioni adeguate per mitigare il rischio di queste nuove minacce.

Per saperne di più leggi il nostro articolo “ Supply chain, attacchi informatici e sicurezza”.

Alice Zaniolo

Millennial classe 1997 con una laurea in Interpretariato e Comunicazione. Creativa e dinamica amo l’arte in ogni sua forma e sfaccettatura.

Il mio hobby preferito? Fare lunghe passeggiate in compagnia del mio amico a quattro zampe.