{"id":22464,"date":"2020-08-03T14:43:40","date_gmt":"2020-08-03T12:43:40","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22464"},"modified":"2022-05-05T12:27:58","modified_gmt":"2022-05-05T10:27:58","slug":"wastedlocker-garmin-incident","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/wastedlocker-garmin-incident\/22464\/","title":{"rendered":"Analisi del ransomware mirato WastedLocker"},"content":{"rendered":"<p>Alla fine di luglio 2020, i siti di notizie tecnologiche sono stati pieni di articoli su Garmin. Vari servizi Garmin, tra cui la sincronizzazione dei dispositivi con il cloud e strumenti per piloti, sono stati disattivati. La mancanza di informazioni accurate ha lasciato tutti a teorizzare freneticamente. Da parte nostra, abbiamo deciso di attenerci ad alcuni dati concreti prima di valutare la situazione.<\/p>\n<p>Nella sua <a href=\"https:\/\/www.garmin.com\/en-US\/outage\/\" target=\"_blank\" rel=\"noopener nofollow\">dichiarazione ufficiale<\/a>, l\u2019azienda Garmin ha confermato di essere stata colpita da un cyberattacco che ha interrotto i servizi online e ha cifrato alcuni sistemi interni. Le informazioni disponibili al momento di questo articolo indicano che i cybercriminali hanno utilizzato il ransomware WastedLocker. I nostri esperti hanno effettuato un\u2019analisi tecnica dettagliata del malware e in questo post vi presentiamo i principali risultati.<\/p>\n<h2>Il ransomware WastedLocker<\/h2>\n<p>WastedLocker \u00e8 un esempio di ransomware <em>mirato<\/em>, un malware modificato per attaccare una specifica azienda. Il messaggio di riscatto si riferiva alla vittima per nome e tutti i file cifrati avevano l\u2019estensione aggiuntiva <strong>.garminwasted.<\/strong><\/p>\n<p>Lo schema di cifratura dei criminali informatici porta alla stessa conclusione. I file sono stati cifrati utilizzando gli algoritmi AES e RSA, i cui creatori del ransomware utilizzano spesso in combinazione. Tuttavia, per cifrare i file viene utilizzata una chiave RSA pubblica, piuttosto che una generata in modo univoco per ogni infezione. In altre parole, se questa variante del ransomware venisse utilizzata per colpire pi\u00f9 bersagli, il programma per decifrare i dati sarebbe di uso generale, perch\u00e9 dovrebbe esserci anche una chiave privata.<\/p>\n<p>Inoltre, il ransomware presenta le seguenti curiose caratteristiche:<\/p>\n<ul>\n<li>Prioritarizzazione della cifratura dei dati, il che significa che i criminali informatici possono specificare prima una particolare directory di file da cifrare. Ci\u00f2 massimizza i danni nel caso in cui i meccanismi di sicurezza interrompano la cifratura dei dati prima che sia completata;<\/li>\n<li>Supporto per la cifratura dei file su risorse di rete remote;<\/li>\n<li>Controllo dei privilegi e uso dell\u2019<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dll-hijacking\/\" target=\"_blank\" rel=\"noopener\">hackeraggio dei file DLL<\/a> per l\u2019elevazione dei privilegi.<\/li>\n<\/ul>\n<p>Troverete l\u2019analisi dettagliata del ransomware nel post <a href=\"https:\/\/securelist.com\/wastedlocker-technical-analysis\/97944\/\" target=\"_blank\" rel=\"noopener\">WastedLocker: analisi tecnica<\/a> su Securelist (in lingua inglese).<\/p>\n<h2>Come procede Garmin?<\/h2>\n<p>Secondo la dichiarazione aggiornata della societ\u00e0, i servizi sono di nuovo operativi, anche se la sincronizzazione dei dati potrebbe essere lenta e in alcuni casi \u00e8 ancora limitata. Tutto ci\u00f2 \u00e8 comprensibile: i dispositivi che non sono riusciti a sincronizzarsi con i loro servizi cloud per diversi giorni stanno ora contattando i server aziendali tutti in una volta, aumentando il carico di lavoro.<\/p>\n<p>Garmin riferisce che non vi sono prove che qualcuno abbia ottenuto accesso non autorizzato ai dati degli utenti durante l\u2019incidente.<\/p>\n<h2>Come proteggersi da tali attacchi<\/h2>\n<p>Gli attacchi mirati con ransomware rivolti alle aziende sono una realt\u00e0 che persister\u00e0 a lungo. Accettando questa situazione, le nostre raccomandazioni per difenderci da questi attacchi sono abbastanza standard:<\/p>\n<ul>\n<li>Mantenete sempre aggiornato il software, in particolare il sistema operativo, la maggior parte dei Trojan sfrutta le vulnerabilit\u00e0 note;<\/li>\n<li>Utilizzate un RDP per negare l\u2019accesso pubblico ai sistemi aziendali (o, se necessario, utilizzate una VPN);<\/li>\n<li>Formate i dipendenti per quanto riguarda le basi della sicurezza informatica. Il pi\u00f9 delle volte, \u00e8 l\u2019<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/social-engineering\/\" target=\"_blank\" rel=\"noopener\">ingegneria sociale<\/a> che permette ai Trojan ransomware di infettare le reti aziendali, sfruttando l\u2019ingenuit\u00e0 dei dipendenti;<\/li>\n<li>Utilizzate soluzioni di sicurezza all\u2019avanguardia con tecnologie antiransomware avanzate. <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">I nostri prodotti<\/a> rilevano WastedLocker e prevengono l\u2019infezione.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;analisi tecnica dettagliata dei nostri esperti sul principale sospettato dell&#8217;attacco ransomware di Garmin.<\/p>\n","protected":false},"author":2706,"featured_media":22465,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[638,635,3342],"class_list":{"0":"post-22464","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-minacce","11":"tag-ransomware","12":"tag-rasomware"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/wastedlocker-garmin-incident\/22464\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wastedlocker-garmin-incident\/21644\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wastedlocker-garmin-incident\/17107\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/wastedlocker-garmin-incident\/8467\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/wastedlocker-garmin-incident\/22971\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wastedlocker-garmin-incident\/21158\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/wastedlocker-garmin-incident\/19791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wastedlocker-garmin-incident\/23590\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/wastedlocker-garmin-incident\/28840\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wastedlocker-garmin-incident\/8649\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wastedlocker-garmin-incident\/36626\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wastedlocker-garmin-incident\/15400\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wastedlocker-garmin-incident\/15808\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/wastedlocker-garmin-incident\/13743\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wastedlocker-garmin-incident\/24829\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/wastedlocker-garmin-incident\/11780\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/wastedlocker-garmin-incident\/28927\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/wastedlocker-garmin-incident\/25760\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/wastedlocker-garmin-incident\/22688\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wastedlocker-garmin-incident\/27934\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wastedlocker-garmin-incident\/27764\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22464"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22464\/revisions"}],"predecessor-version":[{"id":23034,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22464\/revisions\/23034"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22465"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}